FlashArray und FlashBlade: Konfiguration LDAP-Integration für Array Management

FlashArray und FlashBlade sind vollständig mit Benutzern eines ActiveDirectory's verwaltbar. Unter Zuhilfenahme der LDAP-Schnittstelle - Port 389 - kann das ActiveDirectory mit den Pure Storage FlashSystemen (FlashArray und FlashBlade) verbunden werden.

Es kann auch mit LDAPS (LDAP over SSL auf Port 636) gearbeitet werden.


Was bietet dies mir für Vorteile?: leichte Administration der Storage-Zugriffberechtigung, benutzerbezogenes Logging bei Anmeldungen und Systemänderungen - Stichwort: Auditing.

ACHTUNG: die Kommunikation der FlashSysteme und dessen VIP (virtual ip address) und den Domain Controllern muss möglich sein - Netze beachten - ggf. routen. Ebenso muss die Kommunikation auf Port 389 oder ggf. 636 möglich sein!


Dieser Blog und dessen Screenshots wurden auf einem Windows Server 2016 Deutsch und einer FlashBlade mit Purity 2.2.10 erstellt.

Schritt 1: Vorbereiten des ActiveDirectory's


Um den Verwaltungsaufwand bei Systemanpassungen gering zu halten und mögliche Probleme bereits auszuschließen, empfiehlt es sich vorab ein wenig Zeit zu investieren. Die Verwendung von multi-globalen Administrations-/Benutzerkonten wird nicht empfohlen!


LDAP-Funktionsbenutzer anlegen


Für die Benutzer der LDAP-Integration wird ein Domänen-Benutzer mit Leseberechtigung auf das ActiveDirectory benötigt.


Wir legen hierzu einen dedizierten LDAP Benutzer mit dem Benutzernamen "ldap.lookup FunctionUser" an. Standardmäßig ist jeder neue Benutzer automatisch Mitglied der Gruppe "Domänen-Benutzer" dies reicht auch aus. Sicherheitshalber den im Register "Konto" noch den Hacken bei "Benutzer kann Kennwort nicht ändern" und "Kennwort läuft nie ab".



Ich bin noch einen Schritt weiter gegangen und aus Gründen der Blog-Serie mich dazu entschlossen, noch eine eigene Organisationseinheit "FunctionUsers" anzulegen. Der LDAP Funktionsbenutzer ist Mitglied dieser Gruppe.



Die angelegten Benutzerdaten für die Zukunft notieren.


AD-Benutzergruppen für die Verknüpfung der Rollen anlegen


Zur Verknüpfung der im Purity vordefinierten (statische - d. h. derzeit nicht anpassbar) Benutzerrollen werden nun noch insgesamt vier AD-Benutzergruppen angelegt.


Dies wurde mit folgender Namenskonvention durchgeführt:

PureStorage-*HostnameFlashSystem*_*Purity-Benutzerrolle*

Ein eindeutiger Name kann bei der Verteilung von Administrationsrechten helfen.



Ich bin auch hier ebenfalls noch einen Schritt weiter gegangen und aus Gründen der Blog-Serie mich dazu entschlossen, noch eine eigene Organisationseinheit "Groups" anzulegen. Alle AD-Benutzergruppen sind Mitglied dieser Gruppe.


NOTE: der nachfolgende Schritt 2 kann übersprungen werden, wenn das FlashSystem bereits mit den richtigen DNS-Einstellungen konfiguriert wurde. Auf Funktionalität prüfen!


Schritt 2: Einrichtung DNS-Einstellungen


Damit die Einrichtung der Domänen-Integration funktioniert, ist es Voraussetzung, dass die DNS-Einstellung richtig sind.


Im Purity hierzu nach Settings > Network wechseln - Einstellungen ggf. anpassen.

ACHTUNG: Auswirkungen bei Systemanpassungen im Produktivbetrieb berücksichtigen! Ggf. Pure Storage Support kontaktieren!


(da das Testsystem nicht Eigentum von PUREFLASH.blog ist und vertrauliche Daten enthält, musste der obige Screenshot verpixelt werden.)


Schritt 3: LDAP-Integration konfigurieren


Im Purity hierzu Settings > Users wechseln > Registerkarte: Array Management - "Configuration" wählen.


"Service Name" - ist ein unveränderbares/vordefiniertes Feld.


"Enabled" Schieberegler - über diesen Regler kann einfach die LDAP-Verbindung pausiert-getrennt werden. Damit verbundene Funktionen stehen danach selbstverständlich - zumindest temporär - nicht mehr zur Verfügung!

TIPP: bei Unsicherheiten der nächsten Eingaben kann zur Hilfe der ADSI-Editor hinzugezogen werden. Dieser ist auf jedem Domain Controller oder bei installierten Windows RSAT-Tools zu finden. Auch der 3rd-party "ADExplorer" von Sysinternals ist eine gute Alternative.


"URIs" - zur Verbindung wird der LDAP-Pfad benötigt. Dieser kann insofern nicht bekannt über den ADSI-Editor herausgefunden werden. ADSI-Editor öffnen > "Verbindung herstellen ..." auswählen > Pfad kopieren.

In unserem Beispiel "ldap://pfblog-dc01.pureflash.blog".



