NetBackup IT Analytics 安全和加密参考

Last Published:
Product(s): NetBackup IT Analytics (11.4)

AD/LDAP 配置

NetBackup IT Analytics 支持用户身份验证,还支持使用 Active Directory (AD) 或轻量型目录访问协议 (LDAP) 进行授权。

AD/LDAP 身份验证和授权的配置通过 portal.properties 文件的配置参数来完成。

AD/LDAP 配置属性

AD/LDAP 配置支持以下属性,可以在 portal.properties 文件中进行设置。

操作系统特定的 portal.properties 文件位置:

  • Linux:/opt/aptare/portalconf/portal.properties

  • Windows:C:\opt\aptare\portalconf\portal.properties

表:AD/LDAP 配置属性

属性

说明

ldap.enabled

要启用 LDAP,将此属性设置为 true。

支持的值:true | false

ldap.searchBase

  • 从中执行搜索以在身份验证目录中查找用户的位置。

  • 通常称为 Active Directory (AD) 搜索库,这是 Active Directory 树中用于搜索 LDAP 用户的起点。此搜索库采用 LDAP 可分辨名称格式,包含完全限定域名。NetBackup IT Analytics 仅支持一个搜索库。

示例:dc=example,dc=company,dc=com

ldap.url

  • 设置为 AD 的主机和端口。请注意,此 URL 值的前缀为 ldap:。如果使用 SSL,将前缀更改为 ldaps。

  • 如果对外部 LDAP 配置使用 Active Directory,则可能需要使用全局编录端口 3268,而不使用端口 389。

  • 如果使用 SSL,则可以对标准 LDAP 使用安全全局编录端口 3269 或 636。

示例:ldap://example.company.com:389ldaps://example.company.com:636

ldap.dn

  • 设置为有权搜索 SEARCHBASE 的用户的 ID。此用户必须能够搜索所有 LDAP 目录服务器。

  • NetBackup IT Analytics 要求用户有权在 Active Directory 结构中的基本 DN(可分辨名称)下进行搜索。此用户必须是具有管理权限的帐户,通常为管理员。可以是在安装 Active Directory 时创建的管理员帐户,也可以是已经创建,又被授予管理权限或置于具有管理权限的组中的帐户。

  • 如果使用 Active Directory,请指定此设置,因为 Active Directory 服务不允许匿名绑定。Microsoft Active Directory 需要提供可搜索 LDAP 目录权限的用户的用户名和密码。

示例: 

ldap.dn =CN=Admin,CN=Users,DC=example,
DC=company,DC=com

ldap.password

设置为 ldap.dn 属性中使用的用户的密码。配置 LDAP 后,重新启动 Portal Tomcat 服务时,将清空该值,并在 ldap.password.encrypted 属性中设置加密值。

ldap.password.encrypted

配置 LDAP 后重新启动 Portal Tomcat 服务时设置此属性。此属性的值为 ldap.password 属性的加密值。

ldap.loginAttribute

用于身份验证的登录属性。Active Directory 中用于指定用户名的属性名称,如 uidsAMAccountName

示例:ldap.loginAttribute=sAMAccountName

ldap.authorization

如果设置为 true,则门户为用户授予 AD 组的权限。

在门户中,必须至少将一个新用户所属的 AD 组配置为用户组。

注意:

如果 AD 组未与门户中的用户组建立映射,登录期间,身份验证将失败,显示错误“外部 LDAP 用户不存在用户组映射”。

支持的值:true | false

ldap.newUserDomain

创建新用户的门户域名。仅在 ldap.authorization 设置为 true 时使用。

要在门户中查找域名,请导航到“管理”>“域”>“域名”

示例:ldap.newUserDomain=example.company.com

ldap.keystore

如果为 LDAP 启用了 SSL 支持,则必须:

  • 包含 AD 证书所在的 keystore 路径位置

  • aptare:tomcat 权限

注意:

如果没有为 LDAP 启用 SSL,则必须将其注释掉。

ldap.keystore.password

ldap.keystore 属性中设置的 keystore 密码。配置 LDAP 后,重新启动 Portal Tomcat 服务时,将清空该值,并在 ldap.keystore.password.encrypted 属性中设置加密值。

注意:

如果没有为 LDAP 启用 SSL,则必须将其注释掉。

ldap.keystore.password.encrypted

配置 LDAP 后重新启动 Portal Tomcat 服务时设置此属性。此属性的值为 ldap.keystore.password 属性的加密值。

注意:

如果没有为 LDAP 启用 SSL,则必须将其注释掉。

ldap.disable.user.attribute.name

(从 11.0 开始提供)

其值为 AD 属性,表示用户是处于活动状态还是非活动状态。通过 AD 进行门户身份验证期间,REST API 使用分配给此属性的 AD 属性来检查用户是否仍然是活动的 AD 用户。

例如,如果 ad.user.active 是表示用户是处于活动状态还是已禁用状态的 AD 属性,则必须分配 ad.user.active 作为该属性 (ldap.disable.user.attribute.name=ad.user.active) 的值。

ldap.disable.user.attribute.value

(从 11.0 开始提供)

其值必须与 AD 属性的值(在 ldap.disable.user.attribute.name 中指定)相同,该值表示 AD 用户处于已禁用状态。

例如:如果 ad.user.active 是 AD 中用户状态的属性,它可能具有多个值,如 liveinactivejoined 等。如果值 inactive 表示用户在 AD 中处于已禁用状态,则必须将此属性 (ldap.disable.user.attribute.value=inactive) 的值设置为 inactive

REST API 将此值与 ldap.disable.user.attribute.name 属性中指定的 AD 属性值进行匹配。如果值匹配,则表示已在 NetBackup IT Analytics 门户上禁用该用户。

注意:

门户超级用户必须明确激活已在 AD 和门户中停用但仅在 AD 中重新激活的用户。具有足够权限的门户管理员也可以激活此类用户。如果不进行用户激活,门户访问将受到限制。

要配置 AD/LDAP 进行用户身份验证和授权,门户管理员必须至少在门户中创建一个用户组,该用户组也作为 UserGroup 出现在 AD/LDAP 中。

支持 LDAP over SSL

如果使用的是自签名证书或来自非标准证书颁发机构 (CA) 的 AD 证书,则需要具有 AD 证书的 Keystore 并更新 portal.properties 文件中的 LDAP 配置。如果使用的是 CA 的标准证书,则可以跳过此过程。