Saltar al contenido principal

Configuración de un servidor de autenticación LDAP externo

Si lo desea, puede usar un servidor de autenticación LDAP externo en lugar del servidor de autenticación de Lenovo XClarity Administrator local en el nodo de gestión.

Antes de empezar

Es preciso llevar a cabo la configuración inicial de XClarity Administrator antes de configurar el servidor de autenticación externo.

Se admiten los siguientes servidores de autenticación externos:
  • OpenLDAP

  • Microsoft Active Directory. Debe residir en un servidor de Microsoft Windows externo conectado a la red de gestión, red de datos o ambos.

Asegúrese de que todos los puertos requeridos para el servidor de autenticación externo estén abiertos en la red y en los firewalls. Para obtener más información acerca de los requisitos de los puertos, consulte Disponibilidad de puertos.

Debe crear o cambiar el nombre de los grupos de roles en el servidor de autenticación local para que coincida con el de los grupos que están definidos en el servidor de autenticación externo.

Asegúrese de que haya uno o más usuarios con la autoridad lxc-recovery en el servidor de autenticación local. Puede utilizar esta cuenta de usuario local para autenticar directamente en XClarity Administrator cuando un error de comunicación se produce con el servidor LDAP externo.

Nota
Cuando se configura XClarity Administrator para utilizar un servidor de autenticación externo, la página Gestión de usuarios de la interfaz web de XClarity Administrator se deshabilita.
Atención
Para Active Directory, para configurar el método de vinculación de Active Directory para utilizar las credenciales de inicio de sesión, el controlador de gestión de la placa base para cada servidor gestionado debe estar ejecutando firmware a partir de septiembre de 2016 o con posterioridad.

XClarity Administrator realiza un control de conectividad cada 5 minutos para mantener la conectividad en los servidores LDAP externos. Los entornos con muchos servidores LDAP podrían experimentar un alto uso de la CPU durante esta comprobación de conectividad. Para lograr el mejor rendimiento, asegúrese de que se pueda acceder a la mayor parte o a todos los servidores LDAP en el dominio, o establezca el método de selección del servidor de autenticación en Utilizar servidores preconfigurados y especifique solo los servidores LDAP conocidos y con acceso.

Procedimiento

Para configurar XClarity Administrator para que use un servidor de autenticación externo, lleve a cabo los pasos siguientes.

  1. Configure el método de autenticación de usuarios para Microsoft Active Directory u OpenLDAP.

    Si decide usar una autenticación no segura, no se requiere ninguna configuración adicional. Los controladores de dominio de Windows Active Directory u OpenLDAP usan la autenticación LDAP no segura de forma predeterminada.

    Si decide usar la autenticación LDAP segura, deberá configurar los controladores de dominio de modo que se lleve a cabo la autenticación LDAP segura. Para obtener más información sobre la configuración de la configuración de autenticación LDAP segura en Active Directory, consulte el Artículo sobre certificado de LDAP sobre SSL (LDAPS) en el sitio Web de Microsoft TechNet.

    Para comprobar que los controladores de dominio de Active Directory están configurados para usar la autenticación LDAP segura:
    • Busque el suceso LDAP sobre Secure Sockets layer (SSL) ya está disponible en la ventana Visor de sucesos de los controladores del dominio.
    • Use la herramienta ldp.exe de Windows para comprobar que la conexión LDAP con los controladores de dominio sea segura.
  2. Importe el certificado de servidor de Active Directory u OpenLDAP o el certificado raíz de la entidad de certificación que firmó el certificado de servidor.
    1. En la barra de menús de XClarity Administrator, haga clic en Administración > Seguridad.
    2. Haga clic en Certificados de confianza en la sección Gestión de certificados.
    3. Haga clic en el icono de Crear (Icono Crear) para añadir un certificado.
    4. Examine el archivo o pegue el texto del certificado con formato PEM.
    5. Haga clic en Crear.
  3. Configure el cliente LDAP de XClarity Administrator:
    1. En la barra de menús de XClarity Administrator , haga clic en Administración > Seguridad.
    2. Haga clic en Cliente LDAP en la sección Usuarios y grupos para mostrar el cuadro de diálogo Valores de cliente LDAP.

