emc celerra 安全配置指南 - dell · emc celerra 安全配置指南版本 5.6 3 / 82 简介...

1 / 82

目录

简介 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3系统要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3注意和警告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3用户界面选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3术语. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4相关信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7管理用户标识和身份验证的规划注意事项 . . . . . . . . . . . . . . . . . . . . . . . .14针对管理用户标识和身份验证使用外部目录服务器的规划注意事项 . . . .16基于角色的管理访问规划注意事项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18密码安全规划注意事项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21公钥基础架构 (PKI) 规划注意事项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

针对管理用户标识和身份验证配置外部目录服务器的使用 . . . . . . . . . . . . . . .25配置密码策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

以交互方式定义密码策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27定义特定密码策略定义 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28设置密码过期期限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28

配置会话超时 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29更改会话超时值. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

自定义登录横标 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31创建每日消息 (MOTD) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32保护会话令牌 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33使用 SSL 协议配置网络加密和身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

使用 HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34在 LDAP 上使用 SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34更改默认 SSL 协议 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34更改默认 SSL 加密套件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35后决条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

配置 PKI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37创建角色提供的证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37获取 CA 证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37将控制站用作 CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37

EMC Celerra 安全配置指南

P/N 300-008-085修订版 A02

版本 5.62008 年 10 月

EMC Celerra 安全配置指南版本 5.6 2 / 82

生成密钥集和证书请求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38向 CA 发送证书请求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41导入 CA 签署的证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42列出可用的 CA 证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44获得 CA 证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44导入 CA 证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47生成新的控制站 CA 证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47显示证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48分发控制站 CA 证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

管理 PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51显示密钥集和证书属性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51检查过期密钥集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52清除密钥集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52显示 CA 证书属性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53检查 CA 证书是否过期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53删除 CA 证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

疑难解答 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55获取帮助 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55EMC E-Lab 互操作性 Navigator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55对控制站与目录服务器的连接进行疑难解答 . . . . . . . . . . . . . . . . . . . . . . 55管理本地用户帐户疑难解答 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56域映射管理用户帐户疑难解答. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57证书导入疑难解答. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57错误消息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59客户培训计划 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

附录 A：支持的 SSL 加密套件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60附录 B：了解您的目录服务器配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Active Directory 用户和计算机 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Ldap Admin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

3 / 82版本 5.6EMC Celerra 安全配置指南

简介

EMC® Celerra® Network Server 实施各种安全功能来控制用户和网络访问、监视系

统访问和使用以及支持加密数据的传输。这些安全功能均在控制站和数据移动器上实施。此文档说明了使用这些安全功能的原因、时间和方式。对这些功能有一个基本的了解对于理解 Celerra 的安全性非常重要。第 7 页上的 “概念”提供了更多详

细信息。

本文档是 Celerra Network Server 文档集的一部分，主要面向负责 Celerra 的总体配

置和操作的管理员。

系统要求

第 3 页上的表 1 介绍了如本文档所述使用安全功能时所需的 Celerra Network Server 软件、硬件、网络和存储配置。

注意和警告如果对此信息有任何不太明确的地方，请联系 EMC 客户支持代表以获取帮助。

如果您在安装过程中未更改默认密码，则应尽快更改。

用户界面选项

Celerra Network Server 使您可以根据界面首选项和支持环境灵活地管理网络存储。

本文档描述了如何使用命令行界面 (CLI) 设置和管理安全功能。您还可以使用 Celerra Manager 执行其中许多任务。

有关管理 Celerra 的其他信息，请参阅：

◆ 《Learning about EMC Celerra》（了解 EMC Celerra），位于 EMC Celerra Network Server Documentation CD 上

◆ Celerra Manager 联机帮助

《Installing EMC Celerra Management Applications》（安装 EMC Celerra 管理应用

程序）包括有关启动 Celerra Manager 的说明。

表 1 安全系统要求

软件 Celerra Network Server 版本 5.6

硬件无特定硬件要求

网络无特定网络要求

存储无特定存储要求

../../mergedprojects/Concepts/Celerra_Product_Line.htm

../../../wwhelp/wwhimpl/java/html/wwhelp.htm

../InstallationManagement/index.htm


EMC Celerra 安全配置指南4 / 82 版本 5.6

术语

EMC Celerra Glossary 提供了完整的 Celerra 术语列表。

安全超文本传输协议 (HTTPS)：HTTP over SSL。客户端和服务器系统之间的所有网络

流量均被加密。此外，还有一个用于验证服务器和客户端标识的选项。通常会验证服务器标识而不验证客户端标识。

安全套接字层 (SSL)：提供加密和身份验证的安全协议。它对数据进行加密，并提供消息和服务器身份验证。如果服务器需要，它还支持客户端身份验证。

超文本传输协议 (HTTP)：连接到万维网上的服务器时所使用的通信协议。

传输层安全性 (TLS)：SSL 的后续协议，用于 TCP/IP 网络上的常规通信身份验证和加

密。 TLS 版本 1 与 SSL 版本 3 近乎相同。

访问策略：该策略定义当用户访问 Celerra 系统（所在环境配置为提供对某些文件系

统的多协议访问）中的某个文件时强制实施哪种访问控制方法（NFS 权限和/或 Windows ACL）。访问策略使用 server_mount 命令进行设置，它还确定用户可对文

件或目录执行哪些操作。

访问控制列表 (ACL)：访问控制项 (ACE) 列表，提供有关有权访问对象的用户和组的

信息。

访问控制项 (ACE)：Microsoft Windows 环境中访问控制列表 (ACL) 的元素。此元素

定义了用户或组对文件具有的访问权限。

公钥基础架构 (PKI)：管理私钥和关联的公钥证书的方式，用于公钥加密。

基于 LDAP 的目录：通过 LDAP 提供访问的目录服务器。基于 LDAP 的目录服务器示

例包括 OpenLDAP 或 iPlanet （也称为 Sun Java System Directory Server 和 Sun ONE Directory Server）。

简单网络管理协议 (SNMP)：用于在网络管理站和网络元素中的代理之间传输管理信息的方法。

角色：通过私钥和关联的公钥证书为充当服务器或客户端的数据移动器提供身份的方法。每个角色多可维护两组密钥（当前密钥和下一个密钥），以允许在当前证书过期之前生成新密钥和证书。 Kerberos：用于对身份验证信息进行编码的身份验证、数据完整性和数据隐私加密

机制。 Kerberos 与 NTLM （Netlogon 服务）共存，并使用密钥加密为客户端/服务

器应用程序提供身份验证。

控制站: Celerra Network Server 的硬件和软件组件，用于管理系统并提供 Celerra 组件的管理用户界面。

命令行界面 (CLI)：通过控制站输入命令以执行任务（包括管理和配置数据库和数据移动器以及监视 Celerra 机柜组件的统计信息）的界面。

目录服务器：存储和组织计算机网络的用户和网络资源相关信息，并允许网络管理员管理用户对资源的访问权限的服务器。 X.500 是众所周知的开放目录服务。专有目

录服务包括 Microsoft 的 Active Directory。 OpenLDAP：基于 LDAP 的目录服务的开放源码实现。

轻型目录访问协议 (LDAP)：直接通过 TCP/IP 来运行的业界标准信息访问协议。它是 Active Directory 和基于 LDAP 的目录服务器的主要访问协议。LDAP 版本 3 是按照 Internet 工程任务组 (IETF) RFC 2251 中的一组建议标准文档进行定义的。

../../mergedprojects/Glossary/index.htm


身份验证：对尝试访问资源或对象（例如文件或目录）的用户的身份进行验证的过程。

数据移动器：一个 Celerra Network Server 机柜组件，运行其自己的操作系统，并且

从存储设备检索文件并使这些文件可供网络客户端使用。

数字证书：由建立用户凭据的证书颁发机构颁发的电子 ID。它包含用户的标识（主

机名）、序列号、过期日期、证书所有者的公钥副本（用于加密消息和数字签名）以及证书颁发机构的数字签名，以便收件人可以验证证书是否有效。

通用 Internet 文件系统 (CIFS)：基于 Microsoft 服务器消息块 (SMB) 的文件共享协议。

它允许用户通过 Internet 和 Intranet 共享文件系统。 X.509：广泛用于定义数字证书的标准。 XML API：用于远程管理和监视 Celerra Network Server 的接口。此接口使用 XML 格式的消息，对编程语言无特殊限制。网络文件系统 (NFS)：分布式文件系统，提供对远程文件系统的透明访问。 NFS 允许

所有网络系统共享目录的单个副本。

证书颁发机构 (CA)：数字签署公钥证书的信任第三方。

证书颁发机构证书：标识（证书颁发机构）与主机用于验证公钥证书上的数字签名的公钥之间的数字签署关联。

相关信息有关与本文档中描述的特性和功能相关的特定信息，请参阅：

◆ 《EMC Celerra Network Server 命令参考手册》

◆ 联机 Celerra 手册页

◆ 《EMC Celerra Network Server Parameters Guide》（EMC Celerra Network Server 参数指南）

◆ 《Installing EMC Celerra Management Applications》（安装 EMC Celerra 管理

应用程序）

◆ 《在 EMC Celerra 上配置 CIFS》

◆ 《Configuring NFS on EMC Celerra》（在 EMC Celerra 上配置 NFS）

◆ 《针对多协议环境管理 EMC Celerra》

◆ 《Configuring EMC Celerra Naming Services》（配置 EMC Celerra 命名服务）

◆ 《使用 EMC Celerra FileMover》

◆ 《配置 EMC Celerra 事件和通知》

◆ 《Auditing in the Celerra Control Station》（Celerra 控制站中的审核）技术说明

◆ 《Celerra Network Server on the Enterprise Network》（企业网络上的 Celerra Network Server）技术说明

Celerra 附带以及 Powerlink® 上提供的 EMC Celerra Network Server Documentation CD 提供了一套完整的 EMC Celerra 客户出版物。登录到 Powerlink 后，请转至 “支持” > “技术文档和咨询” > “硬件/平台” > “Celerra 网络服务器”。在此页面上，单击“添加到书签”。 Powerlink 主页上的“书签”部分提供了一个可将您直接定向到此页面的链接。

../CommandReference/index.htm

../Parameters/index.htm


../CgNFS/index.htm

../ConfWindows/index.htm

../ConfWinMulti/index.htm

../FileMover/index.htm

../EventsandNotifications/index.htm

http://powerlink.emc.com


有关 LDAP 的一般信息，请参阅：

◆ RFC 2307 将 LDAP 用作网络信息服务的方法

有关 Active Directory 的 LDAP 和 SSL 配置的特定信息，请参阅：

◆ Microsoft 知识库文章如何使用第三方证书颁发机构启用 LDAP over SSL (ID 321051)

有关 OpenLDAP 和 SSL 配置的特定信息，请参阅 OpenLDAP 网站 (www.openldap.org)。如果您在使用其他非 Active Directory 基于 LDAP 的目录服务

器，请参阅该供应商的文档以获得有关 LDAP 和 SSL 配置的信息。


概念要符合新的规章和确保针对系统攻击提供有力的保护，越来越需要强大的系统安全功能。Celerra 在控制站和数据移动器上都实施了多种功能来保护其基础架构、控制

访问和保护数据。

在控制站上：

◆ 为了保护其基础架构， Celerra 提供了多种功能，可用于加强对控制站操作的控

制。第 8 页上的表 2 介绍了这些功能。

◆ 为了防止未经授权访问系统资源， Celerra 支持严格的管理用户标识和身份验

证、基于角色的管理访问以及客户定义的密码策略。第 9 页上的表 3 介绍了这

些功能。

◆ 为支持加密数据的传输， Celerra 支持 SSL 安全协议。第 10 页上的表 4 介绍了

此功能。

在数据移动器上：

◆ 为了保护其基础架构， Celerra 提供了多种功能，可用于加强对数据移动器操作

的控制。第 11 页上的表 5 介绍了这些功能。

◆ 为了保护加密数据的传输，Celerra 支持 SSL 安全协议和特定协议的公钥证书管

理。第 13 页上的表 6 介绍了这些功能。

尽管其中许多功能要求显式配置和管理，但是其他功能是作为软件操作的基本更改而推出的。例如，从 Celerra 版本 5.6 开始，实施了以下更改：

◆ 通过将用于签署会话令牌 (cookie) 的校验和从 MD5 更改为 SHA1，增强了用户

与 Celerra Manager 之间以及两台控制站之间的安全性。SHA1 会生成 160 位的

哈希值，而 MD5 只会生成 128 位的哈希值。

◆ 已从控制站的 Linux 操作系统中删除了不必要的服务和动态端口。

注意：如概述表所述，文档库中的其他位置介绍了 Celerra 的许多安全功能。因此，本文档仅包含可用安全功能的一个子集的详细配置过程。


表 2 用于保护基础架构的控制站功能概述

功能用途限制更多信息

会话超时 Celerra 对从控制站外壳和 Celerra Manager 访问的管理

会话强制实施会话超时。会话在处于非活动状态的时间达到指定期限后超时。

默认情况下，会话超时处于启用状态。

您必须是 root 用户才能修改控

制站属性。

要管理外壳会话超时，请使用命令 /nas/sbin/ nas_config -sessiontimeout。第 29 页上的

“配置会话超时”介绍了如何配置此功能。

要管理 Celerra Manager 会话超

时，请选择“Celerras” >“[Celerra 名称]”>“Security”>“Celerra Manager”。您可以在 Celerra Manager 联机帮助中找到

此功能的描述。

登录横标和每日消息 (MOTD)

登录横标和每日消息 (MOTD) 提供了一种管理员与 Celerra 管理用户通信的方法。

从命令行界面和 Celerra Manager 看到的登录横标和 MOTD 相同。


制站属性。

要通过 Celerra Manager 配置横标

和 MOTD，请选择“Celerras” >“[Celerra 名称]” > “Control Station Properties”。您可以在 Celerra Manager 联机帮助中找到


要通过 CLI 配置横标和 MOTD，

请使用文本编辑器编辑 /etc/issue 或 /etc/motd 文件。第 31 页上的

“自定义登录横标”和第 32 页上

的“创建每日消息 (MOTD)”介

绍了如何配置这些功能。

网络服务管理在 Celerra Manager 中，您可

以列出控制站上一些网络服务（以及关联的通信端口和协议）的当前状态。您可以启用、禁用和监视这些服务。为提高 Celerra 的安全性，您应

该通过禁用您的环境中不使用的网络服务来限制对 Celerra 的访问。


制站属性。

要通过 Celerra Manager 管理网

络服务，请选择“Celerras” >“[Celerra 名称]”>“Security”>“Network Services”。您可以在 Celerra Manager 联机帮助中找到


会话令牌 (cookie) Celerra 使用 SHA1 生成校验

和，以保护可用于在用户登录后标识用户的会话令牌 (cookie)。为提高安全性，您

可以更改用于生成校验和的默认 SHA1 密码值。

当您更改此值后，现有会话令牌 (cookie) 不再有效，Celerra Manager 的当前用户必须再次

登录。


制站属性。

要管理会话令牌 (cookie)，请编辑

文件 /nas/http/conf/secret.txt。第 33 页上的 “保护会话令牌”介绍

了如何配置此功能。

审核 Celerra 提供了用于捕获从控

制站启动的管理活动的配置文件和命令，尤其是对关键系统文件和终用户数据的访问。


制站属性。

EMC Powerlink 上提供的技术说

明《Auditing in the Celerra Control Station》（Celerra 控制站

中的审核）提供了有关如何实施审核的特定信息。


表 3 用于控制访问的控制站功能概述


管理用户标识和身份验证唯一的管理用户帐户允许更安全地管理 Celerra。管理用户

帐户可以是本地用户帐户，也可以是映射到域帐户的本地用户帐户。

域映射管理用户帐户要求 Celerra 具有访问基于 LDAP 的目录服务器的权限。这可能意味着配置对 Active Directory 或非 Active Directory 目录服

