Cuando la autenticación LDAP está habilitada, el sistema de almacenamiento
accede a un directorio LDAP especificado para autenticar los usuarios cuyas
credenciales se mantienen en el directorio LDAP (excepto los usuarios
administrador, técnico, de mantenimiento y desarrollo, que se siguen
administrando y manteniendo localmente).
Importante: como práctica recomendada, el servidor LDAP y el sistema de
almacenamiento FlashSystem A9000R deben tener sincronizados sus relojes en el
mismo origen horario, estar registrados y configurados para utilizar los mismos
servidores DNS.
Selección del producto
La autenticación LDAP del sistema de almacenamiento admite tres productos de
servidor LDAP:
v Microsoft Active Directory
v Oracle Directory Server Enterprise Edition
v OpenLDAP
Las competencias actuales del equipo de IT son siempre una consideración
importante a la hora de elegir los productos para la autenticación de usuario
centralizada. Si tiene conocimientos para ejecutar un servidor de directorios
determinado, puede ser conveniente estandarizar ese servidor, ya que el personal
estará más capacitado para personalizar y ajustar el servidor. Los expertos podrán
proporcionarle la implementación más fiable y de alta disponibilidad de la
infraestructura de LDAP.
Correlación de roles
Para que cualquier usuario de LDAP pueda obtener acceso al sistema de
almacenamiento, debe ser miembro de un grupo LDAP adecuado.
Importante: un usuario de LDAP no puede ser miembro de más de un grupo
LDAP, por lo que no puede asociarse con más de una correlación de roles de
sistema de almacenamiento.
Al planificar inicialmente el uso de la autenticación basada en LDAP con el sistema
de almacenamiento, puede utilizarse el atributo LDAP para la correlación de roles.
El tipo de clases de objeto LDAP utilizadas para crear una cuenta de usuario para
la autenticación del sistema depende del tipo de servidor LDAP utilizado.
El servidor de directorios Oracle y Open LDAP utilizan la clase de objeto LDAP
inetOrgPerson, y Active Directory utiliza la clase de objeto LDAP
organizationalperson para la definición de cuentas de usuario para la
autenticación en el sistema de almacenamiento.
Para obtener una definición de la clase de objeto LDAP inetOrgPerson y una lista
de atributos, consulte el sitio web archivado de FAQ (preguntas frecuentes) de
Internet:
www.faqs.org/rfcs/rfc2798.html
Para obtener una definición de la clase de objeto LDAP organizationalperson y
una lista de atributos, consulte el sitio web de Microsoft:
78
IBM FlashSystem A9000R Modelos 9835-415 y 9837-415 Guía de despliegue