"Base DN" - die "Base DN" stellt die Organisationseinheit dar, in welcher unsere PureStorage-Gruppen liegen.

In unserem Beispiel "OU=Groups,DC=PUREFLASH,DC=blog".



"Bind User" - Der "Bind User" ist der eingerichtete "ldap.lookup FunctionUser", welcher die AD-Lookup's durchführt.

In unserem Beispiel "CN=ldap.lookup FunctionUser,OU=FunctionUsers,DC=PUREFLASH,DC=blog".



"Bind Password" - Passwort eingeben, wie in unserem Beispiel vorab vergeben.



Schritt 4: Purity-Rollen mit AD-Gruppen verknüpfen


"Least but not last" - müssen nun die durch Purity vorgegebenen Rollen noch mit den angelegten AD-Gruppen verknüpft werden.


Es ist hier auch möglich Unter-Organisationseinheiten abweichend der definierten "Base DN" anzugeben. Man könnte bei mehreren FlashSystemen dadurch noch granularer arbeiten. Hier lassen wir die "Base DN" wie zuvor definiert.


Wir ordnen zu/übertragen die Gruppennamen der jeweiligen Funktion/Rolle.



Nach der Eingabe der Gruppen wird durch das Klicken auf "Save" automatisch die Verbindung validiert.


Exkurs: Welche Funktion bietet mir welche Rolle? - kurz und knapp


Rolle "readonly" - nur Leseberechtigungen, können keinerlei Anpassungen durchführen -> Verwendung: für e. g. Monitoring eines Helpdeskmitarbeiters.


Rolle "storage_admin" - Rechte des "readonly"-Users + Durchführen von Storage-Operationen wie FileSystem, Snapshots, Volumes, ObjectStore Accounts, und Access Keys. ABER: keine globalen Array-Systemkonfigurationen -> Verwendung: für e. g. FileServer-Administratoren zum Erstellen von SMB-Shares, Editieren von Share-Berechtigungen.


Rolle "array_admin" - "Chef/Head of/Global Administrator" kann alle Operationen auf den Systemen durchführen.


Rolle "ops_admin" - nur Leseberechtigungen, können keinerlei Anpassungen durchführen -> Verwendung: für e. g. Mitarbeiter der im Supportfall durch Pure Storage Remotezugriffe aktivieren soll.

INFO: nach Einrichtung der LDAP-Integration bleibt die Funktion der lokalen Purity-Account e. g. "pureuser" weiter aktiv. Bei Problemen mit der LDAP-Integration kann dieser zum Troubleshooting verwendet werden.


really easy - wie man gewöhnt ist ... einfach wie immer. THAT'S IT!

Schritt 5: Login testen


Wir können uns nun direkt nach entsprechender AD-Gruppenzuordnung mit dem ActiveDirectory-Benutzer an Purity anmelden, bekommen im Backend die Rollen zugeordnen und können nun berechtigte Operationen durchführen.



Troubleshooting


Sollte es wider Erwarten zu Problemen kommen, kann man über Settings > Users wechseln - Schaltfläche "Test"(oben rechts) klicken, die LDAP-Einrichtung prüfen lassen.


(da das Testsystem nicht Eigentum von PUREFLASH.blog ist und vertrauliche Daten enthält, musste der obige Screenshot verpixelt werden.)

TIPP+ACHTUNG: durchgeführte Änderungen an AD-Gruppenzuordnungen zu Benutzern MÜSSEN nicht direkt wirksam werden! Die konfigurierten Berechtigungen werden gecached. Default leert Purity automatisch ALLE 8 Stunden diesen Cache.


Eine sofortige Cachebereinigung kann durch den CLI-Befehl: "pureadmin refresh" erzwungen werden.


Weitere Infos - Links


Sämtliche offiziell veröffentlichten Einstellungsmöglichkeiten in der GUI, aber auch CLI können über die "on-board" User Guides der Pure Storage Systeme nachgelesen werden.


Im Purity Hauptmenü hierzu auf "Help" klicken.



Der User Guide ist wie das Hauptmenü gegliedert und kann von Ebene zu Ebene geöffnet werden. Eine Suchfunktion ist auch integriert - hier kann mit Schlagworten gesucht werden.



WEB: Pure Storage (Pure1) Supportportal - Ticketsystem und Unterstützung *(erfordert registrierte FlashSysteme)


TEL: Pure Storage Telefonsupport: GER - (+49) (0)800 7239467; INTERNATIONAL - (+1) 650 7294088


WEB: Pure Storage Community


WEB: Pure Storage OFFICIAL Blog



Der Blog lebt von Fragen, Wünschen und Anregungen...jeder Kommentar ist -lich willkommen. Über Feedback bin ich sehr dankbar.

SIGN UP AND STAY UPDATED!

LINKS

>> purestorage.com - Pure Storage official site

>> virtualhome.blog - focused on veeam & virtualization topics by Falko Banaszak

MAIL:

|

TEL:

|

 Amberg, Bayern, Deutschland

LOC:

© 2019 by PUREFLASH.blog

  • Twitter Marcel Düssil PUREFLASH.blog
  • LinkedIn Marcel Düssil
  • Xing Marcel Düssil
  • PUREFLASH.blog official YouTube