Sie können auswählen, dass ein externer LDAP-Authentifizierungsserver anstelle des lokalen Lenovo XClarity Administrator-Authentifizierungsservers auf dem Verwaltungsknoten verwendet wird.
Vorbereitende Schritte
Bevor Sie den externen Authentifizierungsserver konfigurieren, muss die Erstkonfiguration von XClarity Administrator abgeschlossen sein.
Die folgenden externen Authentifizierungsserver werden unterstützt:
OpenLDAP
Microsoft Active Directory: Dieser Server muss sich auf einem externen Microsoft Windows-Server befinden, der mit dem Verwaltungsnetzwerk, Datennetzwerk oder beidem verbunden ist.
Stellen Sie sicher, dass alle für den externen Authentifizierungsserver erforderlichen Ports im Netzwerk und in den Firewalls geöffnet sind. Informationen zu den Portanforderungen finden Sie unter Portverfügbarkeit.
Sie müssen Rollengruppen auf dem lokalen Authentifizierungsserver erstellen oder umbenennen, die den auf dem externen Authentifizierungsserver definierten Gruppen entsprechen.
Stellen Sie sicher, dass mindestens einer der Benutzer über die lxc-recovery-Berechtigung auf dem lokalen Authentifizierungsserver verfügt. Sie können diesen lokalen Benutzeraccount verwenden, um die Authentifizierung direkt in XClarity Administrator durchzuführen, wenn ein Kommunikationsfehler mit dem externen LDAP-Server auftritt.
Anmerkung
Wenn XClarity Administrator für die Verwendung eines externen Authentifizierungsservers konfiguriert ist, ist die Seite „Benutzerverwaltung“ der XClarity Administrator-Webschnittstelle deaktiviert.
Achtung
Um die Bindungsmethode für Active Directory so zu konfigurieren, dass Anmeldeinformationen verwendet werden, muss im Baseboard Management Controller für jeden verwalteten Server Firmware ab September 2016 (oder später) ausgeführt werden.
XClarity Administrator führt alle fünf Minuten eine Konnektivitätsprüfung durch, um die Konnektivität für konfigurierte externe LDAP-Server aufrechtzuerhalten. In Umgebungen mit vielen LDAP-Servern kommt es möglicherweise zu einer hohen CPU-Auslastung während dieser Konnektivitätsprüfung. Um die optimale Leistung zu erreichen, stellen Sie sicher, dass die meisten oder alle LDAP-Server in der Domäne erreichbar sind, oder setzen Sie die Authentifizierungserver-Auswahlmethode auf Vorkonfigurierte Server verwenden und geben Sie nur bekannte, erreichbare LDAP-Server an.
Vorgehensweise
Gehen Sie wie folgt vor, um XClarity Administrator für die Verwendung eines externen Authentifizierungsservers zu konfigurieren.
Richten Sie das Benutzerauthentifizierungsverfahren für Microsoft Active Directory oder OpenLDAP ein.
Wenn Sie keine gesicherte Authentifizierung verwenden, ist keine weitere Konfiguration erforderlich. Standardmäßig verwenden Windows Active Directory- oder OpenLDAP-Domänencontroller die nicht gesicherte LDAP-Authentifizierung.
Wenn Sie die Verwendung der sicheren LDAP-Authentifizierung auswählen, müssen Sie die Domänencontroller so einrichten, dass sie die sichere LDAP-Authentifizierung zulassen. Weitere Informationen zum Konfigurieren der sicheren LDAP-Authentifizierung in Active Directory finden Sie unter Artikel über LDAP-over-SSL(LDAPS)-Zertifikate auf der Microsoft TechNet-Website.
So stellen Sie sicher, dass die Active Directory-Domänencontroller für die Verwendung der sicheren LDAP-Authentifizierung konfiguriert sind:
Suchen Sie im Fenster der Ereignisanzeige der Domänencontroller nach dem Ereignis LDAP über SSL-Funktionen (Secure Sockets Layer) ist jetzt verfügbar.
Verwenden Sie das Windows-Tool ldp.exe, um zu testen, dass die LDAP-Verbindung zu den Domänencontrollern sicher ist.
Importieren Sie das Active Directory- oder OpenLDAP-Serverzertifikat oder das Stammzertifikat der Zertifizierungsstelle, die das Serverzertifikat signiert hat.
Klicken Sie in der XClarity Administrator-Menüleiste auf Verwaltung > Sicherheit.
Klicken Sie im Abschnitt für die Zertifikatsverwaltung auf Vertrauenswürdige Zertifikate.
Klicken Sie auf das Symbol für Erstellen (), um ein Zertifikat hinzuzufügen.
Suchen Sie die Datei oder fügen Sie den Zertifikatstext im PEM-Format ein.