务器（如 OpenLDAP 或 iPlanet）的访问。

只能通过 Celerra Manager 管理管理用户。

可从 CLI 获得的 Linux 命令

（useradd、 userdel、usermod、 groupadd、groupmod 和 groupdel）不支

持 Celerra 基于角色的管理访

问，不应再用于管理用户和组帐户。

您必须是 root 用户或者具有 root 用户或安全操作员权限的

管理用户才能创建新的管理用户帐户。

第 14 页上的“管理用户标识和身

份验证的规划注意事项”介绍了此功能背后所涉及的概念。

要使用 Celerra Manager 创建和

管理管理用户，请选择“Celerras”>“[Celerra 名称]”>“Security”>“Administrators”。您可以在 Celerra Manager 联机

帮助中找到此功能的描述。

第 16 页上的“针对管理用户标识

和身份验证使用外部目录服务器的规划注意事项”介绍了 Celerra 如何与基于 LDAP 的目录服务器

交互，第 25 页上的“针对管理用

户标识和身份验证配置外部目录服务器的使用”介绍了如何配置此功能。

基于角色的管理访问此功能使您能够向管理用户分配适合于其职责的权限。因此，它简化了管理用户的 Celerra Manager 页面，方法

是：限制管理用户可执行的操作，并防止不具备执行权限的管理用户对系统和客户数据进行操作。

角色定义您可以对特定 Celerra 对象执行的权限（读

取、修改或完全控制）。Celerra 提供了预定义角色和

自定义角色。

在 Celerra 5.6 中，管理用户使

用 CLI 时不支持角色。

您必须是 root 用户或者具有 root 用户或安全操作员权限的

管理用户才能分配角色。

第 18 页上的“基于角色的管理访

问规划注意事项”介绍了此功能背后所涉及的概念。

要使用 Celerra Manager 创建和管

理基于角色的管理访问，请选择“Celerras” > “[Celerra 名称]” >“Security”>“Administrators”。您可以在 Celerra Manager 联机

帮助中找到此功能的描述。

密码质量策略强密码是安全策略的重要元素。 Celerra 强制实施许多要

求来保证密码质量策略。

此功能定义了所有本地管理用户的密码复杂性要求。此功能不适用于域映射用户，其密码由域内策略控制。

您必须是 root 用户才能定义密

码质量策略。

第 21 页上的“密码安全规划注

意事项”介绍了密码质量策略的元素。

要定义密码质量策略，请使用命令 /nas/sbin/ nas_config -password。第 27 页上的“配

置密码策略”介绍了如何配置此功能。


表 4 用于保护数据的控制站功能概述


Celerra Manager SSL (X.509) 证书

Celerra Manager 使用 SSL 加密和身份验证来保护用户的 Web 浏览器与 Celerra 的 Apache web server 之间的连

接。数字证书的真实性由 CA 进行验证， SSL 使用这些证书

来标识和验证服务器的身份。

从 5.6 开始， Celerra 软件将

在安装系统或升级软件时自动生成 CA 证书和由该 CA 证书

签署的新 Apache 证书（如果

这些证书尚不存在）。

对于 Celerra Manager，控制

站充当用于受限的 CA，签署

由 Apache web server 提供的

证书。

如果您更改了 Celerra 的主机

名，则必须重新生成控制站的 CA 和 Apache 证书。当您生成

新的 CA 证书时，也会生成匹

配的 Apache 证书。

如果您仅更改 Celerra 的域名

或 IP 地址，则只能重新生成 Apache web server 的证书。

一旦您重新生成证书，使用以前证书的任何浏览器或系统就需要安装新证书。


制站属性。

《Installing EMC Celerra Management Applications》（安

装 EMC Celerra 管理应用程序）

介绍了如何配置此功能。

EMC Powerlink 上提供的 Celerra 白皮书《Using Celerra Manager in Your Web Browsing Environment: Browser and Security Settings to Improve Your Experience》（在您的 Web 浏览

环境中使用 Celerra Manager：通

过浏览器和安全设置改善体验）提供了有关安装证书的方式和原因的信息。

使用 LDAP over SSL 进行

网络加密和身份验证 Celerra 支持在控制站和基于 LDAP 的目录服务器之间的 LDAP 连接上使用 SSL 加密和

身份验证。

第 16 页上的“针对管理用户标识

和身份验证使用外部目录服务器的规划注意事项”介绍了 Celerra 如何与基于 LDAP 的目录服务器

交互，第 25 页上的“针对管理用

户标识和身份验证配置外部目录服务器的使用”介绍了如何配置此功能。


表 5 用于保护基础架构的数据移动器功能概述（第 1 页，共 2 页）


网络服务管理在 Celerra Manager 中，您可

以列出数据移动器上一些网络服务（以及关联的通信端口和协议）的当前状态。您可以启用、禁用和监视这些服务。为提高 Celerra 的安全性，您应

该通过禁用您的环境中不使用的网络服务（例如 FTP）来限

制对 Celerra 的访问。

数据移动器上运行的一些服务要求重新启动，更改才能生效。

要通过 Celerra Manager 管理网

络服务，请选择 “Celerras” >“[Celerra 名称]”>“Security”>“Network Services”。您可以在 Celerra Manager 联机帮助中找到


CIFS Kerberos 身份验证由于 Kerberos 现在是 Windows 环境中推荐的身份验

证方法，您可能需要禁用 NTLM 身份验证。（默认情况

下，Celerra 允许 Kerberos 和 NTLM 身份验证。）

要将 CIFS 服务器身份验证模

式设置为仅使用 Kerberos，请

使用命令 server_cifs <移动器名称> -add compname=<组件名称>、domain=<完整的域名> 和 authentication=kerberos。

server_cifs 手册页介绍了如何配

置此设置。《在 EMC Celerra 上配置 CIFS》介绍了身份验证。

NFS 安全设置尽管 NFS 通常被视为容易受到

攻击的文件共享协议，但是您可以使用以下配置设置提高 NFS 的安全性： • 对部分（或全部）主机定义

只读访问

• 限制 root 用户对特定系统或子网的访问

此外，如果需要强身份验证，您可以配置使用 Kerberos 的 Secure NFS。

《Configuring NFS on EMC Celerra》（在 EMC Celerra 上配置 NFS）介绍了如何配置这

些设置。


访问策略 Celerra 的一组可自定义的访问

模式允许您为您的环境选择 NFS 和 CIFS 访问之间的佳

交互。

您可以选择如何维护安全属性以及 NFS 和 CIFS 用户之间的

交互类型，包括： • 单独

• CIFS 为主

• NFS 为主

• 平等 • 混合（用于实现两种协议之

间的高级同步）

使用 NFSv4 时需要混合访问

策略。

《针对多协议环境管理 EMC Celerra》介绍了如何配置此功能。

用于 UNIX 用户的 Windows 样式 (NT) 的凭据

Celerra 允许您创建通用 Windows 样式 (NT) 的凭据。

因此，不管文件访问协议为何，用户都具有相同的凭据，这样做可提供更一致的访问控制。

《针对多协议环境管理 EMC Celerra》介绍了如何配置此功能。

SNMP 管理 SNMP 社区字符串为 SNMP 中的安全性提供了基础。默认社区名称是常见名称 public。应

更改此名称以防止对 Celerra 的不需要访问。

使用 server_snmp-community 命令向数据移动器的服务器 SNMP 代理的社区分配新值。

SNMP 用于控制站和数据移动

器之间的通信，因此禁用它可能会干扰一些功能。例如，server_netstat 命令不起作用。

《配置 EMC Celerra 事件和通知》

介绍了如何配置此功能。

表 5 用于保护基础架构的数据移动器功能概述（第 2 页，共 2 页）



表 6 用于保护数据的数据移动器功能概述


通过 SSL 进行网络加密和

身份验证 Celerra 支持对数据移动器和

各种外部服务之间的 LDAP 和 HTTP 连接使用 SSL 加密和身

份验证。

只能通过 CLI 配置和管理数据

移动器连接上的 SSL。第 34 页上的“使用 SSL 协议配

置网络加密和身份验证” 介绍了

如何配置与此功能相关联的参数。

《Configuring EMC Celerra Naming Services》（配置 EMC Celerra 命名服务）和《使用 EMC Celerra FileMover》介绍了

如何针对这些功能配置和管理 SSL。

公钥证书 PKI 框架提供了软件管理和数

据库系统，支持对启用了 SSL 的数据移动器 LDAP 和 HTTP 连接使用数字证书。

Celerra PKI 框架仅支持 X.509 公钥证书。

第 22 页上的“公钥基础架构 (PKI) 规划注意事项”介绍了此功

能背后所涉及的概念。

第 37 页上的“配置 PKI”和第 51 页上的 “管理 PKI”介绍了如

何使用 CLI 配置和管理此功能。

要使用 Celerra Manager 配置和

管理 PKI，请选择 “Celerras” >“[Celerra 名称]”>“Security”>“Public Key Certificates”。您可

以在 Celerra Manager 联机帮助

中找到描述。


管理用户标识和身份验证的规划注意事项如果创建唯一的管理用户，并且每个用户具备适合于其职责的权限，则可简化 Celerra 管理，方法是：限制管理用户可执行的操作，并防止不具备执行权限的管理

用户对系统和客户数据执行操作。

管理功能使您能够定义：

◆ 管理用户

◆ 作为组织用户的依据的组

◆ 将组关联起来的角色

◆ 用于定义访问和控制所有 Celerra 对象的角色的权限

管理员功能还提供将外部目录服务器用作用户帐户的集中存储库以简化管理的能力。

注意：管理用户可以通过 CLI、Celerra Manager 或 XML API 访问 Celerra 系统。在 Celerra 5.6 中，仅针对通过 Celerra Manager 和 XML API 访问 Celerra 的管理用户以及发出特定 CLI 命令的管理用户支持特定权限与这些用户（又称为角色）的关联。如果特定管理用户需要基于角色的访问控制，请勿向该用户授予通过 CLI 访问 Celerra 的权限。

注意：此功能不同于使用 nas_acl 命令管理的现有控制站访问控制支持。

管理用户

Celerra 提供了两个默认管理用户帐户：root 和 nasadmin。您可以创建其他管理用

户，每个管理用户均具有适合于其职责的权限。

默认管理用户

您可以使用默认用户帐户（root 和 nasadmin）登录 CLI 和 Celerra Manager。 root 用户可以访问并控制 Celerra 中的每个对象和操作。nasadmin 用户与 root 用户具有

相同的访问权限，但是存在某些例外。

在 CLI 中，您必须是 root 用户才能执行特定命令或命令选项。这些命令通常需要特

殊专业技能、可能具有破坏性或者仅在特殊情况下使用。第 14 页上的表 7 列出了

这些命令。

表 7 只能由 root 用户执行的命令

目录命令

/nas/bin fs_ckpt fs_timefinder nas_acl nas_cel nas_devicegroup nas_fs nas_server nas_storage nas_volume


在 Celerra Manager 中，您必须是 root 用户才能配置并修改特定功能。第 15 页上的

表 8 列出了这些功能。

第 18 页上的 “基于角色的管理访问规划注意事项”提供了有关基于角色的访问如

何影响 root 和 nasadmin 的详细信息。

创建新的管理用户

在 Celerra Manager 中，您可以通过 “Administrators” > “Users” > “New User”页面创建新的管理用户帐户。 Celerra Manager 联机帮助提供了此过程的详

细说明。

注意：在 Celerra 5.6 中，不能再通过 CLI 创建管理用户帐户。CLI 中以前用于管理用户和组帐户的 Linux 命令（useradd、userdel、usermod、groupadd、groupmod 和 groupdel）不支持 Celerra 基于角色的管理访问，并将不再设置由 Celerra 软件识别的条目。

要创建新的管理用户帐户，您必须是 root 用户或者是具有 root 用户或安全操作员权

限的管理用户。第 18 页上的 “基于角色的管理访问规划注意事项”介绍了如何分

配和使用权限。

/nas/sbin cs_standby nas_ca_certificate nas_config nas_connecthomenas_halt nas_mview nas_rdf server_user

表 8 只能由 root 用户管理的 Celerra Manager 功能

功能访问位置

控制站属性 Celerra Home > Control Station Properties

会话超时 Security > Celerra Manager

网络服务 Security > Network Services

Connect Home Support > Connect Home

CLI 命令（特定 Celerra 以及 Linux 命令） CLI 命令

Set Up Celerra 向导向导

控制站之间的密码 Replications > Celerra Network Servers

表 7 只能由 root 用户执行的命令

目录命令


本地用户帐户与域映射用户帐户

管理用户帐户可以是本地用户帐户，也可以是映射到域帐户的本地用户帐户。域映射用户帐户使用域服务器上指定的用户名和密码。此类型的用户帐户始终在域服务器上进行身份验证。如果域服务器不可用，则用户不能登录。

将用户映射到本地用户帐户提供了一种机制来验证通过外部目录服务器进行身份验证的用户是否有权访问 Celerra，以及该用户是否具有执行任务所必需的本地凭据

（包括 UID）。

Celerra 提供了为域用户自动创建本地用户帐户的功能。如果启用该功能，系统将为

以下用户建立本地用户帐户：可以成功地通过域服务器身份验证的任何域映射用户；以及至少属于 Celerra 系统能够识别的一个组的任何域映射用户。域用户帐户的本

地帐户名称将与域用户名和附加的域名（例如 joe.corp）相同。如果本地已经存在

该名称，则用户名后将附加一个数字（例如 joe1.corp）。附加的数字是按顺序排列

的下一未使用过的数字。

为管理用户指定 Celerra 的权限

管理用户可以通过控制站 shell 命令行界面 (CLI)、 Celerra Manager 或 XML API 访问 Celerra 系统。

注意： XML API 允许您创建您自己的 GUI 或其他类型的管理界面。与 Celerra Manager 和某些 CLI 命令一样， XML API 在 Web 用户界面演示层和核心控制站代码之间使用 Celerra 软件界面，称为应用层或 APL。因此，必须专门启用通过 XML API 对 Celerra 的访问。

在创建新的管理用户时，您必须指定用户对 Celerra 具有的访问类型。默认情况下，

新管理用户不具有访问权限。

如果系统自动为域映射用户创建了本地用户帐户，则默认情况下已向该新用户授予对 Celerra Manager 和 XML API 的访问权限。

针对管理用户标识和身份验证使用外部目录服务器的规划注意事项

管理用户登录到 Celerra 控制站后，可以使用外部目录服务器对该管理用户帐户进

行标识和身份验证。外部目录服务器提供用户帐户的集中存储库，这简化了管理。

外部目录服务器可以是基于 LDAP 的 Active Directory，也可以是非 Active Directory 服务器：

◆ Active Directory 是指 Windows 2000 和 Windows Server 2003 中使用的一项基

于 LDAP 的目录服务，可提供用户和组帐户、安全性以及分布式资源的管理。

◆ OpenLDAP 和 iPlanet（也称为 Sun Java System Directory Server 和 Sun ONE Directory Server）是基于 LDAP 的分布式目录服务器，它们提供了一个中央存

