Zum Hauptinhalt springen

Den Typ der Authentifizierungsmethode bestimmen, der von Lenovo XClarity Administrator verwendet wird

Sie können den Typ der Authentifizierungsmethode bestimmen, der derzeit von den Registerkarten LDAP-Client und SAML-Einstellungen auf der Seite „Sicherheit“ verwendet wird.

Zu dieser Aufgabe

Der Authentifizierungsserver ist ein Benutzerregistry, das zum Authentifizieren von Benutzeranmeldeinformationen verwendet wird. Lenovo XClarity Administrator unterstützt die folgenden Typen von Authentifizierungsservern:
  • Lokaler Authentifizierungsserver. XClarity Administrator ist standardmäßig für die Verwendung des eingebetteten LDAP-Servers (Lightweight Directory Access Protocol) konfiguriert, der sich auf dem Verwaltungsserver befindet.
  • Externer LDAP-Server. Derzeit werden nur Microsoft Active Directoryund OpenLDAP unterstützt. Dieser Server muss sich auf einem externen Microsoft Windows-Server befinden, der mit dem Verwaltungsnetzwerk verbunden ist.

    Wenn ein externer LDAP-Server verwendet wird, ist der lokale Authentifizierungsserver deaktiviert.

    Achtung
    Um die Bindungsmethode für Active Directory so zu konfigurieren, dass Anmeldeinformationen verwendet werden, muss im Baseboard Management Controller für jeden verwalteten Server Firmware ab September 2016 (oder später) ausgeführt werden.
  • Externes Identitätsverwaltungssystem. Derzeit wird nur CyberArk unterstützt.

    Wenn Benutzeraccounts für einen ThinkSystem oder ThinkAgile Server auf CyberArk integriert werden, können Sie wählen, dass XClarity Administrator die Anmeldeinformationen für die Anmeldung beim Server bei der Ersteinrichtung der Server zur Verwaltung (mit verwalteter oder lokaler Authentifizierung) von CyberArk abruft. Bevor Anmeldeinformationen von CyberArk abgerufen werden können, müssen die CyberArk-Pfade in XClarity Administrator definiert werden und es muss eine gegenseitige Vertrauensstellung zwischen CyberArk Und XClarity Administrator mithilfe von TLS für gegenseitige Authentifizierung über Clientzertifikate hergestellt werden.

  • Externe SAML Identity Provider. Aktuell werden Microsoft Active Directory Federation Services (AD FS) unterstützt. Zusätzlich zur Eingabe eines Benutzernamens und Kennworts kann eine mehrstufige Authentifizierung konfiguriert werden, um zusätzliche Sicherheit zu aktivieren, indem ein PIN-Code, das Lesen einer Smartcard und ein Clientzertifikat erforderlich sind.

    Bei Verwendung eines SAML-Servers Identity Provider ist der lokale Authentifizierungsserver nicht deaktiviert. Zur direkten Anmeldung an einem verwalteten Gehäuse oder einem Server (es sei denn, dass in dieser Einheit Encapsulation aktiviert ist), für die PowerShell- und REST-API-Authentifizierung und für die Wiederherstellung bei nicht verfügbarer externer Authentifizierung sind lokale Benutzeraccounts erforderlich.

    Sie können sowohl einen externen LDAP-Server als auch einen externen Identity Provider verwenden. Wenn beide aktiviert sind, wird der externe LDAP-Server für die direkte Anmeldung an den verwalteten Einheiten und der Identity Provider für die Anmeldung am Verwaltungsserver verwendet.

Vorgehensweise

Anhand der folgenden Schritte bestimmen Sie, welcher Typ von Authentifizierungsserver von der Verwaltungssoftware verwendet wird:

  1. Klicken Sie in der XClarity Administrator-Menüleiste auf Verwaltung > Sicherheit.
  2. Klicken Sie im Abschnitt „Benutzer und Gruppen“ auf LDAP-Client, um das Dialogfenster LDAP-Clienteinstellungen anzuzeigen.
    Überprüfen Sie, welches Benutzerauthentifizierungsverfahren ausgewählt wurde:
    • Anmeldung von lokalen Benutzern zulassen. Es wird die lokale Authentifizierung verwendet. Wenn diese Option ausgewählt ist, befinden sich alle Benutzeraccounts auf dem lokalen Authentifizierungsserver im Verwaltungsknoten.
    • Anmeldung von LDAP-Benutzern zulassen. Die Authentifizierung wird über einen externen LDAP-Server ausgeführt. Diese Methode ermöglicht die Fernverwaltung von Benutzeraccounts. Wenn diese Option ausgewählt ist, liegen alle Benutzeraccounts fern auf einem externen LDAP-Server vor.
    • Erst lokale Benutzer und danach LDAP-Benutzer zulassen. Der lokale Authentifizierungsserver führt die Authentifizierung zuerst aus. Wenn dieser Schritt nicht erfolgreich ist, führt ein externer LDAP-Server die Authentifizierung aus.
    • Erst LDAP-Benutzer und danach lokale Benutzer zulassen. Zuerst führt ein externer LDAP-Server die Authentifizierung aus. Wenn dieser Schritt nicht erfolgreich ist, führt der lokale Authentifizierungsserver die Authentifizierung aus.
  3. Klicken Sie im Abschnitt „Benutzer und Gruppen“ auf SAML-Einstellungen, um die Seite „SAML-Einstellungen“ anzuzeigen.

    Wenn SAML aktiviert ausgewählt ist, wird ein Identity Provider verwendet.