Klicken Sie auf Erstellen.
Konfigurieren Sie den LDAP-Client für XClarity Administrator:
Klicken Sie in der XClarity Administrator-Menüleiste auf Verwaltung > Sicherheit.
Klicken Sie im Abschnitt „Benutzer und Gruppen“ auf LDAP-Client, um das Dialogfenster LDAP-Clienteinstellungen anzuzeigen.
Füllen Sie das Dialogfenster anhand der folgenden Kriterien aus.
Wählen Sie eins dieser Benutzerauthentifizierungsverfahren aus:
Anmeldung von lokalen Benutzern zulassen. Es wird die lokale Authentifizierung verwendet. Wenn diese Option ausgewählt ist, befinden sich alle Benutzeraccounts auf dem lokalen Authentifizierungsserver im Verwaltungsknoten.
Anmeldung von LDAP-Benutzern zulassen. Die Authentifizierung wird über einen externen LDAP-Server ausgeführt. Diese Methode ermöglicht die Fernverwaltung von Benutzeraccounts. Wenn diese Option ausgewählt ist, liegen alle Benutzeraccounts fern auf einem externen LDAP-Server vor.
Erst lokale Benutzer und danach LDAP-Benutzer zulassen. Der lokale Authentifizierungsserver führt die Authentifizierung zuerst aus. Wenn dieser Schritt nicht erfolgreich ist, führt ein externer LDAP-Server die Authentifizierung aus.
Erst LDAP-Benutzer und danach lokale Benutzer zulassen. Zuerst führt ein externer LDAP-Server die Authentifizierung aus. Wenn dieser Schritt nicht erfolgreich ist, führt der lokale Authentifizierungsserver die Authentifizierung aus.
Wählen Sie aus, ob die sichere LDAP-Verbindung aktiviert oder deaktiviert werden soll:
Sichere LDAP-Verbindung aktivieren. XClarity Administrator verwendet das LDAPS-Protokoll, um eine sichere Verbindung mit dem externen Authentifizierungsserver herzustellen. Wenn diese Option ausgewählt wird, müssen Sie auch vertrauenswürdige Zertifikate konfigurieren, um die sichere LDAP-Unterstützung zu aktivieren.
Sichere LDAP-Verbindung deaktivieren. XClarity Administrator verwendet ein nicht gesichertes Protokoll, um eine Verbindung mit dem externen Authentifizierungsserver herzustellen. Diese Einstellung macht Ihre Hardware eventuell anfälliger für potenzielle Sicherheitsrisiken.
Wählen Sie eins dieser Serverauswahlverfahren aus:
Vorkonfigurierte Server verwenden. XClarity Administrator verwendet die angegebenen IP-Adressen und Ports, um den externen Authentifizierungsserver zu ermitteln.
Wenn Sie diese Option auswählen, müssen Sie bis zu vier vorkonfigurierte Server-IP-Adressen und Ports angeben. Der LDAP-Client versucht, die Authentifizierung mithilfe der ersten Serveradresse durchzuführen. Wenn die Authentifizierung fehlschlägt, verwendet der LDAP-Client die nächste Server-IP-Adresse für die Authentifizierung.
Wenn die Portnummer für einen Eintrag nicht explizit auf 3268 oder 3269 festgelegt wurde, geht das System davon aus, dass dieser Eintrag einen Domänencontroller identifiziert.
Wenn die Portnummer auf 3268 oder 3269 festgelegt wurde, wird davon ausgegangen, dass der Eintrag einen globalen Katalog identifiziert. Der LDAP-Client versucht, die Authentifizierung mithilfe des Domänencontrollers für die erste konfigurierte Server-IP-Adresse durchzuführen. Schlägt dieser Versuch fehl, versucht der LDAP-Client, den Domänencontroller der nächsten konfigurierten Server-IP-Adresse für die Authentifizierung zu verwenden.
Wichtig
Es muss mindestens ein Domänencontroller festgelegt werden, selbst wenn der globale Katalog angegeben wird. Wenn nur der globale Katalog angegeben wird, kann dies zu einer scheinbar erfolgreichen Authentifizierung führen, die jedoch keine gültige Konfiguration ist.
Wenn als Verschlüsselungsmodus NIST-800-131A festgelegt ist, kann sich XClarity Administrator möglicherweise nicht mit einem externen LDAP-Server über einen sicheren Port verbinden (z. B. bei Verwendung von LDAPS über Standardport 636), wenn der LDAP-Server über Transport Layer Security (TLS) Version 1.2 keine Verbindung mit dem LDAP-Client in XClarity Administrator herstellen kann.
