| 目录 |
HPE OneView 登录页面中使用的目录服务显示名称。该名称表示与其关联的企业目录。
注意: - 在用户使用其目录帐户名称(例如,对于 Active Directory,使用 sAMAccountName 字段值)而不是电子邮件地址进行身份验证时,Hewlett Packard Enterprise 建议显示名称与目录的域组件匹配。
- HPE OneView 在目录显示名称前面添加用户名。
- 示例:
对于目录域 corp.example.com,显示名称 corp 允许用户仅使用其目录帐户名称进行登录。指定登录名 admin 的用户将作为 corp\admin 在目录中进行身份验证。
如果 Active Directory 设置为使用 Windows 2000 之前的域名,在 HPE OneView 中设置目录时,管理员必须确保目录名称与 Windows 2000 之前的域名匹配。以后,如果需要,管理员还可以选择将 Windows 2000 之前的目录域设置为用户的默认域以登录到 HPE OneView。 - 示例
如果 Active Directory 域是 Active Directory 上的 example.com,并且 Windows 2000 之前的域名是 myDomain,通过将显示名称指定为 myDomain,用户可以仅使用其目录帐户名称登录。指定登录名 admin 的用户将作为 myDomain\admin 在目录中进行身份验证。
- 数据类型:
大写和小写字母数字字符以及特殊字符
|
| 目录类型 |
身份验证目录服务类型:OpenLDAP 或 Active Directory(默认)。
|
| 基本 DN |
身份验证目录的顶级可分辨名称。对于 Microsoft Active Directory 和 OpenLDAP,基本 DN 基于目录域的 DNS 名称。
- 示例:
名为 corp.example.com 的 Active Directory 域具有基本 DN DC=corp, DC=example, DC=com,其中 DC 是一个域组件,用于表示目录的域名的组成部分。
- 数据类型:
大写和小写字母数字字符以及特殊字符。
|
| 目录绑定 |
显示以下两个选项,您可以选择这些选项以绑定到目录服务:
服务帐户:服务帐户选项指定在目录中预创建的帐户的用户名和密码。
根据您的配置,在某些目录环境中,目录用户要求使用服务帐户,因为不允许他们查询目录树的某些部分。请咨询您的目录管理员以了解详细信息。
注意: - 在 HPE OneView 中启用了双因素身份验证时,请使用服务帐户选项。
- 确保服务帐户具有目录树的读取访问权限,以便在目录中代表 HPE OneView 用户执行搜索时,HPE OneView 可以使用该帐户。例如,在登录期间,在 HPE OneView 查询目录以确定用户所属的组时,将使用服务帐户执行该查询。
用户帐户(默认):每次需要使用用户的目录凭据时,用户帐户选项将提示输入该凭据。例如,当您最初在 HPE OneView 中定义目录服务或为目录组添加角色时。
注意: HPE OneView 不会永久保存用户的目录凭据。
|
| 用户命名属性 (仅限 OpenLDAP,在选择“服务帐户”时不显示)
|
UID 或 CN(根据需要)。指定是否将 OpenLDAP 服务器配置为使用 UID=<用户名> 或 CN=<用户名> 搜索用户的可分辨名称(其中 CN 是公用名)。请咨询您的 OpenLDAP 管理员以确定您的目录正在使用的约定。
|
| 组织单位 (OU) (仅限 OpenLDAP)
|
指定目录树的根目录,HPE OneView 从中搜索用户所属的 LDAP 组。
HPE OneView 使用 OU 确定在何处搜索用户和组。在使用目录对用户进行身份验证时,要为该用户分配正确的 HPE OneView 权限,HPE OneView 需要使用 OU 确定用户的目录组成员身份。
- 示例:
OU=Engineering
OpenLDAP 允许配置多个用户和组 OU。
必须明确配置用户帐户所在的所有 OU,但在子树中搜索组。
例如,请考虑以下配置:用户帐户位于
ou=people 和ou=admins,ou=people
且组位于
ou=groups 和ou=IT-groups,ou=groups
要明确配置不同的用户和组 OU,必须使用以下格式指定该屏幕中的 OU 条目:
- OU 1:
ou=people
- OU 2:
ou=admins,ou=people
- OU 3:
ou=groups
- OU 4:
ou=IT-groups,ou=groups
要为 ou=groups 中的所有组执行子树搜索,必须使用以下格式指定该屏幕中的 OU 条目:
- OU 1:
ou=people
- OU 2:
ou=admins,ou=people
- OU 3:
ou=groups
|
| 添加 (仅限 OpenLDAP)
|
生成额外的组织单位字段。
|
| 用户名 和
密码 |
身份验证目录服务帐户的凭据;装置可以使用这些凭据登录到目录服务器并验证连接。
注意: 在目录绑定类型为用户帐户时,不会在装置上保存用户名和密码。在这种情况下,在出现提示时,请输入身份验证目录服务帐户的凭据。
对于 Microsoft Active Directory 用户,请将采用任何以下格式之一的用户名指定为:
- 电子邮件地址(Active Directory 的
userPrincipalName 字段)或
- 域帐户用户名(Active Directory 的
sAMAccountName 字段)
其中:
如果前面的用户名条目凭据格式失败,则使用以下用户名格式:
- 目录
\域。例如,如果目录名称配置为 mycorp 并且用户帐户是Neil,则尝试的登录名为 mycorp\Neil。
如果在 HPE OneView 中配置的 Active Directory 服务器服务具有用户锁定策略(例如,定义为登录尝试连续失败 n 次时锁定),Hewlett Packard Enterprise 建议用户使用 UPN 或下级登录名以登录到 HPE OneView。最常用的 UPN 是 用户名@域.com,而下级登录名是域\用户名。如果不使用 UPN 或下级登录名(而仅使用用户名),HPE OneView 在内部尝试使用关于目录服务身份验证中指定的不同登录名格式。这可能会导致在单次失败的登录尝试(不正确的密码)时从 GUI 中锁定用户。
|
| 目录服务器 |
指定托管身份验证目录服务的服务器的名称(或 IP 地址)和端口。
注意: 要确保高可用性,目录域通常包含多个目录服务器。HPE OneView 允许配置多个目录服务器。在配置多个目录服务器时,HPE OneView 尝试按指定的顺序访问每个目录服务器,直到它可以对用户进行身份验证。例如,Microsoft Active Directory 环境通常具有多个域控制器。
为了获得最佳的可用性,请与您的 Active Directory 管理员一起确定必须将哪些域控制器添加到 HPE OneView 中。
有关详细信息,请参阅添加目录服务器屏幕。
|