Authentifizierung

Wenn ein externer LDAP-Server verwendet wird, ist der lokale Authentifizierungsserver deaktiviert.

Externes Identitätsverwaltungssystem. Derzeit wird nur CyberArk unterstützt.

Wenn Benutzeraccounts für einen ThinkSystem oder ThinkAgile Server auf CyberArk integriert werden, können Sie wählen, dass XClarity Administrator die Anmeldeinformationen für die Anmeldung beim Server bei der Ersteinrichtung der Server zur Verwaltung (mit verwalteter oder lokaler Authentifizierung) von CyberArk abruft. Bevor Anmeldeinformationen von CyberArk abgerufen werden können, müssen die CyberArk-Pfade in XClarity Administrator definiert werden und es muss eine gegenseitige Vertrauensstellung zwischen CyberArk Und XClarity Administrator mithilfe von TLS für gegenseitige Authentifizierung über Clientzertifikate hergestellt werden.

Bei Verwendung eines SAML-Servers Identity Provider ist der lokale Authentifizierungsserver nicht deaktiviert. Zur direkten Anmeldung an einem verwalteten Gehäuse oder einem Server (es sei denn, dass in dieser Einheit Encapsulation aktiviert ist), für die PowerShell- und REST-API-Authentifizierung und für die Wiederherstellung bei nicht verfügbarer externer Authentifizierung sind lokale Benutzeraccounts erforderlich.

Sie können sowohl einen externen LDAP-Server als auch einen externen Identity Provider verwenden. Wenn beide aktiviert sind, wird der externe LDAP-Server für die direkte Anmeldung an den verwalteten Einheiten und der Identity Provider für die Anmeldung am Verwaltungsserver verwendet.

Wenn die lokale Authentifizierung für Rack-Server, Lenovo Gehäuse und Lenovo Rack-Switches verwendet wird, verwendet XClarity Administrator gespeicherte Anmeldeinformationen zur Authentifizierung der Einheit. Bei den gespeicherten Anmeldeinformationen kann es sich um einen aktiven Benutzeraccount auf der Einheit oder um einen Benutzeraccount auf dem Active Directory-Server handeln.

Sie müssen gespeicherte Anmeldeinformationen in XClarity Administrator erstellen, die mit einem aktiven Benutzeraccount auf der Einheit oder mit einem Benutzeraccount auf einem Active Directory-Server übereinstimmen, bevor Sie die Einheit über die lokale Authentifizierung verwalten können (siehe Gespeicherte Anmeldeinformationen verwalten).

Mit der verwalteten Authentifizierung können Sie mehrere Einheiten mithilfe von Anmeldeinformationen auf dem XClarity Administrator-Authentifizierungsserver anstatt lokaler Anmeldeinformationen verwalten und überwachen. Wenn die verwaltete Authentifizierung für eine Einheit (außer ThinkServer-Server, System x M4-Servern und Switches) verwendet wird, konfiguriert XClarity Administrator die Einheit und deren installierte Komponenten zur Verwendung eines bestimmten XClarity Administrator-Authentifizierungsservers für eine zentrale Verwaltung.

• Wenn die verwaltete Authentifizierung aktiviert ist, können Sie Einheiten entweder über manuell eingegebene oder gespeicherte Anmeldeinformationen verwalten (siehe Benutzeraccounts verwalten und Gespeicherte Anmeldeinformationen verwalten).

  Die gespeicherten Anmeldeinformationen werden nur verwendet, bis XClarity Administrator die LDAP-Einstellungen auf dem Gerät konfiguriert. Danach haben Änderungen an den gespeicherten Anmeldeinformationen keine Auswirkungen auf die Verwaltung oder Überwachung dieser Einheit.

  Anmerkung

  Wenn die verwaltete Authentifizierung für ein Gerät aktiviert ist, können Sie mit XClarity Administrator keine gespeicherten Anmeldeinformationen für dieses Gerät bearbeiten.

• Wenn Sie den lokalen oder externen LDAP-Server als XClarity Administrator-Authentifizierungsserver nutzen, werden auf diesem Authentifizierungsserver definierte Benutzeraccounts für die Anmeldung bei XClarity Administrator, CMMs und BMCs (Baseboard Management Controllern) in der XClarity Administrator-Domäne verwendet. Lokale CMM- und Management-Controller-Benutzeraccounts werden deaktiviert.