DNS zum Finden von LDAP-Servern verwenden. XClarity Administrator verwendet den angegebenen Domänennamen oder den Gesamtstrukturnamen, um den externen Authentifizierungsserver dynamisch zu ermitteln. Die Verwendung des Domänennamens und des Gesamtstrukturnamens dient dazu, eine Liste von Domänencontrollern abzurufen. Der Gesamtstrukturname wird verwendet, um eine Liste von globalen Katalogservern abzurufen.
Achtung
Wenn Sie DNS zum Suchen von LDAP-Servern verwenden, müssen Sie sicherstellen, dass der für die Authentifizierung auf dem externen Authentifizierungsserver verwendete Benutzeraccount auf den angegebenen Domänencontrollern gehostet wird. Wenn der Benutzeraccount auf einem untergeordneten Domänencontroller gehostet wird, müssen Sie den untergeordneten Controller in die Serviceanforderungsliste aufnehmen.
Wählen Sie eine dieser Bindungsmethoden aus:
Konfigurierter Berechtigungsnachweis. Verwenden Sie diese Bindungsmethode, um den Clientnamen und das Kennwort für die Bindung von XClarity Administrator an den externen Authentifizierungsserver zu verwenden. Wenn diese Verbindung nicht hergestellt werden kann, kann auch der Authentifizierungsprozess nicht durchgeführt werden.
Als Clientname kann ein beliebiger Name dienen, den der LDAP-Server unterstützt. Dazu gehören definierte Namen, AMAccountName, der NetBIOS-Name und UserPrincipalName. Der Clientname muss ein Benutzeraccount innerhalb der Domäne sein, der mindestens über Leserechte verfügt. Beispiele:
Wenn Sie das Clientkennwort auf dem externen Authentifizierungsserver ändern, müssen Sie das neue Kennwort auch in XClarity Administrator aktualisieren. Weitere Informationen finden Sie unter Anmelden bei Lenovo XClarity Administrator nicht möglich
Anmeldeinformationen. Verwenden Sie diese Bindungsmethode, um einen Active Directory- oder OpenLDAP-Benutzernamen und das Kennwort für die Bindung von XClarity Administrator an den externen Authentifizierungsserver zu verwenden.
Die angegebene Benutzer-ID und das Kennwort werden nur verwendet, um die Verbindung zum Authentifizierungsserver zu testen. Wenn dieser Test erfolgreich ist, werden die LDAP-Clienteinstellungen gespeichert. Allerdings werden die von Ihnen für die Testanmeldung angegebenen Anmeldeinformationen nicht gespeichert. Alle zukünftigen Verbindungen verwenden den Benutzernamen und das Kennwort, die Sie für die Anmeldung bei XClarity Administrator verwendet haben.
Anmerkung
Sie müssen bei XClarity Administrator mit einer vollständig qualifizierten Benutzer-ID angemeldet sein (z. B. administrator@domain.com oder DOMAIN\admin).
Sie müssen einen vollständig qualifizierten Testclientnamen für die Bindungsmethode verwenden.
Achtung
Um die Bindungsmethode so zu konfigurieren, dass Anmeldeinformationen verwendet werden, muss im Management-Controller für jeden verwalteten Server Firmware ab September 2016 (oder später) ausgeführt werden.
Es wird empfohlen, im Feld Definierter Name des Stammelements keinen definierten Namen des Stammelements anzugeben, insbesondere für Umgebungen mit mehreren Domänen. Wenn dieses Feld leer ist, fragt XClarity Administrator den externen Authentifizierungsserver nach den Namenskontexten.
Wenn Sie DNS zum Ermitteln des externen Authentifizierungsservers verwenden oder wenn Sie mehrere Server festlegen (beispielsweise dc=example,dc=com), können Sie optional den Eintrag an der ersten Stelle der LDAP-Verzeichnisstruktur angeben. In diesem Fall beginnt eine Suche mit dem angegebenen definierten Namen des Stammelements.
Geben Sie das Attribut an, das für die Suche nach dem Benutzernamen verwendet werden soll.
Wenn als Bindungsmethode Konfigurierter Berechtigungsnachweis festgelegt wurde, folgt der einleitenden Verbindung zum LDAP-Server eine Suchanforderung, die bestimmte Informationen über den Benutzer abruft, einschließlich des definierten Namens (DN), der Anmeldeberechtigungen und der Gruppenmitgliedschaft des Benutzers. Diese Suchanforderung muss den Attributnamen angeben, der für die Benutzer-IDs auf diesem Server steht. Dieser Attributname wird in diesem Feld konfiguriert. Wenn in diesem Feld keine Angaben gemacht werden, lautet der Standardwert cn.
Geben Sie den Attributnamen an, der zum Identifizieren der Gruppen verwendet wird, denen ein Benutzer angehört. Wenn in diesem Feld keine Angaben gemacht werden, wird für den Attributnamen im Filter standardmäßig memberOf verwendet.