      Ilustra la página Valores de cliente LDAP.
    3. Rellene el cuadro de diálogo de acuerdo con los criterios siguientes.
      1. Elija uno de los siguientes métodos de autenticación de usuario:
        • Permitir inicios de sesión de usuarios locales. La autenticación se realiza mediante la autenticación local. Cuando se selecciona esta opción, todas las cuentas de usuario se encuentran en el servidor de autenticación local del nodo de gestión.
        • Permitir inicios de sesión de usuarios de LDAP. Un servidor LDAP externo realiza la autenticación. Este método habilita la gestión remota de las cuentas de usuario. Cuando esta opción está seleccionada, todas las cuentas de usuarios existen remotamente en un servidor LDAP externo.
        • Permitir usuarios locales primero, luego usuarios de LDAP. El servidor de autenticación local realiza la autenticación primero. Si esto falla, un servidor LDAP externo realiza la autenticación.
        • Permitir usuarios de LDAP primero, luego usuarios locales. Un servidor LDAP externo realiza la autenticación primero. Si eso falla, el servidor de autenticación local realiza la autenticación.
      2. Elija si desea habilitar o deshabilitar la seguridad LDAP:
        • Habilitar LDAP seguro. XClarity Administrator usa el protocolo LDAPS para conectarse de forma segura al servidor de autenticación externo. Cuando esta opción está seleccionada, también debe configurar certificados de confianza para habilitar el soporte LDAP seguro.
        • Deshabilitar LDAP seguro. XClarity Administrator usa un protocolo no seguro para conectarse al servidor de autenticación externo. Si elige esta configuración, el hardware puede quedar más vulnerable a los ataques contra la seguridad.
      3. Elija uno de los siguientes métodos de selección de servidor:
        • Usar servidores preconfigurados. XClarity Administrator usa las direcciones IP y los puertos especificados para detectar el servidor de autenticación externo.

          Si selecciona esta opción, especifique hasta cuatro direcciones IP de servidor preconfiguradas y puertos. El cliente LDAP intenta autenticarse mediante la primera dirección de servidor. Si la autenticación produce un error, el cliente LDAP intenta autenticarse mediante la siguiente dirección IP de servidor.

          Si el número de puerto de una entrada no se ha establecido explícitamente en 3268 o 3269, se da por hecho que la entrada identifica un controlador de dominio.

          Cuando el número de puerto se establece en 3268 o 3269, se da por hecho que la entrada identifica un catálogo global. El cliente LDAP intenta autenticarse usando el controlador de dominio de la primera dirección IP de servidor configurada. Si esto falla, el cliente LDAP intenta autenticarse usando el controlador de dominio de la siguiente dirección IP de servidor.

          Importante
          Es preciso indicar al menos un controlador de dominio, incluso si se ha especificado el catálogo global. Si solo se especifica el catálogo global, parece que la operación se ha realizado correctamente, pero no es una configuración válida.

          Cuando el modo de criptografía se establece en NIST-800-131A, es posible que XClarity Administrator no pueda conectarse a un servidor LDAP externo mediante un puerto seguro (por ejemplo, mediante LDAPS a través del puerto predeterminado 636) si el servidor LDAP no es capaz de establecer una conexión de Seguridad de capa de transporte (TLS) versión 1.2 con el cliente LDAP en XClarity Administrator.

        • Usar DNS para encontrar servidores LDAP. XClarity Administrator usa el nombre de dominio especificado o el nombre de bosque para detectar dinámicamente el servidor de autenticación externo. El nombre de dominio y el nombre de bosque se usan para obtener una lista de controladores de dominio y el nombre de bosque se emplea para obtener una lista de servidores de catálogo global.