储库，用于存储和管理标识配置文件、访问权限以及应用程序和网络资源信息。

了解目录服务器基于 LDAP 的目录服务器按特定于组织独特需求的分层目录结构组织信息。目录中

存储的每个对象用一个目录条目表示。目录条目由一个或多个属性组成。条目的属性唯一定义了该条目。条目以分层形式存储在目录树中。使用 LDAP，用户可以查

询某条目，并请求所请求条目下的所有条目及其属性。


以下为基于 LDAP 的目录结构的示例：

dc=mycompany,dc=com ou=people ou=group ou=hosts ou=netgroup

dc= 表示域组件， ou= 表示由 people、 groups、 hosts 和 netgroups 组成的组织单

元。通常， cn 属性用于表示特定条目的公共名称。

可以更改目录结构。例如，用户信息可以存储在称为 users 而不是 people 的容器

中，而主机可以存储在称为 computers 而不是 hosts 的容器中。您必须与基于 LDAP 的目录服务器的管理员配合工作来了解您所在组织的目录结构并验证是否定

义了所有必要的条目。

配置访问要配置控制站的基于 LDAP 的客户端，您必须具有以下信息：

◆ 域名 — 表示 LDAP 目录树的根目录，即， LDAP 目录树中信息搜索的起点。

也称为基础可分辨名称。

例如，基于 LDAP 的目录结构示例的基础可分辨名称为 dc=mycompany,dc=com。 Active Directory 假定属性类型为 dc，因此基础可分辨名称可以简单地表示为 mycompany.com。

注意： Celerra 仅支持单个 LDAP 域。它不支持目录树或目录林。因此，不会采用对其他域的引用。

◆ 绑定可分辨名称 — 表示用于绑定到 LDAP 服务的标识，即，允许在定义的搜索

库中搜索 LDAP 目录的用户或帐户。

通常， Active Directory 假定绑定可分辨名称的格式为 cn=<帐户名称>,cn=users,dc=<域组件>,dc=<域组件>。

注意： Active Directory 管理员可以在 Active Directory 内的其他位置创建用户，在这种情况下，绑定可分辨名称路径可能会有所不同。

OpenLDAP 目录服务器可接受不同的绑定可分辨名称格式，如 cn=<帐户名称>,uid=<名称>,ou=people,dc=<域组件>,dc=<域组件> 或 uid=<名称>,dc=users,dc=<域组件>,dc=<域组件>。

◆ 用户搜索路径和名称属性 — 表示目录分支，Celerra 将在其中搜索值为用户帐户

名称的名称属性实例。

通常， Active Directory 假定用户搜索路径和名称属性为 cn=<帐户名称>,cn=users,dc=<域组件>,dc=<域组件>。

注意： Active Directory 管理员可以在 Active Directory 内的其他位置创建用户，在这种情况下，用户搜索路径可能会有所不同。

OpenLDAP 目录服务器可接受不同的绑定可分辨名称格式，如 uid=<名称>,ou=people,dc=<域组件>,dc=<域组件> 或 uid=<名称>,dc=users,dc=<域组件>,dc=<域组件>。


◆ 组搜索路径、名称属性、组类和成员 — 表示目录分支，Celerra 将在其中搜索值

为用户组名的属性实例。可以通过标识在其中存储组的类以及该类的属性来进一步指定该组。

Active Directory 假定组搜索路径和名称属性为 cn=<帐户名称>,cn=users,dc=<域组件>,dc=<域组件>。在 Active Directory 中，组和用户存储在相同的层次结构中。组类称为 group，默认属性值为 member。

注意： Active Directory 管理员可以在 Active Directory 内的其他位置创建组，在这种情况下，组搜索路径可能会有所不同。

在其他目录服务器中，类可能为 posixGroup、 groupOfNames 或 groupOfUniqueNames。如果组类值为 groupOfUniqueNames，则默认属性值为 uniqueMember。如果组类值为 groupOfNames，则默认属性值为 member。如果组类值为 posixGroup，则默认属性值为 memberUid。

使用 SSL 连接到目录服务器

为了保护 LDAP 通信并提高客户端和服务器应用程序的安全性，基于 LDAP 的目录

服务器可以支持并（在某些情况下）要求使用 SSL。 SSL 提供加密和身份验证功

能。它通过网络加密数据，并提供消息和服务器身份验证。如果服务器需要，它还支持客户端身份验证。 SSL 使用真实性通过 CA 验证的数字证书。

LDAP 客户端使用底层 SSL 客户端验证从基于 LDAP 的目录服务器收到的证书。必

须将（签署目录服务器的证书的 CA 的） CA 证书导入到控制站中，证书验证才会

成功。此外，服务器证书的使用者必须包含服务器的主机名或 IP 地址；否则，证书

验证会失败。

注意：控制站基于 LDAP 的客户端实现不支持基于 SSL 的客户端身份验证。

第 25 页上的 “针对管理用户标识和身份验证配置外部目录服务器的使用”介绍了

如何配置此功能。

基于角色的管理访问规划注意事项

管理用户帐户始终与主组相关联，并且每个组均被分配了一个角色。角色定义管理用户可以针对特定 Celerra 对象执行操作的权限（即操作）。从 Celerra 5.6 开始，

您必须具有合适的权限才能访问和控制 Celerra 对象。

组和角色管理用户帐户始终与主组相关联。它也可以与其他组（多 17 个组）相关联。

与用户帐户一样，组可以是本地组或映射到域组的本地组。


Celerra 提供了预定义组和自定义组。不能修改或删除预定义组。每个组均被分配了

一个角色。尽管一个角色可以与许多组相关联，但是一次只能为一个组分配一个角色。如果没有为组分配角色，则将为组指定默认角色 “操作员”，该角色仅具有读取权限。第 19 页上的表 9 列出了预定义组及其相关联的角色。

管理用户可以通过属于多个组来拥有多个角色。在这种情况下，这些角色共同确定管理用户可以执行哪些操作。

角色和权限

角色定义管理用户可以对特定 Celerra 对象执行的权限（即操作）。共有三个权限

级别：

◆ 读取 — 允许管理用户查看对象。默认情况下，所有管理用户均对所有对象具有

读取权限。

◆ 修改 — 允许管理用户更改对象。

◆ 完全控制 — 允许管理用户创建和删除对象，并进行重大更改。默认情况下，

所有管理用户均具有任务对象的完全控制权限。

Celerra 提供了预定义角色和自定义角色。不能修改预定义角色（也标识为系统角

色）。自定义角色（也标识为用户角色）是指由管理员定义的角色。

表 9 预定义组及其相关联的角色

组名相关联的角色

backup 备份操作员

fullnas nasadmin

nasadmin 操作员

network 网络管理员

opadmin 操作员

root root

security 安全操作员

storage 存储管理员


预定义角色（以及这些角色对其具有修改或完全控制权限的 Celerra 对象）包括：

默认用户权限

用户帐户 root 在 root 组中具有其主要的组成员身份，该组与 root 用户角色关联。

用户帐户 nasadmin 在 nasadmin 组中具有其主要的组成员身份，该组与具有只读访

问权限的操作员角色相关联。此外，它还是 fullnas 组的成员，该组与对几乎所有 Celerra 对象具有修改和完全控制权限的 nasadmin 角色相关联。

默认情况下，新的管理用户会被分配到 nasadmin 组，这意味着该管理用户仅具有

读取权限。

注意：在基于角色的管理访问功能中， nasadmin 组与限制性更强的操作员角色相关联。以前与默认的 nasadmin 用户帐户相关联的更广泛权限现在可通过 fullnas 组中的成员身份访问。

预定义角色描述角色对其具有修改权限的对象角色对其具有完全控制权限的对象

root 系统 root 用户角色许可证日志收集和传输网络服务

所有对象

注意：要对控制站属性和 ConnectHome 具有完全控制权限，您必须以 root 用户身份登录。分配了 root 用户权限的用户不具有对这些对象的完全控制权限。

nasadmin 标准的管理员角色许可证日志收集和传输网络服务复制

除了下列对象以外的所有对象：

控制站ConnectHome 管理访问（仅限用户管理）

安全操作员对角色管理和用户/组管理具

有访问权限的安全操作员

许可证管理访问公钥证书

备份操作员对 ckpt 和 VTLU 具有完全访

问权限的备份操作员角色

不适用检查点VTLU

filemover_application FileMover 应用程序角色不适用 FileMover

网络管理员网络管理员角色不适用设备接口NISDNS路由

存储管理员存储管理员角色不适用池卷文件系统配额迁移FileMover存储系统

操作员标准的操作员角色不适用不适用


分配角色后会出现什么情况

管理用户必须具有合适的权限才能访问和控制 Celerra 对象。

使用 Celerra Manager

如果管理用户使用 Celerra Manager 访问 Celerra 系统，并且该用户未被授权执行某

特定功能，则该功能将呈灰色显示且不可用。菜单、按钮和字段均会出现这种情况。

使用 CLI

注意：在 Celerra 5.6 中，大多数 CLI 命令都不支持权限或角色。因此，您无法限制使用 CLI 的管理用户的权限。使用 CLI 的管理用户至少将继续具有与 nasadmin 角色相关联的所有权限。如果要使用比 nasadmin 限制性更强的角色创建管理用户，则应该仅允许这些管理用户通过 Celerra Manager 访问 Celerra。

在版本 5.6 中，仅对 4 个 CLI 命令强制实施权限和角色： ◆ nas_ckpt_schedule

◆ nas_copy

◆ nas_replicate

◆ nas_task

要执行这些命令的部分或全部选项，必须为管理用户分配一个对 “复制”对象具有完全控制权限的角色。单个命令描述提供了有关执行各种选项需要哪些权限的详细信息。

密码安全规划注意事项

强密码是安全策略的重要元素。

密码质量策略

为确保所有本地管理用户选择足够强的密码，您可以定义可对用户定义的密码强制实施特定复杂性的密码质量策略。此功能不适用于域映射用户，其密码由域内策略控制。

默认 Celerra 密码策略包括以下要求：

◆ 密码长度至少 8 个字符

◆ 多尝试三次以定义可接受的新密码值后，命令失败

◆ 至少 3 个字符不在以前的密码中

◆ 新密码至少包含一个数字

注意：密码当前不要求使用特殊字符（如 !、 @、 #、 $、 %、 &、 ^ 和 *）或大小写字符。

Celerra 还支持 120 天的默认密码过期期限。

第 27 页上的 “配置密码策略”介绍了如何配置此功能。

注意：对密码质量策略所做的更改仅适用于修订策略后定义的密码。


更改默认密码

Celerra 提供了两个默认管理用户帐户：root 和 nasadmin。默认情况下，为两个帐

户分配的密码都是 nasadmin。 Celerra 软件安装过程允许您输入不同的密码，但是

新密码不是必需的。

!警告!如果您在安装过程中未更改默认密码，则应尽快更改。

您可以在 Celerra Manager 中通过 “User Properties”页面选择和更改密码。

Celerra Manager 联机帮助提供了此过程的详细说明。

注意：您可以从 “Security” > “Administrators” > “Users”选项卡或 “Control Station Properties”选项卡上的 “User Name”字段访问 “User Properties”页面。

root 用户和具备安全操作员权限的管理用户不需要选择符合密码策略的密码。此外，

在创建新的用户帐户时， root 用户和具备安全操作员权限的管理用户可以向该用户

分配任何密码。

但是，如果该用户后来更改了其密码，此密码应符合当前密码策略。设置密码策略后，如果您尝试定义不符合指定要求的密码，则将收到一个错误，表明密码不正确。

公钥基础架构 (PKI) 规划注意事项

Celerra 的公钥基础架构 (PKI) 提供了软件管理和数据库系统，支持对启用了 SSL 的数据移动器 LDAP 和 HTTP 连接使用数字证书。证书的真实性由证书颁发机构验

证， SSL 使用这些证书来标识连接的一端或两端，这样做可在客户端和服务器之间

提供更强的安全性。

注意： Celerra 的 PKI 框架支持 X.509 证书标准。证书使用可分辨编码规则 (DER) 进行编码，可通过隐私增强邮件 (PEM) 格式进一步进行编码以便通过电子邮件系统方便地分发。

角色

角色用于在数据移动器充当服务器或客户端时为其提供标识。当与客户端（如与 FileMover 配合使用的外部策略和迁移软件）协商安全连接时，角色向数据移动器

（充当服务器）提供私钥和证书。此证书提供了客户端标识和验证服务器的方法。当与配置为要求进行客户端身份验证的服务器（如基于 LDAP 的外部目录服务器）

协商安全连接时，角色会向数据移动器（充当客户端）提供私钥和证书。此证书提供了服务器标识和验证客户端的方法。

默认情况下，每个数据移动器均配置有名为 default 的单个角色。为创建角色向数据

移动器提供的证书，您首先需要生成角色的公/私钥集。然后，您必须向 CA 请求已

签署证书。证书请求仅以隐私增强邮件 (PEM) 格式生成。

注意：当前，每个数据移动器仅允许使用一个角色。 Celerra 不支持通过某一机制来创建其他角色。


如果您将 Celerra 的控制站用作 CA，则控制站会自动接收证书请求，生成并签署证

书，然后将证书返回给数据移动器。控制站可以为机柜内的所有数据移动器签署证书。它不能用于为任何外部主机签署证书。第 37 页上的 “将控制站用作 CA”介绍

了使用控制站 CA 的任务。

如果您正在使用外部 CA，则必须手动发送证书请求。签署公钥的请求与公钥/私钥

集一起生成。显示角色的属性以验证其内容。获取证书请求的副本，然后通过该公司的网站或电子邮件将请求发送给 CA。

当 CA 返回已签署证书时，您必须将其导入到数据移动器中。要导入已签署证书，

您可以提供路径并导入文件，也可以剪切并粘贴关联文本。文件可以采用可分辨编码规则 (DER) 格式，也可以采用 PEM 格式。您只能以 PEM 格式剪切并粘贴文本。

每个角色多可与两组密钥和证书（当前和下一个）相关联，以允许在当前证书过期之前生成新密钥和证书。在导入下一个证书（已有效）时，此证书及其相关联的密钥集将立即成为当前密钥集和证书。

由于下一个证书通常在需要时生成，您通常看不到与某角色关联的下一个证书。但是，如果数据移动器和 CA （或充当 CA 的控制站）之间存在时间差，则下一个

证书可能处于等待状态。例如，CA 可能通过向证书分配未来开始日期来提前准备证

书。即将合并的公司可能会设置此类证书以使其在正式合并日期生效。

当下一个证书生效时（按照数据移动器时间），它将成为当前证书（当前密钥和证书会被删除），并且将发生以下其中一项操作：

◆ 查询角色（通过 CLI 或 Celerra Manager）。

◆ 数据移动器功能（如 SSL）请求角色的密钥和证书。

在证书过期后，任何使用证书的尝试都会导致失败，通常是连接丢失或重新连接失败。当有新证书可用时， PKI 会删除旧证书，并在请求证书时提供新证书。但是，

如果您在当前证书过期之前没有获取新证书，则证书请求将失败。 PKI 不会为某角

色提供过期证书。

不能自动检查公钥证书是否过期。您必须通过列出角色并检查关联证书的过期日期来检查证书是否过期。然后，您可以根据您所在组织的业务实践采取操作。

第 37 页上的“创建角色提供的证书”概述了创建当 Celerra 配置为服务器或客户端

时角色将向数据移动器提供的密钥集和证书的过程。

证书颁发机构 (CA) 证书

当基于 Celerra 的客户端应用程序需要与服务器进行网络连接（如 FileMover 与其

辅助存储之间的连接）时，服务器将提供证书作为安全连接协商的一部分。Celerra 通过验证证书来确认服务器的标识。它通过使用 CA 证书中的公钥验证服务器证书

的签名来完成此操作。

获得所需 CA 证书是一项手动任务。通常，在实际操作之前，您必须确定适当的 CA。然后，您必须检查 Celerra 上可用的 CA 证书列表。如果需要新 CA 证书，并