• Bei Verwendung eines SAML 2.0 Identity Provider als XClarity Administrator-Authentifizierungsserver sind SAML-Accounts für verwaltete Einheiten nicht zugänglich. Wenn Sie jedoch einen SAML Identitiy Provider und einen LDAP-Server zusammen verwenden und der Identity Provider Konten nutzt, die sich auf dem LDAP-Server befinden, können LDAP-Benutzeraccounts zur Anmeldung bei den verwalteten Einheiten und gleichzeitig modernere von SAML 2.0 bereitgestellte Authentifizierungsmethoden (z. B. mehrstufige Authentifizierung und Single Sign-on) zur Anmeldung bei XClarity Administrator verwendet werden.

• Mit Single Sign-On kann sich ein Benutzer, der bereits bei XClarity Administrator angemeldet ist, automatisch beim Baseboard Management Controller anmelden. Single Sign-On ist standardmäßig aktiviert, wenn ein ThinkSystem oder ThinkAgile Server von XClarity Administrator verwaltet wird (es sei denn, der Server wird mit CyberArk-Kennwörtern verwaltet). Sie können global konfigurieren, dass Single Sign-On für alle verwalteten ThinkSystem und ThinkAgile Server aktiviert oder deaktiviert ist. Das Aktivieren von Single Sign-On für einen bestimmten ThinkSystem und ThinkAgile Server überschreibt die globale Einstellung für alle ThinkSystem und ThinkAgile Server (siehe Server verwalten).

  Anmerkung

  Single Sign-On ist automatisch deaktiviert, wenn das CyberArk Identitätsverwaltungssystem zur Authentifizierung verwendet wird.

• Wenn die verwaltete Authentifizierung für ThinkSystem SR635 und SR655 Server aktiviert ist:

  • Die Baseboard Management Controller-Firmware unterstützt bis zu fünf LDAP-Benutzerrollen. XClarity Administrator fügt diese LDAP-Benutzerrollen während der Verwaltung zu den Servern hinzu: lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin und lxc-os-admin.

    Benutzern muss mindestens eine der angegebenen LDAP-Benutzerrollen zugeordnet werden, damit sie mit den ThinkSystem SR635 und SR655 Servern kommunizieren können.

  • Die Management-Controller-Firmware unterstützt keine LDAP-Benutzer mit demselben Benutzernamen wie der lokale Benutzer des Servers.

• Für ThinkServer- und System x M4-Server wird der XClarity Administrator-Authentifizierungsserver nicht verwendet. Stattdessen wird ein IPMI-Account in der Einheit mit dem Präfix „LXCA_“ erstellt, auf das eine willkürliche Zeichenfolge folgt. (Die vorhandenen lokalen IPMI-Benutzeraccounts werden nicht deaktiviert.) Wenn Sie die Verwaltung eines ThinkServer-Servers beenden, wird der Benutzeraccount „LXCA_“ deaktiviert und das Präfix „LXCA_“ wird durch das Präfix „DISABLED_“ ersetzt. Um festzustellen, ob ein ThinkServer-Server durch eine andere Instanz verwaltet wird, sucht XClarity Administrator nach IPMI-Accounts mit dem Präfix „LXCA_“. Wenn Sie sich dazu entschließen, die Verwaltung eines verwalteten ThinkServer-Servers zu erzwingen, werden alle IPMI-Accounts in der Einheit mit dem Präfix „LXCA_“ deaktiviert und umbenannt. IPMI-Konten, die nicht mehr verwendet werden, sollten Sie manuell löschen.

  Wenn Sie manuell eingegebene Anmeldeinformationen verwenden, werden in XClarity Administrator automatisch gespeicherte Anmeldeinformationen erstellt und zur Verwaltung der Einheit verwendet.

  Anmerkung

  Wenn die verwaltete Authentifizierung für ein Gerät aktiviert ist, können Sie mit XClarity Administrator keine gespeicherten Anmeldeinformationen für dieses Gerät bearbeiten.

  • Jedes Mal, wenn Sie ein Gerät mit manuell eingegebenen Anmeldeinformationen verwalten, werden auch dann neue gespeicherte Anmeldeinformationen für dieses Gerät erstellt, wenn bei einem vorherigen Verwaltungsprozess andere gespeicherte Anmeldeinformationen für dieses Gerät erstellt wurden.

  • Wenn Sie die Verwaltung eines Geräts aufheben, löscht XClarity Administrator keine gespeicherten Anmeldeinformationen, die während des Verwaltungsprozesses automatisch für dieses Gerät erstellt wurden.