添加/编辑目录配置详细信息

屏幕组件

说明

目录

HPE OneView 登录页面中使用的目录服务显示名称。该名称表示与其关联的企业目录。

注意:
  • 在用户使用其目录帐户名称(例如,对于 Active Directory,使用 sAMAccountName 字段值)而不是电子邮件地址进行身份验证时,Hewlett Packard Enterprise 建议显示名称与目录的域组件匹配。
  • HPE OneView 在目录显示名称前面添加用户名。
    示例

    对于目录域 corp.example.com,显示名称 corp 允许用户仅使用其目录帐户名称进行登录。指定登录名 admin 的用户将作为 corp\admin 在目录中进行身份验证。

  • 如果 Active Directory 设置为使用 Windows 2000 之前的域名,在 HPE OneView 中设置目录时,管理员必须确保目录名称与 Windows 2000 之前的域名匹配。以后,如果需要,管理员还可以选择将 Windows 2000 之前的目录域设置为用户的默认域以登录到 HPE OneView。
    示例

    如果 Active Directory 域是 Active Directory 上的 example.com,并且 Windows 2000 之前的域名是 myDomain,通过将显示名称指定为 myDomain,用户可以仅使用其目录帐户名称登录。指定登录名 admin 的用户将作为 myDomain\admin 在目录中进行身份验证。

数据类型:

大写和小写字母数字字符以及特殊字符

目录类型

身份验证目录服务类型:OpenLDAPActive Directory(默认)。

基本 DN

身份验证目录的顶级可分辨名称。对于 Microsoft Active Directory 和 OpenLDAP,基本 DN 基于目录域的 DNS 名称。

示例

名为 corp.example.com 的 Active Directory 域具有基本 DN DC=corp, DC=example, DC=com,其中 DC 是一个域组件,用于表示目录的域名的组成部分。

数据类型:

大写和小写字母数字字符以及特殊字符。

目录绑定

显示以下两个选项,您可以选择这些选项以绑定到目录服务:

  • 服务帐户
  • 用户帐户(默认)

服务帐户:服务帐户选项指定在目录中预创建的帐户的用户名和密码。

根据您的配置,在某些目录环境中,目录用户要求使用服务帐户,因为不允许他们查询目录树的某些部分。请咨询您的目录管理员以了解详细信息。

注意:
  • 在 HPE OneView 中启用了双因素身份验证时,请使用服务帐户选项。
  • 确保服务帐户具有目录树的读取访问权限,以便在目录中代表 HPE OneView 用户执行搜索时,HPE OneView 可以使用该帐户。例如,在登录期间,在 HPE OneView 查询目录以确定用户所属的组时,将使用服务帐户执行该查询。

用户帐户(默认)每次需要使用用户的目录凭据时,用户帐户选项将提示输入该凭据。例如,当您最初在 HPE OneView 中定义目录服务或为目录组添加角色时。

注意:

HPE OneView 不会永久保存用户的目录凭据。

用户命名属性

(仅限 OpenLDAP,在选择“服务帐户”时不显示)

UIDCN(根据需要)。指定是否将 OpenLDAP 服务器配置为使用 UID=<用户名>CN=<用户名> 搜索用户的可分辨名称(其中 CN 是公用名)。请咨询您的 OpenLDAP 管理员以确定您的目录正在使用的约定。

组织单位 (OU)

(仅限 OpenLDAP)

指定目录树的根目录,HPE OneView 从中搜索用户所属的 LDAP 组。

HPE OneView 使用 OU 确定在何处搜索用户和组。在使用目录对用户进行身份验证时,要为该用户分配正确的 HPE OneView 权限,HPE OneView 需要使用 OU 确定用户的目录组成员身份。

示例

OU=Engineering

OpenLDAP 允许配置多个用户和组 OU。

必须明确配置用户帐户所在的所有 OU,但在子树中搜索组。

例如,请考虑以下配置:用户帐户位于

  • ou=people
  • ou=admins,ou=people

且组位于

  • ou=groups
  • ou=IT-groups,ou=groups

要明确配置不同的用户和组 OU,必须使用以下格式指定该屏幕中的 OU 条目:

  • OU 1:ou=people
  • OU 2:ou=admins,ou=people
  • OU 3:ou=groups
  • OU 4:ou=IT-groups,ou=groups

要为 ou=groups 中的所有组执行子树搜索,必须使用以下格式指定该屏幕中的 OU 条目:

  • OU 1:ou=people
  • OU 2:ou=admins,ou=people
  • OU 3:ou=groups
添加

(仅限 OpenLDAP)

生成额外的组织单位字段。

用户名

密码

身份验证目录服务帐户的凭据;装置可以使用这些凭据登录到目录服务器并验证连接。

注意:

在目录绑定类型为用户帐户时,不会在装置上保存用户名和密码。在这种情况下,在出现提示时,请输入身份验证目录服务帐户的凭据。

对于 Microsoft Active Directory 用户,请将采用任何以下格式之一的用户名指定为:

  • 电子邮件地址(Active Directory 的 userPrincipalName 字段)或
  • 域帐户用户名(Active Directory 的 sAMAccountName 字段)

其中:

  • @ 字符表示用户主体名称,通常是 Active Directory 用户的电子邮件地址登录名。

  • \ 字符表示\用户名登录名,是 Active Directory 用户的域帐户用户名(例如,corp\用户名)。

如果前面的用户名条目凭据格式失败,则使用以下用户名格式:

  • 目录\。例如,如果目录名称配置为 mycorp 并且用户帐户是Neil,则尝试的登录名为 mycorp\Neil
    注意:

    目录名称不区分大小写。

如果在 HPE OneView 中配置的 Active Directory 服务器服务具有用户锁定策略(例如,定义为登录尝试连续失败 n 次时锁定),Hewlett Packard Enterprise 建议用户使用 UPN 或下级登录名以登录到 HPE OneView。最常用的 UPN 是 用户名@域.com,而下级登录名是域\用户名。如果不使用 UPN 或下级登录名(而仅使用用户名),HPE OneView 在内部尝试使用关于目录服务身份验证中指定的不同登录名格式。这可能会导致在单次失败的登录尝试(不正确的密码)时从 GUI 中锁定用户。

目录服务器

指定托管身份验证目录服务的服务器的名称(或 IP 地址)和端口。

注意:

要确保高可用性,目录域通常包含多个目录服务器。HPE OneView 允许配置多个目录服务器。在配置多个目录服务器时,HPE OneView 尝试按指定的顺序访问每个目录服务器,直到它可以对用户进行身份验证。例如,Microsoft Active Directory 环境通常具有多个域控制器。

为了获得最佳的可用性,请与您的 Active Directory 管理员一起确定必须将哪些域控制器添加到 HPE OneView 中。

有关详细信息,请参阅添加目录服务器屏幕

另请参阅

添加身份验证目录服务