且正在使用外部 CA，您可以从公司的网站或安全负责人获取 CA 证书。如果 CA 是本地的（企业级或内部 CA），请从管理 CA 的人员处获取 CA 证书。

要使 Celerra 识别 CA 证书，您必须导入该证书。您可以提供路径和导入文件，也

可以剪切并粘贴文本。文件可以采用 DER 格式，也可以采用 PEM 格式。您只能以 PEM 格式剪切并粘贴文本。

第 37 页上的 “获取 CA 证书”概述了获取用于确认服务器标识的证书的过程。


将控制站用作 CA在安装或升级系统时，Celerra 软件将为控制站自动生成密钥集和证书。控制站使用

此密钥集和证书签署数据移动器的证书请求。但是，您必须完成多个配置任务，控制站才能成功地作为 CA 运作并由数据移动器识别为 CA：

◆ 向网络客户端分发控制站 CA 证书。为使网络客户端能够验证由数据移动器发送

的证书（已由控制站签署），客户端需要使用 CA 证书的公钥来验证数据移动器

证书的签名。

◆ 导入 CA 证书（以及外部 CA 的 CA 证书）。

如第 37 页上的 “将控制站用作 CA” 中所述，只能使用 CLI 命令 nas_ca_certificate 获取控制站证书的副本。

如果控制站密钥集和证书损坏，您可以重新生成它们。只能通过 CLI 命令 nas_ca_certificate 完成此任务。在重新生成控制站密钥集和证书后，您必须重新生

成新的密钥集和证书请求，然后导入其证书由控制站签署的任何角色的已签署证书。

注意：控制站将继续为 Celerra 的 Apache web server （代表 Celerra Manager）和用户的 Web 浏览器之间基于 SSL 的连接生成单独的密钥集。但是，控制站现在使用 CA 密钥集签署 Apache web server 的证书，这意味着该证书不再是自签名证书。《Installing EMC Celerra Management Applications》（安装 EMC Celerra 管理应用程序）介绍了如何管理 Celerra Manager 的证书。


针对管理用户标识和身份验证配置外部目录服务器的使用

使用外部目录服务器可提供管理用户帐户的集中存储库，这简化了管理。第 16 页上

的 “针对管理用户标识和身份验证使用外部目录服务器的规划注意事项”提供了一般描述。

在管理用户登录之前，您必须执行许多初步配置任务。

步骤操作

1. 确定 Celerra 将与之通信的基于 LDAP 的目录服务器。

注意：通常，已经使用了 Celerra 的企业将使用基于 LDAP 的目录服务器存储用户凭据。在这种情况下，请咨询 Active Directory 或其他基于 LDAP 的目录服务器的管理员以获得连接信息。否则，您需要调查可用的 Active Directory 或其他基于 LDAP 的目录服务器，发现必要的连接信息。有多个工具可用于管理基于 LDAP 的目录服务。第 62 页上的“附录 B：了解您的目录服务器配置”提供了有关这些工具的信息。

2. 获取以下信息：

a. LDAP 目录树的根目录的基础可分辨名称，即， LDAP 目录树中 Celerra 进行信息搜索

的起点。基础可分辨名称可以表示为完全限定的域名或使用 dc= 属性的 X.509 格式。

例如，如果完全限定的域名为 mycompany.com，则基础可分辨名称表示为 dc=mycompany,dc=com。

b. 基于 LDAP 的目录服务器的 IP 地址或主机名。

c. 基于 LDAP 的备份目录服务器的 IP 地址或主机名。

3. 请求目录服务器管理员添加用户名或帐户名称，用于在基于 LDAP 的服务器的目录结构中

标识 Celerra。或者，如果您有权在 Active Directory 或其他基于 LDAP 的目录服务器上创

建用户和组帐户，则请自行添加此用户名或帐户名称。

此帐户应为受限用户帐户（如域来宾帐户），仅具有目录的读取/搜索权限。

注意：有多个工具可用于管理基于 LDAP 的目录服务。第 62 页上的“附录 B：了解您的目录服务器配置”提供了有关这些工具的信息。

此条目将 Celerra 标识为将绑定到目录服务的用户或帐户，即，有权在定义的搜索库中搜

索 LDAP 目录的用户或帐户。此条目也称为绑定可分辨名称。

例如，在使用 Active Directory 时，绑定可分辨名称可定义为 cn=<帐户名称>,cn=users,dc=<域组件>,dc=<域组件> 并且，在使用 OpenLDAP 目录服务器时为 uid=<名称>,dc=users,dc=<域组件>,dc=<域组件> 或 cn=<帐户名称>,uid=<名称>,ou=people,dc=<域组件>,dc=<域组件>。


4. 验证基于 LDAP 的目录服务器中是否定义了将登录到控制站的管理用户（及其关联组），

并确定 Celerra 将在其中搜索其值为用户或组名的名称属性实例的路径。

如果用户和组帐户尚不存在，请求目录服务器管理员添加它们。或者，如果您有权在 Active Directory 或其他基于 LDAP 的目录服务器上创建用户和组帐户，则请自行添加这些

帐户。

注意：有多个工具可用于管理基于 LDAP 的目录服务。第 62 页上的“附录 B：了解您的目录服务器配置”提供了有关这些工具的信息。

例如，如果用户和组存储在常用名称为 users 的组织单元内，搜索路径将为 cn=users,dc=<域组件>,dc=<域组件>。

5. 如果 LDAP 连接使用 SSL，请从签署了基于 LDAP 的目录服务器的 SSL 服务器证书的 CA 获得公用证书。Celerra 将使用此 CA 证书来验证从 LDAP 服务器收到的证书。证书必须采

用 Base64 编码的格式。

如果基于 LDAP 的目录服务器使用外部 CA，请从 CA 公司的网站获得 CA 证书。如果基于 LDAP 的目录服务器使用内部 CA，或者证书是自签名证书，请从基于 LDAP 的目录服务器

管理员获得 CA 证书。

如果您未启用 SSL，则不需要 CA 证书。

6. 使用您发现的信息登录到 Celerra Manager，并使用“Administrators” > “Domain Settings”选项卡来配置控制站，以便它可以访问基于 LDAP 的目录服务器。

注意：如果您在 “Domain Settings”选项卡上选择了“Enable automatic domain user mapping”字段，则 Celerra 会自动创建映射到域用户的本地用户帐户。或者，您可以创建映射到域用户的管理用户，并将其与域映射组相关联。

Celerra Manager 联机帮助提供了这些任务的描述。

步骤操作


配置密码策略

此功能允许 Celerra root 管理员定义所有本地管理用户的密码复杂性要求。第 21 页上的 “密码安全规划注意事项”提供了一般描述。

注意：此功能不适用于域映射管理用户，其密码由域内策略控制。

注意：您必须是 root 用户才能执行 /nas/sbin/nas_config 命令。

以交互方式定义密码策略

操作

要启动可提示密码策略定义的脚本，请使用以下命令语法： # /nas/sbin/nas_config -password

输出

Minimum length for a new password (Between 6 and 15): [8] Number of attempts to allow before failing: [3] Number of new characters (not in the old password): [3] Number of digits that must be in the new password: [1] Number of special characters that must be in a new password: [0] Number of lower case characters that must be in password: [0] Number of upper case characters that must be in password: [0]

说明

括号中显示了为每个字段定义的当前值。每个字段的原始默认值为：

• 长度：少 8 个字符，范围 6 至 15• 尝试次数：多 3 次• 新字符数：少 3 个• 数字位数：少 1 位• 特殊、小写和大写字符数： 0 要更改每个字段的值，请在出现提示时键入新值。


定义特定密码策略定义

设置密码过期期限

/etc/login.defs 文件包含用于设置密码过期期限的参数。

操作

要设置特定密码策略定义，请使用以下命令语法： # /nas/sbin/nas_config -password [-min <6..15>] [-retries <允许的最大值>] [-newchars <最小数>] [-digits <最小数>] [-spechars <最小数>] [-lcase <最小数>] [-ucase <最小数>]

其中<6..15> = 新密码的小长度。默认长度为 8 个字符。长度必须在 6 到 15 个字符之间。<允许的最大值> = 命令失败之前用户可尝试定义可接受的新密码的次数。默认值为尝试 3 次。<最小数> = 新密码中必须存在但旧密码中不包括的小字符数。默认值为 3 个字符。<最小数> = 新密码中必须包括的少数字位数。默认值为 1 位。<最小数> = 新密码中必须包括的小特殊字符数（如 !、 @、 #、 $、 %、 &、 ^ 和 *）。默认值为 0。<最小数> = 新密码中必须包括的少小写字符数。默认值为 0。<最小数> = 新密码中必须包括的少大写字符数。默认值为 0。示例：

要将新密码的小长度设置为 10 个字符，请键入以下内容：# /nas/sbin/nas_config -password -min 10

输出

#

步骤操作

1. 使用您的用户名和密码登录到 CLI。您必须具有 root 权限才能访问 /etc/login.def 文件。

2. 使用 vi 或其他文本编辑器更改 /etc/login.def 文件中的参数 pass_max_days 的值。

注意：默认过期期限为 120 天。


配置会话超时

Celerra 对 Celerra Manager 会话和控制站外壳会话强制实施会话超时。

◆ 要管理 Celerra Manager 会话超时，请选择“Celerras” > “[Celerra 名称]” >“Security” > “Celerra Manager”。您可以在 Celerra Manager 联机帮助中找

到更详细的信息。

◆ 您可以使用 /nas/sbin/nas_config -sessiontimeout 命令更改控制站会话超时的默

认值。

注意：您必须是 root 用户才能执行 /nas/sbin/nas_config 命令。

前提条件

控制站支持三个外壳：

◆ bash

◆ ksh

◆ tcsh

每个外壳支持一个会话超时功能。控制站会话超时选项跨整个系统设置会话超时值，自动为 bash 和 ksh 外壳在 /etc/environment 中更新合适的值，并为 tcsh 外壳

在 /etc/csh.cshrc 中更新 autologout 变量。

在设置值之后，新创建的外壳会受影响（但是当前运行的任何外壳不会受到影响）。

注意：您可以通过在用户的外壳配置文件（例如 ~/.bashrc）中设置相关变量来更改单个管理用户的会话超时值。如果您直接编辑配置文件，则值不受限制。

更改会话超时值

控制站外壳会话的默认会话超时值是 60 分钟。处于非活动状态的时间或空闲时间定

义为自显示了主外壳提示符并且未收到输入以来的时间。因此，在提示符处的命令内等待不确定的时间段不受会话超时值影响。


禁用会话超时

操作

要更改会话超时值，请使用以下命令语法：# /nas/sbin/nas_config -sessiontimeout <分钟>

其中：<分钟> = 会话超时的分钟数（范围从 5 到 240）示例：

要将会话超时值更改为 200 分钟，请键入以下内容：# /nas/sbin/nas_config -sessiontimeout 200

输出

#

操作

要禁用会话超时，请使用以下命令语法： # /nas/sbin/nas_config -sessiontimeout 0

或者# /nas/sbin/nas_config -sessiontimeout off

输出

#


自定义登录横标

/etc/issue 文件包含登录横标消息或系统标识，会在登录提示前出现。登录横标可用

于任何信息目的，但是常用于警告用户有关系统的未经授权或不恰当使用。

注意：您还可以使用 Celerra Manager 的 “Control Station Properties”选项卡自定义登录横标。您必须具有 root 权限才能访问 “Login Banner”字段。

步骤操作

1. 使用您的用户名和密码登录到 CLI。您必须具有 root 权限才能访问 /etc/issue 文件。

2. 使用 vi 或其他文本编辑器编辑 /etc/issue 文件。

EMC 建议您在横标消息的末尾添加额外的回车符。

使用空格、制表符和回车符格式化消息。通常，您应将消息的大小限制为不超过单个屏幕。

注意：由于登录横标与登录提示一起显示，请勿在横标消息中包含任何敏感信息。

3. 登录到 CLI 或 Celerra Manager 以查看登录横标并验证您的更改。


创建每日消息 (MOTD) 在用户成功登录后，每日消息文件 /etc/motd 便会显示。它可以用于任何信息性目

的，但尤其可用于发送影响所有用户的消息。该消息可能包含有关服务器升级的信息或者有关即将发生的系统关闭的警报。默认情况下，此文件为空。

注意：您还可以使用 Celerra Manager 的 “Control Station Properties”选项卡自定义 MOTD。您必须具有 root 权限才能访问 “Message of the Day”字段。

步骤操作

1. 使用您的用户名和密码登录到 CLI。您必须具有 root 权限才能访问 /etc/motd 文件。

2. 使用 vi 或其他文本编辑器编辑 /etc/motd 文件。

EMC 建议您在横标消息的末尾添加额外的回车符。

使用空格、制表符和回车符格式化消息。通常，您应将消息的大小限制为不超过单个屏幕。

3. 登录到 CLI 或 Celerra Manager 以显示 MOTD 并验证您的更改。


保护会话令牌

用户与 Celerra Manager 之间以及两个 Celerras 之间的连接使用 SHA1 来生成校验

和，以保护可用于在用户登录后标识用户的会话令牌 (cookie)。用于生成校验和的 SHA1 密码值是在安装期间随机设置的。但是，为增强安全性，您可以更改默认 SHA1 密码值。

步骤操作

1. 使用您的用户名和密码登录到 CLI。您必须具有 root 权限才能访问 /nas/http/conf/secret.txt 文件。

2. 使用 vi 或其他文本编辑器编辑 /nas/http/conf/secret.txt 文件。

使用新值替换默认密码，并保存此文件。

当您更改此值后，现有会话令牌不再有效， Celerra Manager 的当前用户必须再次登录。


使用 SSL 协议配置网络加密和身份验证

安全套接字层 (SSL) 是指一种用于在 Internet 上加密网络传输的会话层协议。它对

数据进行加密，并提供消息和服务器身份验证。如果服务器需要，它还支持客户端身份验证。 SSL 独立于更高级别的协议，因此它可以封装所有应用层协议，如 HTTP 和 LDAP：

◆ 超文本传输协议 (HTTP) 是网络上使用的一种快速、无状态且面向对象的协议。

它使 Web 客户端和服务器能够彼此协商和交互。不幸的是，它的安全功能很

弱。 HTTPS （安全）是启用了 SSL 的服务器使用的 HTTP 的变体。

◆ 轻型目录访问协议 (LDAP) 是一种直接运行在 TCP/IP 上的业界标准访问协议。

它是 Active Directory 以及其他目录服务器（如 Sun Java System Directory Server (iPlanet) 和 OpenLDAP）的主要访问协议。

Celerra 支持对数据移动器 HTTP 和 LDAP 连接使用 SSL。

使用 HTTPS您可以通过 server_http 命令在数据移动器 HTTP 连接上启用 SSL。当前， Celerra 的 FileMover 功能使用 HTTPS 和 SSL 的加密和身份验证功能。《使用 EMC Celerra FileMover》介绍了如何对 HTTP 配置 SSL 以供 FileMover 使用。对 SSL 使用的密

