通过 DS CLI 启用远程认证

您可以通过 LDAP 存储库启用和配置远程认证。使用此方案以通过 DS8000 命令行界面 (CLI) 启用远程认证。

开始之前

从 DS8000 V8.1 开始,您可以使用 IBM Spectrum Control(先前称为 IBM Tivoli Productivity Center)或者 IBM Copy Services Manager 来连接到 LDAP 存储库并启用远程认证。现在也在 DS8000 硬件管理控制台 (HMC) 上预安装了 Copy Services Manager。有关如何安装和配置这些产品的指示信息,请参阅以下联机产品文档:

关于此任务

表 1. 认证代理服务器信息

使用 IBM Spectrum Control 进行远程认证

关于通过 IBM Spectrum Control 启用远程认证的先决条件包括:
  • 至少有一个要连接到的认证服务器
  • 带有密码的信任库文件
  • WebSphere Integrated Solutions 控制台用户名和密码

信任库文件仅保留信任的目标服务器的签署者证书。需要证书和信任库文件在 DS8000 HMC 与 LDAP 服务器之间实施安全套接字层 (SSL) 通信。

IBM Spectrum Control 使用 IBM WebSphere Integrated Solutions Console 来管理认证服务器。在提供了正确权限时,还可以使用此控制台,通过在任何主机上启动的 Web 浏览器管理 LDAP 用户和组。

有关通过 IBM Spectrum Control 在 DS8000 上启用远程认证的更多信息,包括如何创建信任库文件,请参阅标题为 LDAP Authentication for IBM DS8000 Storage 的 IBM 红皮书出版物。您可以从 http://www.redbooks.ibm.com/abstracts/redp4505.html?Open&pdfbookmark 下载此出版物。

使用 Copy Services Manager 进行远程认证

在使用 Copy Services Manager 配置 LDAP 认证之后,与使用 IBM Spectrum Control 的差异如下:
  • 您无需使用证书信息来创建自己的信任库文件。Copy Services Manager csmAuth 服务器在启动时创建此文件。csmAuth 服务器根据其用于安全套接字层 (SSL) 设置的同一密钥库创建此文件。如果由于任何原因而更改了此密钥库,将在重新启动服务器时创建新的密钥库。可以在 csmauth.properties 文件中更改输出信息。此文件中的缺省值是:


    itso.keystore.name=key_itso.jks
    itso.keystore.password=passw0rd
    itso.keystore.directory=resources/security

  • csmAuth 服务器只能有一个用户注册表,在此情况下,这是 LDAP 服务器。 因此,不存在类似 JazzSM wsadmin 用户的单独管理员用户。Copy Services Manager 不使用 WebSphere Integrated Console,而不是更轻量级的 Liberty 服务器。Copy Services Manager 的存储器认证服务 (SAS) 用户是任何有效的 LDAP 用户。

过程

  1. 登录到 DS CLI 安装目录,然后打开 DS CLI 命令窗口。
  2. 在 DS CLI 命令窗口中,输入 HMC IP 地址、用户名和密码。
  3. 要查看现有认证策略,输入 lsauthpol 命令。缺省初始策略是为基本(非 LDAP)认证设置的。
  4. 新建空的策略。其中 -type sas 指定认证策略类型,请输入 mkauthpol -type sas itsopolicy 命令。目前,SAS(存储器认证服务)是该参数的唯一有效值和必选值。而且,itsopolicy 根据新策略定义此名称。
  5. 通过输入 setauthpol 命令与 -action setauthserver-loc 参数,将一个或多个策略服务器添加到此策略。从这一步开始,命令选项可能会有差异,这取决于您使用 IBM Spectrum Control 还是 Copy Services Manager 进行远程认证。
    • 如果您使用 IBM Spectrum Control,则 -loc 参数是 IBM Spectrum Control 服务器的 URL。 有关更具体的指示信息,请参阅标题为 LDAP Authentication for IBM DS8000 Storage 的 IBM 红皮书出版物,您可以从 http://www.redbooks.ibm.com/abstracts/redp4505.html?Open&pdfbookmark 下载该出版物。
    • 如果您使用 Copy Services Manager,那么 -loc 参数是 Copy Services Manager 服务器的 URL(即 csmAuth 服务器),其位于 https://<hostname>:<auth port>/CSMAuth/TokenService。因为 Copy Services Manager 预安装在 HMC 上,所以您可以使用直接连接方法,然后输入 https://<HMC addr>:9562/CSMAuth/TokenService
  6. 将密钥库文件添加到策略。输入 setauthpol 命令与 –action settruststore 参数以及 -loc 参数,其中的值是信任库文 件的位置。使用 -pw 参数来表示信任库文件密码。
    • 对于 IBM Spectrum Control,信任库文件的位置和密码是您创建该文件之后通过遵循标题为 LDAP Authentication for IBM DS8000 Storage 的 IBM 红 皮书出版物中的指示信息来确定的。您可以从 http://www.redbooks.ibm.com/abstracts/redp4505.html?Open&pdfbookmark 下载 该出版物。请参阅标题为“创建证书和信任库文件”的部分。
    • 对于 Copy Services Manager,信任库文件位于 <Installdir>/liberty/wlp/usr/servers/csmAuth/resources/security/key_itso.jks。Copy Services Manager 信任库文件的缺省密码是 passw0rd(以零来代替字母 O)。
      注: 如果您使用在 HMC 上运行的 Copy Services Manager 的实例,可以在首先作为管理员登录 到 Copy Services Manager 之 后下载此文件,而不是从 https://<hostname>:9559/CSM/security/key_itso.jks 下载。

      如果您使用多个 Copy Services Manager 服务器来进行远程认证,请确保两个 csmAuth 服务器之间的 <install path>/liberty/wlp/usr/servers/csmAuth/resources/security/key.jks 文件相同。否则,信任库文件对其中之一无效。针对包包含您替换的文件的信任库重新启动服务器。

  7. 通过输入 setauthpol 命令与 -action setsasuser 参数,将认证用户添加到策略。再次使用 -pw 参数来表示关联用户密码。
    • 如果您使用的是 IBM Spectrum Control,请为 WebSphere Integrated Solutions Console 管理员用户输入用户名和密码。
    • 如果您使用 Copy Services Manager,此步骤的认证用户必须是有效 LDAP 用户。此用户名用于所有认证请求。在更新了此认证用户的密码时,必须更新此设置。
  8. 要将现有用户和用户组从 LDAP 服务器映射到 DS8000 上的用户组,请输入 setauthpol 命令与 -action setmap 参数以及 -dsgroup-extuser-extgroup 值。
  9. 鉴于已设置此策略,请通过输入 lsauthpol itsopolicy 来进行检查。此策略处于不活动状态。
  10. 要查看配置参数,请输入 showauthpol 命令。
  11. 输入 testauthpol 命令来测试配置。
  12. 如果测试成功完成,请输入 chauthpol 命令与 -activate 参数来激活策略。
  13. 输入 lsauthpol 命令来检查策略的状态。

结果

在完成其中所有步骤之后,便为远程认证启用并配置了 DS8000 存储系统。