Geben Sie den Attributnamen an, der verwendet werden soll, um den Gruppennamen zu identifizieren, der vom LDAP-Server konfiguriert ist. Wenn in diesem Feld keine Angaben gemacht werden, lautet der Standardwert uid.
Optional können Sie Filterkriterien für Benutzer und Gruppen konfigurieren.
Geben Sie die Benutzer‑ und Gruppensuchfilter an, um den Authentifizierungsprozess für die Konfiguration von XClarity Administrator mit einem externen LDAP-Server anzupassen. Informationen zur Suchfiltersyntax finden Sie unter LDAP-Suchfilter schreiben. Beispiele für Suchfilter finden Sie unter Beispiele für allgemeine ldapsearch-Vorgänge.
Geben Sie die maximale Anzahl an Suchergebnissen an, die in einem LDAP-Suchvorgang mithilfe von Benutzer‑ und Gruppenfiltern abgerufen werden können. Dies kann ein Wert zwischen 0 und 5.000 sein. Der Standardwert ist 0, d. h. unbegrenzt.
Geben Sie an, wie lange (in Sekunden) der LDAP-Suchvorgang ausgeführt werden soll, bevor es zu einer Zeitüberschreitung kommt. Dies kann ein Wert zwischen 0 und 300 Sekunden (5 Minuten) sein. Der Standardwert ist 0, d. h. dass bei diesem Vorgang keine Zeitüberschreitung stattfindet.
Klicken Sie auf Übernehmen.
XClarity Administrator versucht, die Konfiguration zu testen, um allgemeine Fehler zu erkennen. Wenn der Test fehlschlägt, werden Fehlernachrichten mit der Fehlerquelle angezeigt. Wenn der Test erfolgreich war und Verbindungen zu den angegebenen Servern hergestellt wurden, können in den folgenden Fällen möglicherweise dennoch Fehler bei der Benutzerauthentifizierung auftreten:
Es ist kein lokaler Benutzer mit Berechtigungen vom Typ lxc-recovery vorhanden.
Der definierte Name des Stammelements ist falsch.
Der Benutzer ist kein Mitglied einer Gruppe auf dem externen Authentifizierungsserver, die dem Namen einer Rollengruppe auf dem XClarity Administrator-Authentifizierungsserver entspricht. XClarity Administrator kann nicht feststellen, ob der definierte Name des Stammelements richtig ist. Lenovo XClarity Administrator kann jedoch erkennen, ob ein Benutzer Mitglied mindestens einer Gruppe ist. Ist ein Benutzer kein Mitglied mindestens einer Gruppe, wird eine Fehlernachricht angezeigt, wenn der Benutzer versucht, sich bei XClarity Administrator anzumelden. Weitere Informationen zur Fehlerbehebung von Problemen mit externen Authentifizierungsservern finden Sie unter Verbindungsprobleme
Erstellen Sie einen externen Benutzeraccount, der auf XClarity Administrator zugreifen kann:
Erstellen Sie einen Benutzeraccount auf dem externen Authentifizierungsserver. Anleitungen finden Sie in der Active Directory- oder OpenLDAP-Dokumentation.
Erstellen Sie eine globale Active Directory- oder OpenLDAP-Gruppe mit dem Namen einer vordefinierten und autorisierten Gruppe. Die Gruppe muss sich im Kontext des definierten Namens des Stammelements befinden, der auf dem LDAP-Client definiert wurde.
Fügen Sie den Active Directory- oder OpenLDAP-Benutzer als Mitglied der Sicherheitsgruppe hinzu, die Sie zuvor erstellt haben.
Melden Sie sich mit dem Active Directory- oder OpenLDAP-Benutzernamen bei XClarity Administrator an.
Optional: Definieren und erstellen Sie weitere Gruppen. Sie können diese Gruppen autorisieren und über die Seite „Benutzer und Gruppen“ Rollen zuweisen.
XClarity Administrator überprüft die Verbindung zum LDAP-Server. Wenn die Überprüfung erfolgreich war, wird bei der Anmeldung an XClarity Administrator, CMM und dem Management-Controller eine Benutzerauthentifizierung auf dem externen Authentifizierungsserver durchgeführt.
Wenn die Überprüfung nicht erfolgreich war, wird der Authentifizierungsmodus automatisch zurück auf die Einstellung Anmeldung von lokalen Benutzern zulassen geändert. Dann wird eine Nachricht angezeigt, die die Fehlerursache erläutert.
Anmerkung
In XClarity Administrator müssen die richtigen Rollengruppen konfiguriert sein und Benutzeraccounts müssen als Mitglied einer dieser Rollengruppen auf dem Active Directory-Server definiert sein. Andernfalls schlägt die Benutzerauthentifizierung fehl.