钥和证书通过 PKI 进行管理。PKI 通过 CLI 和 Celerra Manager 提供。第 22 页上的

“公钥基础架构 (PKI) 规划注意事项”提供了 PKI 功能的概述。第 37 页上的“配置 PKI” 和第 51 页上的 “管理 PKI” 介绍了如何通过 CLI 配置和管理 PKI。

在 LDAP 上使用 SSL您可以通过 server_ldap 命令在数据移动器 LDAP 连接上启用 SSL。目前， Celerra 对 OpenLDAP、 iPlanet 和 Active Directory 的命名服务支持使用 LDAP 和 SSL 的加

密和身份验证功能。《Configuring EMC Celerra Naming Services》（配置 EMC Celerra 命名服务）介绍了如何对 LDAP 配置 SSL 以供基于 LDAP 的 OpenLDAP 和 iPlanet 目录服务器使用。对 SSL 使用的密钥和证书通过 PKI 进行管理。 PKI 通过 CLI 和 Celerra Manager 提供。第 22 页上的 “公钥基础架构 (PKI) 规划注意事项” 提供了 PKI 功能的概述。第 37 页上的“配置 PKI” 和第 51 页上的“管理 PKI” 介绍了如何通过 CLI 配置和管理 PKI。

更改默认 SSL 协议

Celerra 支持以下 SSL 协议版本：

◆ SSLv3

◆ TLSv1


更改默认 SSL 加密套件

加密套件定义了一组用于保护您的 SSL 通信的技术：

◆ 密钥交换算法（用于加密数据的密钥如何从客户端传递到服务器）。示例：RSA 密钥或 Diffie-Hellman (DH)

◆ 身份验证方法（主机如何验证远程主机的身份）。例如：RSA 证书、 DSS 证书

或无身份验证

◆ 加密方法（如何加密数据）。例如：AES （256 或 128 位）、 RC4 （128 位或 56 位）、 3DES （168 位）、 DES （56 或 40 位）或空加密

◆ 哈希算法（通过提供确定是否数据已修改的方式来保护数据）。例如：SHA-1 或 MD5

支持的加密套件融合了所有这些项。第 60 页上的“附录 A：支持的 SSL 加密套件”

列出了 Celerra 支持的 SSL 加密套件。

操作

要更改默认 SSL 协议，请使用以下命令语法：$ server_param <移动器名称> -facility ssl -modify protocol -value <新值>

其中：<移动器名称> = 数据移动器的名称<新值> = 0（SSLv3 和 TLSv1）， 1（仅限 SSLv3）或 2（仅限 TLSv1）

注意：默认值为 0。

参数和工具名称区分大小写。

示例：

要将默认 SSL 协议更改为仅 SSLv3，请键入以下内容：$ server_param server_2 -facility ssl -modify protocol -value 1

要将默认 SSL 协议更改为仅 TLSv1，请键入以下内容：$ server_param server_2 -facility ssl -modify protocol -value 2

输出

server_2 : done


后决条件

在更改了 SSL 参数值后，您必须重新启动数据移动器，以使 SSL 协议和加密套件

更改生效。

操作

要更改默认 SSL 加密套件，请使用以下命令语法：$ server_param <移动器名称> -facility ssl -modify cipher -value <新值>

其中：<移动器名称> = 指定数据移动器的名称。<新值> = 指定新加密值的字符串。如果该值包括任何特殊字符（如分号、空格或感叹号），则必须用引号引起来。

注意：默认加密套件值是 ALL:!ADH:!SSLv2:@STRENGTH，表示 Celerra 支持除了 SSLv2、Anonymous Diffie-Hellman 和 NULL 之外的所有其他加密方法，按“强度”（即加密密钥的大小）进行排序。

参数和工具名称区分大小写。

示例：

要将默认 SSL 加密套件更改为每个新 SSL 连接使用的强加密（主要为 AES128 和 AES256），

请键入以下内容：$ server_param server_2 -facility ssl -modify cipher -value ‘HIGH:@STRENGTH’

输出

server_2 : done


配置 PKI第 22 页上的 “公钥基础架构 (PKI) 规划注意事项”提供了此功能的一般描述。

创建角色提供的证书

创建由角色向数据移动器提供的证书的过程略微不同，具体取决于签署证书的证书颁发机构 (CA) 是外部 CA 还是 Celerra 的控制站：

1. 第 38 页上的 “生成密钥集和证书请求”

2. 第 41 页上的 “向 CA 发送证书请求”（使用控制站时不需要）

3. 第 42 页上的 “导入 CA 签署的证书”（使用控制站时不需要）

获取 CA 证书获取用于确认服务器标识的 CA 证书的过程包括以下任务：

1. 第 44 页上的 “列出可用的 CA 证书”

2. 第 44 页上的 “获得 CA 证书”

3. 第 47 页上的 “导入 CA 证书”

将控制站用作 CA 将控制站用作 CA 的过程包括以下任务：

1. 第 47 页上的 “生成新的控制站 CA 证书”

2. 第 48 页上的 “显示证书”

3. 第 50 页上的 “分发控制站 CA 证书”

注意：控制站将继续为 Celerra 的 Apache web server （代表 Celerra Manager）和用户的 Web 浏览器之间基于 SSL 的连接生成单独的密钥集。但是，控制站现在使用 CA 密钥集签署 Apache web server 的证书，这意味着该证书不再是自签名证书。《Installing EMC Celerra Management Applications》（安装 EMC Celerra 管理应用程序）介绍了如何管理 Celerra Manager 的证书。


生成密钥集和证书请求

要创建由角色向数据移动器提供的证书，您必须首先生成角色的公钥/私钥集以及让 CA 签署证书的请求。 CA 可以为外部 CA，也可以为控制站。

创建由外部 CA 签署的证书

操作

要生成密钥集以及让外部 CA 签署证书的请求，请使用以下命令语法：

$ server_certificate <移动器名称> -persona -generate {<角色名称> | id=<角色 ID>} -key_size <位> {-cn | -common_name} <常用名称>

其中：<移动器名称> = 与角色相关联的物理数据移动器的名称。

<角色名称> = 角色的名称。

<角色 ID> = 角色的 ID。此 ID 是在创建角色时生成的。您可以通过 -persona -list 命令确定此 ID。

<位> = 密钥大小， 2048 或 4096 位。

<常用名称> = 常用名称，通常是指描述与角色相关联的数据移动器的主机名。如果该名称包括任何特殊字符（如分号、空格或感叹号），则必须用引号引起来。

注意：证书请求仅以 PEM 格式生成。

示例：

要生成密钥集以及让外部 CA 签署证书的请求，请键入以下内容：

$ server_certificate server_2 -persona -generate default -key_size 4096 -cn ‘name;1.2.3.4’

输出

server_2 :Starting key generation.This could take a long time ... done


创建由控制站签署的证书如果您正在使用 Celerra 的控制站签署证书，则必须指定证书有效的月份数。

操作

要生成密钥集以及让控制站签署证书的请求，请使用以下命令语法：$ server_certificate <移动器名称> -persona -generate {<角色名称> | id=<角色 ID>} -key_size <位> -cs_sign_duration <月数> {-cn | -common_name} <常用名称>




<位> = 密钥大小， 2048 或 4096 位。

<月数> = 证书有效的月份数。 <常用名称> = 常用名称，通常是指描述与角色相关联的数据移动器的主机名。如果该名称包括任何特殊字符（如分号、空格或感叹号），则必须用引号引起来。


示例：

要生成密钥集以及让控制站签署证书的请求，请键入以下内容：

$ server_certificate server_2 -persona -generate default -key_size 4096 -cs_sign_duration 13 -cn ‘name;1.2.3.4’

输出

server_2 : Starting key generation.This could take a long time ... done


创建可指定有关角色的详细信息的证书

当生成角色的公钥/私钥集和证书请求时，您可以指定有关数据移动器的详细信息。

通常，此信息包括诸如使用数据移动器的组织和其所在位置之类的详细信息。此外，您还可以选择将证书请求保存到特定文件。

操作

要生成密钥集以及让外部 CA 签署证书的请求，同时指定有关数据移动器的详细信息并将证书请求

保存到特定文件，请使用以下命令语法：$ server_certificate <移动器名称> -persona -generate {<角色名称> | id=<角色 ID>} -key_size <位> {-cn | -common_name} <常用名称> -ou <组织单元> -organization <组织> -location <位置> -state <省市自治区> -country <国家/地区> -filename <输出路径>




<位> = 密钥大小， 2048 或 4096 位。

<常用名称> = 常用名称，通常是指描述与角色相关联的数据移动器的主机名。如果该名称包括任何特殊字符（如分号、空格或感叹号），则必须用引号引起来。

<组织单元> = 组织单元的名称。如果该名称包括任何特殊字符（如分号、空格或感叹号），则必须用引号引起来。 <组织> = 组织的名称。

<位置> = 组织的物理位置。 <省市自治区> = 组织所在的省市自治区。

<国家/地区> = 组织所在的国家/地区。

<输出路径> = 写入生成的请求时使用的名称和路径。

注意：参数 -ou, -organization, -location, -state 和 -country 是可选的。

注意：只有当证书将由外部 CA 签署时，参数 -filename 才有效。


示例：

要生成密钥集以及让外部 CA 签署证书的请求，同时指定有关数据移动器的详细信息并将证书请求

保存到特定文件，请键入以下内容：

$ server_certificate server_2 -persona -generate default -key_size 4096 -cn ‘name;1.2.3.4’ -ou ‘my.org;my dept’ -organization EMC -location Hopkinton -state MA -country US -filename /tmp/server_2.1.request.pem

输出

server_2 : Starting key generation.This could take a long time ... done


向 CA 发送证书请求

注意：如果您正在使用控制站签署证书，则不需要执行此任务。控制站会自动接收证书请求。

如果您正在使用外部 CA 签署证书，则将自动生成公钥/私钥集以及关于签署公钥的

请求。然后，您必须将证书请求发送给 CA。

步骤操作

1. 要显示角色的属性以验证证书请求的内容，请使用以下命令语法：$ server_certificate <移动器名称> -persona -info {-all | <角色名称> | id=<角色 ID>}



<角色 ID> = 角色的 ID。此 ID 是在创建角色时生成的。

示例：

要显示默认角色的属性（包括证书请求），请键入以下内容：$ server_certificate server_2 -persona -info default

输出：

server_2 : id=1name=defaultnext state=Request Pending next certificate: request subject = CN=name;CN=1.2.3.4request: -----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

2. 如果尚未执行此操作，请将证书请求保存到文件（例如 server_2.1.request.pem）。

3. 使用该公司的网站或电子邮件将 .pem 文件发送到 CA。


导入 CA 签署的证书

注意：如果您正在使用控制站签署证书，则不需要执行此任务。控制站会自动将签署的证书返回到数据移动器。

当下一个与角色相关联的已签署证书可供下载时，您可以导入已签署证书。证书一旦导入，就会成为当前证书（假定日期有效）。

步骤操作

1. 从 CA 获取已签署的证书（例如 cert.pem）。

2. 查询所有数据移动器以确定哪个角色在等待已签署证书：$ server_certificate ALL -persona -list

输出：

server_2 : id=1name=defaultnext state=Request Pending request subject = CN=name;CN=1.2.3.4 server_3 : id=1name=defaultnext state=Request Pending request subject = CN=test;CN=5.6.7.8

3. 要确定向哪个角色导入证书，对于 “Next State”为“Request Pending”的角色，

请将证书的使用者与 “Request Pending”字段的值相匹配。

4. 要将已签署证书导入到正在等待的角色，请使用以下命令语法：$ server_certificate <移动器名称> -persona -import {<角色名称> | id=<角色 ID>}




注意：已签署证书可以采用 DER 格式，也可以采用 PEM 格式。在命令提示符处，只能以 PEM 格式粘贴文本。如果您指定 -filename 并提供路径，则可以以 DER 或 PEM 格式导入 CA 签署的证书。

示例：

要导入已签署的证书，请键入以下内容：

$ server_certificate server_2 -persona -import default

输出：

server_2 :Please paste certificate data.Enter a carriage return and on the new line type ‘end of file’ or ‘eof’ followed by another carriage return.

注意：在正确粘贴证书文本后，将显示系统提示符。


5. 要验证是否已成功导入证书，请使用以下命令语法：$ server_certificate <移动器名称> -persona -info {-all | <角色名称> | id=<角色 ID>}




示例：

要验证是否已成功导入默认角色的证书，请键入以下内容：$ server_certificate server_2 -persona -info default

输出：

server_2id=1name=defaultnext state=Not Available Current Certificate: id = 1 subject = CN=name;CN=1.2.3.4 issuer = O=Celerra Certificate Authority;CN=eng173100 start date = 20070606183824Z end date = 20070706183824Z serial number = 05 signature alg. = sha1WithRSAEncryption public key alg. = rsaEncryption public key size = 4096 version = 3

注意：通常，在导入证书后，它将立即成为当前密钥集和证书，“Next State”字段将显示为 “Not Available”。如果导入的证书无效（例如，其时间戳比数据移动器提前几分钟或更多），则导入的密钥集和证书仍为下一个密钥集和证书，并且在密钥集和证书变为有效时，“Next State”字段将显示为“Available”。

步骤操作


列出可用的 CA 证书

获得 CA 证书

如果需要新 CA 证书，并且正在使用外部 CA，您可以从公司的网站或公司的安全负

责人获取 CA 证书。如果 CA 是控制站（企业级或内部），您可以从管理 CA 的人

员处获取 CA 证书。或者，您可以通过 nas_ca_certificate -display 命令显示 CA 证书的文本。

操作

要显示所有可用的 CA 证书，请键入以下内容：$ server_certificate ALL -ca_certificate -list

输出

server_2 : id=1subject=C=ZA;ST=Western Cape;L=Cape Town;O=Thawte Consulting cc;OU=Certificissuer=C=ZA;ST=Western Cape;L=Cape Town;O=Thawte Consulting cc;OU=Certificaexpire=20201231235959Z

id=2subject=C=US;O=America Online Inc.;CN=America Online Root Certification Autissuer=C=US;O=America Online Inc.;CN=America Online Root Certification Authexpire=20371119204300Z

id=3subject=C=US;ST=Massachusetts;L=Westboro;O=EMC;OU=IS;OU=Terms of use at wwwissuer=O=VeriSign Trust Network;OU=VeriSign, Inc.;OU=VeriSign Internationalexpire=20080620235959Z

id=4subject=C=US;O=VeriSign,Inc.;OU=Class 3 Public Primary Certification Authorissuer=C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary Certification Authorexpire=20280801235959Z

操作

要显示控制站的 CA 证书，请键入以下内容：$ /nas/sbin/nas_ca_certificate -display

注意：终端屏幕上将显示证书文本。或者，您可以将其重新定向到文件。证书文本开始和结尾分别是 BEGIN CERTIFICATE 和 END CERTIFICATE。


输出

Certificate: Data: Version: 3 (0x2) Serial Number: 3 (0x3) Signature Algorithm: sha1WithRSAEncryption Issuer: O=Celerra Certificate Authority, CN=eng173100 Validity Not Before: Mar 23 21:07:40 2007 GMT Not After : Mar 21 21:07:40 2012 GMT Subject: O=Celerra Certificate Authority, CN=eng173100 Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:da:b2:37:86:05:a3:73:d5:9a:04:ba:db:05:97: d2:12:fe:1a:79:06:19:eb:c7:2c:c2:51:93:7f:7a: 93:59:37:63:1e:53:b3:8d:d2:7f:f0:e3:49:42:22: f4:26:9b:b4:e4:a6:40:6d:8d:e7:ea:07:8e:ca:b7: 7e:88:71:9d:11:27:5a:e3:57:16:03:a7:ee:19:25: 07:d9:42:17:b4:eb:e6:97:61:13:54:62:03:ec:93: b7:e6:f1:7f:21:f0:71:2d:c4:8a:8f:20:d1:ab:5a: 6a:6c:f1:f6:2f:26:8c:39:32:93:93:67:bb:03:a7: 22:29:00:11:e0:a1:12:4b:02:79:fb:0f:fc:54:90: 30:65:cd:ea:e6:84:cc:91:fe:21:9c:c1:91:f3:17: 1e:44:7b:6f:23:e9:17:63:88:92:ea:80:a5:ca:38: 9a:b3:f8:08:cb:32:16:56:8b:c4:f7:54:ef:75:db: 36:7e:cf:ef:75:44:11:69:bf:7c:06:97:d1:87:ff: 5f:22:b5:ad:c3:94:a5:f8:a7:69:21:60:5a:04:5e: 00:15:04:77:47:03:ec:c5:7a:a2:bf:32:0e:4d:d8: dc:44:fa:26:39:16:84:a7:1f:11:ef:a3:37:39:a6: 35:b1:e9:a8:aa:a8:4a:72:8a:b8:c4:bf:04:70:12: b3:31 Exponent: 65537 (0x10001)


输出

X509v3 extensions: X509v3 Subject Key Identifier: 35:06:F2:FE:CC:21:4B:92:DA:74:C9:47:CE:BB:37:21:5E:04:E2:E6 X509v3 Authority Key Identifier: keyid:35:06:F2:FE:CC:21:4B:92:DA:74:C9:47:CE:BB:37:21:5E:04:E2:E6 DirName:/O=Celerra Certificate Authority/CN=eng173100 serial:00X509v3 Basic Constraints: CA:TRUE X509v3 Subject Alternative Name: DNS:eng173100 Signature Algorithm:sha1WithRSAEncryption 09:c3:13:26:16:be:44:56:82:5d:0e:63:07:19:28:f3:6a:c4: f3:bf:93:25:85:c3:55:48:4e:07:84:1d:ea:18:cf:8b:b8:2d: 54:13:25:2f:c9:75:c1:28:39:88:91:04:df:47:2c:c0:8f:a4: ba:a6:cd:aa:59:8a:33:7d:55:29:aa:23:59:ab:be:1d:57:f6: 20:e7:2b:68:98:f2:5d:ed:58:31:d5:62:85:5d:6a:3f:6d:2b: 2d:f3:41:be:97:3f:cf:05:8b:7e:f5:d7:e8:7c:66:b2:ea:ed: 58:d4:f0:1c:91:d8:80:af:3c:ff:14:b6:e7:51:73:bb:64:84: 26:95:67:c6:60:32:67:c1:f7:66:f4:79:b5:5d:32:33:3c:00: 8c:75:7d:02:06:d3:1a:4e:18:0b:86:78:24:37:18:20:31:61: 59:dd:78:1f:88:f8:38:a0:f4:25:2e:c8:85:4f:ce:8a:88:f4: 4f:12:7e:ee:84:52:b4:91:fe:ff:07:6c:32:ca:41:d0:a6:c0: 9d:8f:cc:e8:74:ee:ab:f3:a5:b9:ad:bb:d7:79:67:89:34:52: b4:6b:39:db:83:27:43:84:c3:c3:ca:cd:b2:0c:1d:f5:20:de: 7a:dc:f0:1f:fc:70:5b:71:bf:e3:14:31:4c:7e:eb:b5:11:9c: 96:bf:fe:6f-----BEGIN CERTIFICATE-----MIIDoDCCAoigAwIBAgIBAzANBgkqhkiG9w0BAQUFADA8MSYwJAYDVQQKEx1DZWxlcnJhIENlcnRpZmljYXRlIEF1dGhvcml0eTESMBAGA1UEAxMJZW5nMTczMTAwMB4XDTA3MDMyMzIxMDc0MFoXDTEyMDMyMTIxMDc0MFowPDEmMCQGA1UEChMdQ2VsZXJyYSBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkxEjAQBgNVBAMTCWVuZzE3MzEwMDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBANqyN4YFo3PVmgS62wWX0hL+GnkGGevHLMJRk396k1k3Yx5Ts43Sf/DjSUIi9CabtOSmQG2N5+oHjsq3fohxnREnWuNXFgOn7hklB9lCF7Tr5pdhE1RiA+yTt+bxfyHwcS3Eio8g0ataamzx9i8mjDkyk5NnuwOnIikAEeChEksCefsP/FSQMGXN6uaEzJH+IZzBkfMXHkR7byPpF2OIkuqApco4mrP4CMsyFlaLxPdU73XbNn7P73VEEWm/fAaX0Yf/XyK1rcOUpfinaSFgWgReABUEd0cD7MV6or8yDk3Y3ET6JjkWhKcfEe+jNzmmNbHpqKqoSnKKuMS/BHASszECAwEAAaOBrDCBqTAdBgNVHQ4EFgQUNQby/swhS5LadMlHzrs3IV4E4uYwZAYDVR0jBF0wW4AUNQby/swhS5LadMlHzrs3IV4E4uahQKQ+MDwxJjAkBgNVBAoTHUNlbGVycmEgQ2VydGlmaWNhdGUgQXV0aG9yaXR5MRIwEAYDVQQDEwllbmcxNzMxMDCCAQAwDAYDVR0TBAUwAwEB/zAUBgNVHREEDTALggllbmcxNzMxMDAwDQYJKoZIhvcNAQEFBQADggEBAAnDEyYWvkRWgl0OYwcZKPNqxPO/kyWFw1VITgeEHeoYz4u4LVQTJS/JdcEoOYiRBN9HLMCPpLqmzapZijN9VSmqI1mrvh1X9iDnK2iY8l3tWDHVYoVdaj9tKy3zQb6XP88Fi3711+h8ZrLq7VjU8ByR2ICvPP8UtudRc7tkhCaVZ8ZgMmfB92b0ebVdMjM8AIx1fQIG0xpOGAuGeCQ3GCAxYVndeB+I+Dig9CUuyIVPzoqI9E8Sfu6EUrSR/v8HbDLKQdCmwJ2PzOh07qvzpbmtu9d5Z4k0UrRrOduDJ0OEw8PKzbIMHfUg3nrc8B/8cFtxv+MUMUx+67URnJa//m8=-----END CERTIFICATE-----


导入 CA 证书

要使数据移动器识别 CA 证书，您必须导入该证书。您可以提供路径和导入文件，

也可以剪切并粘贴文本。

生成新的控制站 CA 证书

注意：只有当 CA 密钥集已破坏或 CA 证书过期时，才需要执行此任务。在安装或升级 Celerra 软件 5.6 期间，将生成初始控制站 CA 证书。

您必须是 root 用户才能发出此命令。

操作

要导入 CA 证书，请使用以下命令语法：

$ server_certificate <移动器名称> -ca_certificate -import [-filename <路径>]

其中：<移动器名称> = 与 CA 证书相关联的物理数据移动器的名称。

<路径> = 要导入的文件的位置

注意： CA 证书可以采用 DER 格式，也可以采用 PEM 格式。在命令提示符处，只能以 PEM 格式粘贴文本。如果您指定 -filename 并提供路径，则可以以 DER 或 PEM 格式导入 CA 证书。

示例：

要导入 CA 证书，请键入以下内容：$ server_certificate server_2 -ca_certificate -import

输出

server_2 : Please paste certificate data.Enter a carriage return and on the new line type ‘end of file’ or ‘eof’ followed by another carriage return.

注意

在正确粘贴证书文本后，将显示系统提示符。

操作

要为控制站生成新的密钥集和证书，请键入以下内容：# /nas/sbin/nas_ca_certificate -generate

注意：默认情况下，此证书的有效期为自生成之日起 5 年，证书的名字为控制站的主机名。

输出

New keys and certificate were successfully generated.


显示证书

显示控制站 CA 证书的文本，以便您可以复制它以供分发到网络客户端。

操作

要显示控制站的 CA 证书，请键入以下内容：$ /nas/sbin/nas_ca_certificate -display

注意：终端屏幕上将显示证书文本。或者，您可以将其重新定向到文件。

输出

Certificate: Data: Version: 3 (0x2) Serial Number: 3 (0x3) Signature Algorithm: sha1WithRSAEncryption Issuer: O=Celerra Certificate Authority, CN=eng173100 Validity Not Before: Mar 23 21:07:40 2007 GMT Not After : Mar 21 21:07:40 2012 GMT Subject:O=Celerra Certificate Authority, CN=eng173100 Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:da:b2:37:86:05:a3:73:d5:9a:04:ba:db:05:97: d2:12:fe:1a:79:06:19:eb:c7:2c:c2:51:93:7f:7a: 93:59:37:63:1e:53:b3:8d:d2:7f:f0:e3:49:42:22: f4:26:9b:b4:e4:a6:40:6d:8d:e7:ea:07:8e:ca:b7: 7e:88:71:9d:11:27:5a:e3:57:16:03:a7:ee:19:25: 07:d9:42:17:b4:eb:e6:97:61:13:54:62:03:ec:93: b7:e6:f1:7f:21:f0:71:2d:c4:8a:8f:20:d1:ab:5a: 6a:6c:f1:f6:2f:26:8c:39:32:93:93:67:bb:03:a7: 22:29:00:11:e0:a1:12:4b:02:79:fb:0f:fc:54:90: 30:65:cd:ea:e6:84:cc:91:fe:21:9c:c1:91:f3:17: 1e:44:7b:6f:23:e9:17:63:88:92:ea:80:a5:ca:38: 9a:b3:f8:08:cb:32:16:56:8b:c4:f7:54:ef:75:db: 36:7e:cf:ef:75:44:11:69:bf:7c:06:97:d1:87:ff: 5f:22:b5:ad:c3:94:a5:f8:a7:69:21:60:5a:04:5e: 00:15:04:77:47:03:ec:c5:7a:a2:bf:32:0e:4d:d8: dc:44:fa:26:39:16:84:a7:1f:11:ef:a3:37:39:a6: 35:b1:e9:a8:aa:a8:4a:72:8a:b8:c4:bf:04:70:12: b3:31 Exponent: 65537 (0x10001)


输出

X509v3 extensions: X509v3 Subject Key Identifier: 35:06:F2:FE:CC:21:4B:92:DA:74:C9:47:CE:BB:37:21:5E:04:E2:E6 X509v3 Authority Key Identifier: keyid:35:06:F2:FE:CC:21:4B:92:DA:74:C9:47:CE:BB:37:21:5E:04:E2:E6 DirName:/O=Celerra Certificate Authority/CN=eng173100 serial:00X509v3 Basic Constraints: CA:TRUE X509v3 Subject Alternative Name: DNS:eng173100 Signature Algorithm:sha1WithRSAEncryption 09:c3:13:26:16:be:44:56:82:5d:0e:63:07:19:28:f3:6a:c4: f3:bf:93:25:85:c3:55:48:4e:07:84:1d:ea:18:cf:8b:b8:2d: 54:13:25:2f:c9:75:c1:28:39:88:91:04:df:47:2c:c0:8f:a4: ba:a6:cd:aa:59:8a:33:7d:55:29:aa:23:59:ab:be:1d:57:f6: 20:e7:2b:68:98:f2:5d:ed:58:31:d5:62:85:5d:6a:3f:6d:2b: 2d:f3:41:be:97:3f:cf:05:8b:7e:f5:d7:e8:7c:66:b2:ea:ed: 58:d4:f0:1c:91:d8:80:af:3c:ff:14:b6:e7:51:73:bb:64:84: 26:95:67:c6:60:32:67:c1:f7:66:f4:79:b5:5d:32:33:3c:00: 8c:75:7d:02:06:d3:1a:4e:18:0b:86:78:24:37:18:20:31:61: 59:dd:78:1f:88:f8:38:a0:f4:25:2e:c8:85:4f:ce:8a:88:f4: 4f:12:7e:ee:84:52:b4:91:fe:ff:07:6c:32:ca:41:d0:a6:c0: 9d:8f:cc:e8:74:ee:ab:f3:a5:b9:ad:bb:d7:79:67:89:34:52: b4:6b:39:db:83:27:43:84:c3:c3:ca:cd:b2:0c:1d:f5:20:de: 7a:dc:f0:1f:fc:70:5b:71:bf:e3:14:31:4c:7e:eb:b5:11:9c: 96:bf:fe:6f-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----


分发控制站 CA 证书

您必须使控制站 CA 证书可用，以便网络客户端可以导入它，并且它可以用于识别

由此控制站签署的数据移动器发送的证书。

步骤操作

1. 将控制站 CA 证书文本保存到文件（例如 cs_ca_cert.crt）。

2. 通过合适的机制（FTP 或电子邮件）使此 .crt 文件对网络客户端可用。

3. 重新生成新的密钥集和证书请求，并为其证书由控制站签署的任何角色导入已签署证书。第 37 页上的 “创建角色提供的证书” 介绍了此过程。

4. 如果一个数据移动器是其他数据移动器的客户端，请将新的 CA 证书导入到合适的数据移

动器。第 37 页上的 “获取 CA 证书” 介绍了此过程。


管理 PKI第 22 页上的 “公钥基础架构 (PKI) 规划注意事项”提供了此功能的一般描述。

管理角色密钥集和证书的任务包括：

◆ 第 51 页上的 “显示密钥集和证书属性”

◆ 第 52 页上的 “检查过期密钥集”

◆ 第 52 页上的 “清除密钥集”

管理 CA 证书的任务包括：

◆ 第 53 页上的 “显示 CA 证书属性”

◆ 第 53 页上的 “检查 CA 证书是否过期”

◆ 第 54 页上的 “删除 CA 证书”

显示密钥集和证书属性

操作

要显示密钥集和证书的属性，请使用以下命令语法：$ server_certificate <移动器名称> -persona -info {-all | <角色名称> | id=<角色 ID>}




示例：

要显示名为 default 的角色的密钥集和证书，请键入以下内容：$ server_certificate server_2 -persona -info default

输出

server_2 : id=1 name=default next state=Not Available CURRENT CERTIFICATE: id = 1 subject = CN=test;CN=1.2.3.4 issuer = O=Celerra Certificate Authority;CN=eng173100 start date = 20070606183824Z end date = 20070706183824Z serial number = 05 signature alg. = sha1WithRSAEncryption public key alg. = rsaEncryption public key size = 4096 version = 3


检查过期密钥集

不能自动检查密钥集和证书是否过期。您必须通过列出角色并检查与每个角色相关联的证书的过期日期来检查证书是否过期。

清除密钥集

当密钥集过期、不再需要服务或者不会履行证书请求时，您应清除密钥集。您可以清除角色的当前密钥集和证书、下一个密钥集和证书，或者同时清除两者。

操作

要列出当前可用的所有密钥集和证书，请键入以下内容：$ server_certificate ALL -persona -list

输出

server_2 : id=1 name=default next state=Request Pending request subject=CN=name;CN=1.2.3.4server_3 : id=1 name=default next state=Not Available CURRENT CERTIFICATE: id=1 subject=CN=test;CN=1.2.3.4 expire=20070608183824Z issuer=O=Celerra Certificate Authority;CN=eng173100

注意

“Expire”字段中列出了当前证书的过期日期。 20070608183824Z 表示 GMT 时间 2007 年 6 月 8 日星期五 18:38:24。

操作

要清除密钥集和相关联的证书，请使用以下命令语法：$ server_certificate <移动器名称> -persona -clear {<角色名称> | id=<角色 ID>} {-next | -current | -both}

其中：<移动器名称> = 分配给与角色相关联的物理数据移动器的名称。


<角色 ID> = 角色的 ID。此 ID 是在创建角色时生成的。示例：

要清除 server_2 上的角色的当前和下一个密钥集和证书，请键入以下内容：$ server_certificate server_2 -persona -clear default -both

输出

server_2 :done


显示 CA 证书属性

检查 CA 证书是否过期

不能自动检查 CA 证书是否过期。您必须通过列出 CA 证书并检查过期日期来检查

证书是否过期。

操作

要显示 CA 证书的属性，请使用以下命令语法：

$ server_certificate <移动器名称> -ca_certificate -info {-all | <证书 ID>}


<证书 ID> = 证书的 ID。

注意：使用 -all 选项显示对数据移动器可用的所有 CA 证书的属性。

示例：

要显示由证书 ID 2 标识的 CA 证书的属性，请键入以下内容：$ server_certificate server_2 -ca_certificate -info 2

输出

server_2 :id=2subject = C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary Certification Authorityissuer = C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary Certification Authoritystart = 19960129000000Zexpire = 20280801235959Zsignature alg. = md2WithRSAEncryptionpublic key alg. = rsaEncryptionpublic key size = 2048 bitsserial number = 70ba e41d 10d9 2934 b638 ca7b 03cc babfversion = 1

操作

要列出当前可用的所有 CA 证书，请键入以下内容：$ server_certificate ALL -ca_certificate -list


删除 CA 证书

在 CA 证书已过期、已被破坏或服务器身份验证不再需要它时，您应删除该 CA 证书。

输出

server_2 :id=1subject=O=Celerra Certificate Authority;CN=sorentoissuer=O=Celerra Certificate Authority;CN=sorentoexpire=20120318032639Zid=2subject=C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary Certification Authorissuer=C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary Certification Authorexpire=20280801235959Z

server_3 :id=1subject=O=Celerra Certificate Authority;CN=zeus-csissuer=O=Celerra Certificate Authority;CN=zeus-csexpire=20120606181215Z

注意

“Expire”字段中列出了证书的过期日期。 20120318032639Z 表示 GMT 时间 2012 年 3 月 18 日 03:26:39。

操作

要删除 CA 证书，请使用以下命令语法：

$ server_certificate <移动器名称> -ca_certificate -delete {-all | <证书 ID>}


<证书 ID> = 证书的 ID。您可以通过 -ca_certificate -list 命令确定此 ID。

注意：使用 -all 选项删除对数据移动器可用的所有 CA 证书。

示例：

要在由其 ID 号标识的 server_2 上删除 CA 证书，请键入以下内容：$ server_certificate server_2 -ca_certificate -delete 1

输出

server_2 : done


疑难解答作为持续改善和增强产品线性能和功能的工作的一部分，EMC 会定期发布其硬件和

软件产品的新版本。因此，对于当前使用的某些软件或硬件版本，本文档中介绍的一些功能可能不受支持。有关产品功能的新信息，请参阅相关产品的发行说明。

如果某产品不能正常运作或其功能与本文档的描述不符，请与您的 EMC 代表联系。

获取帮助

要获取 EMC 支持、产品和许可信息，请执行下列操作：

产品信息 — 有关文档、发行说明、软件更新或关于 EMC 产品、许可和服务的信

息，请访问 EMC Powerlink 网站（需要注册）：

http://Powerlink.EMC.com

技术支持 — 有关技术支持，请转到 Powerlink 上的 EMC 客户服务。登录到 Powerlink 网站后，请转到 “支持” > “请求支持”。要通过 Powerlink 提交服务请

求，您必须具有有效的支持协议。请联系 EMC 客户支持代表获取有关有效的支持

协议的详细信息，或者回答有关您的帐户的任何问题。

注意：除非已经针对您的特殊系统问题指定了支持代表，否则请不要请求某个特定支持代表。

《EMC Problem Resolution Roadmap for Celerra》（EMC Celerra 的问题解决路线

图）包含有关如何使用 Powerlink 和解决问题的附加信息。

EMC E-Lab 互操作性 NavigatorEMC E-LabTM 互操作性 Navigator 是一个可搜索的、基于 Web 的应用程序，它提供

对 EMC 互操作性支持列表的访问。可从 http://Powerlink.EMC.com 获得该应用程

序。登录到 Powerlink 后，转至 “支持” > “互操作性和产品生命周期信息” >“E-Lab 互操作性 Navigator”。

对控制站与目录服务器的连接进行疑难解答

测试控制站与目录服务器的连接

您可以通过在 “Administrators” > “Domain Settings”选项卡上选择 “Test”来

验证控制站与基于 LDAP 的目录服务器的连接是否正常工作。如果您既指定了主目

录服务器，又指定了备份目录服务器，则可以同时测试两个连接。

如果至少可以成功访问一台目录服务器，则即使与其他目录服务器的连接失败，管理用户身份验证也会成功。但是，测试功能将继续报告失败，直到它可以成功地连接到两台指定的目录服务器。

失败表示域绑定设置、地址或搜索路径不正确或者一个或两个服务器都不可用。测试功能仅确保控制站可以连接（绑定）到目录服务器。它不会测试是否可以找到用户和组。

注意：备份目录服务器必须支持与主目录服务器相同的所有域设置。

http://Powerlink.EMC.com


../ProblemResolutionRoadmap/index.htm




创建绑定到目录服务的用户帐户

EMC 推荐应该尽量对用于绑定到目录服务的用户帐户进行限制（例如其主组是

“域来宾”的帐户）。如果用户帐户绑定到目录服务失败，请检查下列各项：

1. 验证 GPO 用户权限分配是否未在被拒绝从网络访问域控制器的用户列表中包括

来宾。

2. 在其中的来宾被阻止连接到域控制器的那些环境中，用户帐户的主组可能需要是域用户，而不是域来宾。

3. 如果访问问题仍然存在，则必须使用具有更高权限的用户帐户。

请确保所选帐户对目录具有读取/搜索权限。

设置 SSL 会话

为成功地创建 SSL 会话，必须已经正确地执行了下列配置任务：

◆ 上载到控制站的证书必须是签署了基于 LDAP 的目录服务器的 SSL 服务器证书

的 CA 颁发的公用证书。控制站将使用此 CA 证书来验证从 LDAP 服务器收到的

证书。

◆ 基于 LDAP 的目录服务器的主机名称（在 “Administrators” > “Domain Settings”选项卡上的 “Primary”和 “Backup”字段中指定）与目录服务器的

证书中提供的常用名称必须匹配。您指定的值取决于目录服务器证书中使用者的格式；使用者通常使用其主机名称表示，但是也可能是 IP 地址。

管理本地用户帐户疑难解答

通过更改密码启用被禁用的帐户

与 Linux 操作系统一样，如果您更改以前被禁用的本地用户管理帐户的密码，则 Celerra Manager 会启用该帐户。对被禁用的用户帐户所做的其他更改不会导致启

用该帐户。

使用本地用户帐户

Celerra 提供了创建严格的本地管理用户帐户以及域映射本地管理用户帐户的功能。

您应该使用本地用户帐户直接登录特定 Celerra。这种类型的本地用户帐户仅与在其

上创建该帐户的 Celerra 相关，并用于管理该 Celerra。

为域用户创建的本地用户帐户提供了一种机制来验证通过外部目录服务器身份验证的用户是否有权访问 Celerra Network Server 以及该用户是否具有执行任务所必需

的本地凭据（包括 UID）。您应该使用域帐户远程访问并管理多个 Celerra，以便不

再需要在您管理的每个 Celerra 上配置各个用户帐户。

重要信息：请勿使用域映像帐户的本地名称登录到 Celerra。


清理过期的本地用户帐户

在某些情况下，您可能需要从 Celerra 中手动删除过期的本地用户帐户。只有当用

户名完全一样时，才会出现此问题。例如，用户 Jennifer Smith 具有名为 JSmith 的域映射本地用户帐户。随后， Jennifer 采用了她的夫姓，并且她在目录服务器上的

用户帐户被更改为 JBrown，这导致生成了一个新的域映射本地用户帐户。但是当使

用用户名 JSmith 在目录服务器上创建新用户 Joshua Smith，并且将该用户映射到 Celerra 时，他会被分配现有的本地用户帐户 JSmith，并且被授予以前分配给 Jennifer 的权限。

EMC 建议在目录服务器上应该避免对于不同的物理用户重复使用用户名。如果此类

重复使用情形不可避免，则为防止出现以上所述的潜在有问题的情形，您必须使用 Celerra Manager 执行下列操作之一：

◆ 如果 Celerra 管理员的目录用户名被更改，请手动更改域映射本地用户帐户中的

本地用户名和域用户名。

◆ 如果 Celerra 管理员的帐户已从目录服务器中删除，请手动删除域映射本地用户

帐户和主目录。

了解如何创建本地用户帐户名称

从域用户自动映射本地用户帐户时，Celerra 会根据用户的目录服务器名称和域名为

其分配名称。如果用户名包含空格，则这些空格会被删除。

域映射管理用户帐户疑难解答

当域映射管理用户登录控制站时，所提供的域名必须与 Celerra 能识别的域名或完

全限定的域名（即在 Celerra Manager 的 “Domain Settings”选项卡上定义的域

名）相匹配。否则，该用户将无法登录。

支持的域映射用户登录格式为：

◆ <域名>\<用户> （例如 mycompany\anne）

◆ <完全限定的域名>\<用户> （例如， mycompany.com\anne）

◆ <用户>@<域名> （例如 anne@mycompany）

◆ <用户>@<完全限定的域名> （例如 [email protected]）

注意：用户只能在单个域下登录。因此， mycompany 和 mycompany.com 会被视为同一个域。

证书导入疑难解答

数据移动器和控制站均使用证书来识别启用了 SSL 的连接的一端或两端。数据移动

器可以导入使用可分辨编码规则 (DER) 格式（也称为二进制编码的 X.509）或隐私

增强邮件 (PEM) 格式（也称为 Base64 编码的 X.509）编码的证书。控制站可以导

入使用 PEM 格式编码的证书。


采用 DER 格式的证书文件由二进制数据组成。 PEM 格式使用 Base64 编码来将二

进制文本转换为 ASCII 文本，将各个 6 位转换为特定 ASCII 字符，并在行 BEGIN CERTIFICATE 和 END CERTIFICATE 中包含证书文本（多 64 个字符）。根据证

书文件的来源， PEM 编码的证书的前面可能包含列出证书内容的其他文本。如果将

二进制文本转换为文本，则可能导致无法修改系统之间传输（例如通过电子邮件）的数据。

将证书导入到数据移动器

尝试导入过期证书

如果您在导入证书时收到错误，请验证该证书的有效日期是否已过。不能将过期证书导入到数据移动器。

导入 DER 编码的证书

如果您在将 DER 编码的证书导入到数据移动器时收到错误，请检查以下内容：

◆ 使用 OpenSSL 或 Microsoft Certificate Server 等工具验证证书是否有效。要使

用这些工具，文件的扩展名必须有效，如 .der、 .cer 或 .crt。

◆ 如果证书无效，即，工具报告错误，则证书文件可能已损坏，必须替换为未损坏的副本。

◆ 如果证书有效，请使用工具将证书导出为 PEM 格式，并验证 PEM 编码的证书

是否有效，然后导入证书的 PEM 版本。

导入 PEM 编码的证书

如果您在将 PEM 编码的证书导入到数据移动器时收到错误，请检查以下内容：

◆ 验证证书文件的 PEM 格式是否正确。

◆ 使用 OpenSSL 或 Microsoft Certificate Server 等工具验证证书是否有效。如果证

书无效，即，工具报告错误，则证书文件可能已损坏，必须替换为未损坏的副本。

将证书导入到控制站

如果您上载过期的证书，控制站不会返回错误。但是，控制站不会使用过期证书验证从基于 LDAP 的目录服务器收到的证书。

您可以通过在 “SSL Certificate”字段中查看证书的属性来确定当前安装的证书的

过期日期。


错误消息从版本 5.6 开始，所有新事件、警报和状态消息都将提供详细信息和建议操作以帮

助您解决问题。

要查看消息详细信息，请使用下列方法之一：

◆ Celerra Manager：

• 右键单击事件、警报或状态消息，然后选择查看事件详细信息、警报详细信息或状态详细信息。

◆ Celerra CLI：

• 使用 nas_message -info <消息 ID> 命令检索特定错误的详细信息。

◆ 《EMC Celerra Network Server Error Messages Guide》（EMC Celerra Network Server 错误消息指南） :

• 使用本指南查找有关使用先前版本消息格式的消息的信息。

◆ Powerlink：

• 使用错误消息的简短描述文本来搜索 Powerlink 上的知识库。登录到 Powerlink 后，请转至 “支持” > “知识库搜索” > “搜索全部”。

客户培训计划

EMC 客户培训计划旨在帮助您了解 EMC 存储产品如何一起工作并在您的环境中进

行集成，以大限度地利用整个基础结构的投资。 EMC 客户培训计划通过先进的

实验室来提供网上和实际操作培训，这些实验室遍及全球，非常方便您参与。 EMC 客户培训计划由 EMC 专家开发和提供。有关计划信息和注册，请登录到我们的客

户和合作伙伴网站 Powerlink，并选择 “培训”菜单。

../ErrorMsgs/index.htm

../ErrorMsgs/index.htm




附录 A：支持的 SSL 加密套件

第 60 页上的表 10列出了 Celerra 支持的加密套件。以下列表提供了来自相关规范

的 SSL 或 TLS 加密套件名称及其 OpenSSL 对等项。请注意，许多加密套件名称不

包括使用的身份验证方法，例如 DES-CBC3-SHA。在这些情况下，会使用 RSA 身份验证。

存在以下限制：

◆ 默认情况下禁用 NULL 加密和所有 ADH 加密套件（因为它们不允许进行身份

验证）。

◆ 由于证书大小， Celerra 不接受某些加密套件（如果数据移动器呈现的证书有 2048 位密钥，则具有较小密钥的加密会被拒绝）。

表 10 支持的 SSL 加密套件（第 1 页，共 2 页）

协议规范名称 OpenSSL 名称

SSL v3.0 加密套件 SSL_RSA_WITH_NULL_MD5 NULL-MD5

SSL_RSA_WITH_NULL_SHA NULL-SHA

SSL_RSA_WITH_DES_CBC_SHA DES-CBC-SHA

SSL_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHA

SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-RSA-DES-CBC-SHA

SSL_DHE_RSA_WITH_DES_CBC_SHA EDH-RSA-DES-CBC-SHA

SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA EDH-RSA-DES-CBC3-SHA

SSL_DH_anon_EXPORT_WITH_RC4_40_MD5 EXP-ADH-RC4-MD5

SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA EXP-ADH-DES-CBC-SHA

SSL_DH_anon_WITH_DES_CBC_SHA ADH-DES-CBC-SHA


TLS v1.0 加密套件 TLS_RSA_WITH_NULL_MD5 NULL-MD5

TLS_RSA_WITH_NULL_SHA NULL-SHA

TLS_RSA_EXPORT_WITH_RC4_40_MD5 EXP-RC4-MD5

TLS_RSA_WITH_RC4_128_MD5 RC4-MD5

TLS_RSA_WITH_RC4_128_SHA RC4-SHA

TLS_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-DES-CBC-SHA

TLS_DH_anon_WITH_RC4_128_MD5 ADH-RC4-MD5

TLS_DH_anon_WITH_3DES_EDE_CBC_SHA ADH-DES-CBC3-SHA

RFC3268 中的 AES 加密

套件，扩展 TLS v1.0TLS_RSA_WITH_AES_128_CBC_SHA AES128-SHA

TLS_RSA_WITH_AES_256_CBC_SHA AES256-SHA

TLS_DHE_RSA_WITH_AES_128_CBC_SHA DHE-RSA-AES128-SHA

TLS_DHE_RSA_WITH_AES_256_CBC_SHA DHE-RSA-AES256-SHA

TLS_DH_anon_WITH_AES_128_CBC_SHA ADH-AES128-SHA

TLS_DH_anon_WITH_AES_256_CBC_SHA ADH-AES256-SHA

附加 Export 1024 和其他

加密套件

注意：这些加密方法也可用在 SSL v3 中。

TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA EXP1024-DES-CBC-SHA

TLS_RSA_EXPORT1024_WITH_RC4_56_SHA EXP1024-RC4-SHA

SSL v2.0 加密套件 SSL_CK_DES_64_CBC_WITH_MD5 DES-CBC-MD5

SSL_CK_DES_192_EDE3_CBC_WITH_MD5 DES-CBC3-MD5

表 10 支持的 SSL 加密套件（第 2 页，共 2 页）

协议规范名称 OpenSSL 名称


附录 B：了解您的目录服务器配置

此附录提供了有关您可用于更好地了解您的组织信息在基于 LDAP 的目录服务器中

的结构的工具，并提供了有关如何解释此信息的提示。您必须了解您的用户和组的所在位置。使用此信息如第 25 页上的 “针对管理用户标识和身份验证配置外部目

录服务器的使用”中所述设置目录服务器，并配置控制站的基于 LDAP 的客户端与

目录服务器之间的连接（通过 Celerra Manager 的“Administrators” > “Domain Settings”选项卡完成此任务）。

可使用许多工具管理基于 LDAP 的目录服务，包括：

◆ 第 62 页上的 “Active Directory 用户和计算机”

◆ 第 70 页上的 “Ldap Admin”

Active Directory 用户和计算机可以使用 Active Directory 用户和计算机 (ADUC) MMC 管理单元管理 Active Directory 用户和组帐户。此管理单元自动安装在每个 Windows 域控制器上。您可

以从“Control Panel ”（控制面板） > “Administrative Tools”（管理工具） >“Active Directory Users & Computers”（Active Directory 用户和计算机）访问此

工具。

第 62 页上的表 11 列出了要成功连接到 Active Directory 所需的信息。

表 11 要连接到 Active Directory 目录服务器所需的信息

所需的连接信息值

完全限定的域名（也称为基础可分辨名称）

主域控制器/目录服务器的 IP 地址或

主机名

辅助域控制器/目录服务器的 IP 地址

或主机名

帐户名称（也称为绑定可分辨名称）


步骤操作

1. 打开 ADUC 并（在必要时）连接到域。右键单击域名，然后从菜单中选择“Find”（查找）。


2. 确定将成为 Celerra 管理用户的域用户。要找到用户配置文件，请在“Find”（查找）字

段中键入用户名，然后单击 “Find Now”（立即查找）。

步骤操作


3. 通过选择“View”（查看） > “Choose Columns”（选择列）将 X.500 路径添加到显示的

用户信息。

4. 从 “Columns available”（可用的列）字段中选择“X500 Distinguished Name”（X500 可分辨名称），然后单击“Add”（添加）。

步骤操作


5. “查找”窗口现在显示此管理用户的 X.500 可分辨名称。 X.500 可分辨名称包含用户名 (CN=Joe Muggs) 以及到目录结构中的用户所在的容器的路径：

CN=Users,DC=derbycity,DC=local。记下路径。

步骤操作


6. 通过以下方法验证所有其他 Celerra 管理用户是否使用同一路径：

• 对于所有 Celerra 管理用户帐户重复 “查找”操作。

或者

• 浏览到 ADUC 中对应的目录区域，并找到所有 Celerra 管理用户帐户

7. 重复步骤 1 至 6 以找到至目录结构中组所在的容器的路径。

如果用户和组路径都为 CN=Users,DC=<域组件>,DC=<域组件>[, DC=<域组件>…] （例如，

CN=Users,DC=derbycity,DC=local），您可以使用“Domain Settings”（域设置）选项卡

上的“Default Active Directory”（默认 Active Directory）选项。此选项假定用户和组均位

于默认容器 (CN=Users) 中，这样您就不必指定用户或组搜索路径。

步骤操作


8. 用户可能不在默认容器 (CN=Users) 中。它们可能在目录内的其他容器或组织单元中，例如 Celerra Users。在这种情况下，您需要使用“Domain Settings”（域设置）选项卡上的

“Custom Active Directory”（自定义 Active Directory）选项并手动输入搜索路径。

9. 组可能不在默认容器 (CN=Users) 中，并且它们不一定与用户位于相同位置。它们可能位

于目录内的其他容器或组织单元中。

步骤操作


10. LDAP 用户和组搜索从指定路径开始，并会搜索该容器以及它下面的所有容器。如果 Celerra 管理用户和组不在同一容器或组织单元内，则当指定用户和组搜索路径时，您必须

使用其路径的交叉（公共部分）。在某些情况下，这可能需要是域的根。例如，假定 Celerra 管理用户存储在以下两个 Active Directory 位置：

路径 1：CN=Users,DC=derbycity,DC=local

路径 2：OU=Celerra Users,OU=EMC Celerra,DC=derbycity,DC=local

为便于 Celerra 查找所有管理用户，您需要使用这两个路径的交叉部分作为搜索路径，即，

域根 DC=derbycity,DC=local。

在 “Domain Settings”（域设置）选项卡上的 “User Search Path”（用户搜索路径）字

段中键入此值。

11. 再次使用 “查找”窗口确定将用于将 Celerra 控制站连接到目录的帐户的完整 X.500 路径。在这种情况下，不应从路径中删除用户名，因为您正指定到单个帐户的路径。

如果您正在使用 “Domain Settings”（域设置）选项卡上的 “Default Active Directory”（默认 Active Directory）选项，则请仅在 “Account Name”（帐户名称）字段中键入帐户

名称，例如“Celerra LDAP Binding”。您不需要提供 X.500 语法，因为 Celerra 软件会构

造完整的 X.500 路径。

如果您正在使用 “Domain Settings”（域设置）选项卡上的 “Custom Active Directory”（自定义 Active Directory）选项，则请在 “Distinguished Name”（可分辨名称）字段中

键入完整的 X.500 路径。

步骤操作


Ldap Admin与 Active Directory 不同，其他基于 LDAP 的目录服务器通常不提供 GUI 管理接口。

在这种情况下，您可以使用 Ldap Admin 等工具在 LDAP 服务器上查找适当的搜索

路径。免费的 Ldap Admin 工具（可从 ldapadmin.sourceforge.net 获得的 Windows LDAP 管理器）允许您在 LDAP 服务器上浏览、搜索、修改、创建和删除

对象。Ldap Admin 的复制到剪贴板功能对于方便地将值转移到 Celerra Manager 的“Domain Settings”（域设置）选项卡上尤其有用。

第 70 页上的表 12 列出了您成功连接到自定义 Active Directory 或其他基于 LDAP 的目录服务器（如 OpenLDAP）所需的信息。

表 12 连接到自定义 Active Directory 或其他基于 LDAP 的目录服务器所需的信息

所需的连接信息值

完全限定的域名（也称为基础可分辨名称）

主目录服务器的 IP 地址或主机名

辅助目录服务器的 IP 地址或主机名

可分辨名称（也称为绑定可分辨名称）

用户搜索路径

用户名属性

组搜索路径

组名属性

组类

组成员


步骤操作

1. 启动 Ldap Admin 并建立新连接。单击“Test connection”（测试连接）以验证连接。


2. 打开到 LDAP 服务器的连接，右键单击域名，然后从菜单中选择“Search”（搜索）。

3. 确定将成为 Celerra 管理用户的 LDAP 用户。要找到用户配置文件，请在 “Name”（名

称）字段中键入用户名，然后单击 “Start”（开始）。

步骤操作


4. 在结果列表中右键单击合适的用户，然后从菜单中选择 “Go to”（转到）。您将使用此用

户确定用户和组搜索路径。关闭 “Search”（搜索）窗口。

步骤操作


5. 在 Ldap Admin 主窗口中，注意状态栏包含用户所在的文件夹的可分辨名称 (DN)。许多 LDAP 服务器遵循 RFC2307 中概述的约定，将用户放在 People 容器中。

6. 右键单击文件夹，然后从菜单中选择 “Copy dn to clipboard”（复制 DN 到剪贴板）。

步骤操作


7. 在 “Domain Settings”（域设置）选项卡上，选择 “Other Directory Servers”（其他目

录服务器）选项。在 “User Search Path”（用户搜索路径）字段中粘贴 DN 值。

8. 通过以下方法验证所有其他 Celerra 管理用户是否使用同一路径：

• 对于所有 Celerra 管理用户帐户重复 “搜索”操作。

或者

• 浏览到 Ldap Admin 中对应的目录区域，并找到所有 Celerra 管理用户帐户

步骤操作


9. 重复步骤 2 至 8 按组名搜索，以找到至目录结构中组所在的容器的路径。在按组名搜索

时，您必须使用高级搜索并以 cn=<组名称> 形式提供搜索筛选器。当搜索完成时，请在

结果列表中右键单击合适的组，然后从菜单中选择 “Go to”（转到）。

10. LDAP 用户和组搜索从指定路径开始，并会搜索该容器以及它下面的所有容器。如果 Celerra 管理用户和组不在同一容器或组织单元内，则当指定用户和组搜索路径时，您必须

使用其路径的交叉（公共部分）。在某些情况下，这可能需要是域的根。例如，假定 Celerra 管理用户存储在以下两个 LDAP 位置：

路径 1：OU=People,DC=openldap-eng,DC=local

路径 2：OU=Celerra Users,OU=EMC Celerra, DC=openldap-eng,DC=local

为便于 Celerra 查找所有 Celerra 管理用户，您需要使用这两个路径的交叉部分作为搜索路

径，即，域根 DC=openldap-eng,DC=local。

步骤操作


11. 使用 “Search”（搜索）窗口找到用于将 Celerra 控制站连接到目录的用户帐户。右键单

击帐户名称，然后选择 “Copy dn to clipboard”（复制 DN 到剪贴板）。将 DN 值粘贴在

“Domain Settings”（域设置）选项卡上的 “Distinguished Name”（可分辨名称）字段

中，例如 uid=celerra,ou=People。

步骤操作


索引

A安全套接字层请参见“SSL”

CCA 证书

导入 23, 47分发 50获得 44获取 23, 37列表 44, 53删除 54生成 47显示 48显示属性 53

CIFS Kerberos 身份验证 11cookie 7, 8

D登录横标 8

自定义 31

F访问策略 12

G公钥基础架构请参见“PKI”公钥证书 13

CA 证书 23创建 37导入 CA 签署的证书 42角色 22列表 52清除 52生成密钥集和证书请求 38显示 51向 CA 发送证书请求 41

管理权限 9, 14管理用户

本地与域映射 16创建 15创建角色 19创建组 18访问 Celerra 16默认值 14使用目录服务器进行标识和身份验证 16疑难解答 56, 57

管理用户标识和身份验证 9规划 14接口支持 14

H会话超时 8

更改 30禁用 30配置 29

会话令牌 7, 8更改 SHA1 密码值 33

J基于角色的管理访问 9

创建 19默认值 20

基于 LDAP 的目录服务器工具 62疑难解答 55, 56用于管理用户标识和身份验证 9, 25

角色导入证书 22请求已签署证书 22生成密钥集 22提供证书 37

校验和支持 7, 8

K控制站

安全 3, 7安全性以控制访问 9安全以保护数据 10登录横标 8管理用户标识和身份验证 9会话超时 8基础架构的安全性 8基于角色的管理访问 9Linux 操作系统更改 7MOTD 8密码质量策略 9配置目录服务器的使用 25SSL (X.509) 证书 10审核 8使用基于 LDAP 的目录服务器 9网络服务管理 8用作 CA 37

MMOTD 8每日消息 8

创建 32密码

定义特定策略定义 28更改默认值 22设置过期 28使用脚本定义策略 27质量策略 9, 21

NNFS 安全设置 11

80 / 82 EMC Celerra 安全配置指南版本 5.6

PPKI 34

SSHA1 7, 8SNMP 管理 12SSL 18

对 HTTP 使用证书 13, 34对 LDAP 使用证书 13, 34更改加密套件 35更改协议版本 34疑难解答 56在 Celerra Manager 中使用证书 10针对控制站和基于 LDAP 的目录服务器连接使用证书 10支持的加密套件 60

审核 8数据移动器

安全 3, 7安全性以保护基础架构 11安全以保护数据 13CIFS Kerberos 身份验证 11访问策略 12NFS 安全设置 11PKI 13SNMP 管理 12SSL (X.509) 证书 13网络服务管理 11用于 UNIX 用户的 Windows 样式的凭据 12

WWindows 样式的凭据 12网络服务管理 8, 11

Y疑难解答 55

本地管理用户帐户 56创建绑定帐户 56建立 SSL 会话 56控制站与目录服务器的连接 55域映射管理用户帐户 57

用户界面选项 3

Z证书验证 18证书，公钥


说明

关于本文档

作为持续改善和增强 Celerra Network Server 产品线性能和功能的工作的一部分，EMC 会定期发布新版本的 Celerra 硬件和软件。因此，对于当前使用的某些 Celerra 软件或硬件版本，本文档中介绍的一些功能可能不受支持。有关产品功能的新信息，请参阅相关产品的发行说明。如果您的 Celerra 系统未提供本文档所描述的功能，请联系 EMC 客户支持代表获取硬件升级或软件更新。

关于文档的意见和建议

您的建议有助于我们提高用户文档的准确性、组织结构和整体质量。请通过邮件将您对本文档的意见发送到 [email protected]。

版权所有 © 1998-2008 EMC Corporation。保留所有权利。

EMC 确信本出版物中的内容截至发布时是准确的。如有更改，恕不另行通知。

本出版物的内容按 “原样”提供。 EMC CORPORATION 对本出版物的内容不提供任何形式的陈述或担保，明确拒绝对有特定目的的适销性或适用性进行默示担保。

使用、复制或发布本出版物所描述的任何 EMC 软件都要有相应的软件许可证。

有关 EMC 产品名称的新清单，请参见 www.EMC2.com.cn 上的 EMC Corporation 商标。

本文涉及的所有其他商标均属于各自所有者的财产。

版本 5.6 82 / 82

emc celerra 安全配置指南 - dell · emc celerra 安全配置指南 版本 5.6 3 / 82 简介...

Documents

emc celerra 安全配置指南 - dell · emc celerra 安全配置指南版本 5.6 3 / 82 简介...