          Atención
          Cuando utilice DNS para buscar servidores LDAP, asegúrese de que la cuenta de usuario que vaya a utilizar para autenticarse en el servidor de autenticación externo esté alojada en los controladores de dominio especificados. Si la cuenta de usuario está alojada en un controlador de dominio secundario, incluya dicho controlador en la lista de solicitudes de servicio.
      4. Elija uno de los siguientes métodos de vinculación:

        • Credenciales configuradas. Use este método de enlace para utilizar el nombre y la contraseña de cliente que se deberán utilizar para enlazar a XClarity Administrator con el servidor de autenticación externo. Si el enlace falla, también fallará el proceso de autenticación

          El nombre de cliente puede ser cualquier nombre que el servidor LDAP admite, incluido un nombre distinguido, AMAccountName, nombre de NetBIOS o UserPrincipalName. El nombre de cliente debe ser una cuenta de usuario con el dominio que tiene al menos privilegios de solo lectura. Por ejemplo:
          cn=username,cn=users,dc=example,dc=com
          domain\username
          username@domain.com
          username

          Atención
          Si cambia la contraseña del cliente en el servidor de autenticación externo, asegúrese de actualizar también la nueva contraseña en XClarity Administrator. Para obtener más información, consulte No se puede iniciar sesión en Lenovo XClarity Administrator.
        • Credenciales de inicio de sesión. Use este método de enlace para utilizar el nombre y la contraseña de usuario de Active Directory u OpenLDAP que se deberán utilizar para enlazar a XClarity Administrator con el servidor de autenticación externo.

          El Id. de usuario y la contraseña que especifica se usan solo para probar la conexión con el servidor de autenticación. Si son exitosos, se guardan los valores del cliente LDAP, pero el credencial de inicio de sesión de la prueba que especificó no se guarda. Todos los enlaces futuros utilizan el nombre de usuario y la contraseña que usó para iniciar la sesión en XClarity Administrator.

          Nota
          • Debe iniciar sesión en XClarity Administrator con el nombre de usuario completamente calificado. No se permiten nombres cortos. Por ejemplo:

            domain\username
            username@domain.com

          • Debe utilizar un nombre de cliente de prueba completamente calificado para el método de vinculación.

          Atención
          Para configurar el método de vinculación para utilizar las credenciales de inicio de sesión, el controlador de gestión para cada servidor gestionado debe estar ejecutando firmware a partir de septiembre de 2016 o con posterioridad.
      5. En el campo DN raíz, se recomienda que no especifique un nombre distinguido raíz, sobre todo para entornos con varios dominios. Cuando este campo está vacío, XClarity Administrator consulta al servidor de autenticación externo para conocer los contextos de asignación de nombres.

        Si utiliza DNS para detectar el servidor de autenticación externo, o si especifica varios servidores (por ejemplo, dc=example,dc=com), opcionalmente, puede especificar la entrada de nivel superior en el árbol del directorio LDAP. En este caso, las búsquedas se inician utilizando el nombre distinguido raíz especificado como la base de búsqueda.

      6. Especifique el atributo a utilizar para buscar el nombre de usuario.

        Cuando el método de vinculación está configurado como Credenciales configuradas, una solicitud de búsqueda sigue el enlace inicial al servidor LDAP al recuperar la información específica acerca del usuario, incluyendo el DN de usuario, permisos de inicio y membresía de grupo. Esta solicitud de búsqueda debe especificar el nombre del atributo que representa los Id. de usuario en ese servidor. Este nombre del atributo se configura en este campo. Si este campo se deja en blanco, el valor predeterminado es cn.

      7. Especifique el nombre del atributo que se utiliza para identificar los grupos a los que un usuario pertenece. Si este campo se deja en blanco, el nombre del atributo en el filtro se coloca memberOf.

      8. Especifique el nombre del atributo que se utiliza para identificar el nombre de grupo que está configurado de por el servidor LDAP. Si este campo se deja en blanco, el valor predeterminado es uid.

    4. Opcionalmente, configure los criterios de filtro para usuarios y grupos.
      • Especifique los filtros de búsqueda de usuarios y grupos para personalizar el proceso de autenticación al configurar XClarity Administrator con un servidor LDAP externo. Para obtener información sobre la sintaxis del filtro de búsqueda, consulte Cómo escribir filtros de búsqueda LDAP. Para obtener ejemplos de filtros de búsqueda, consulte Ejemplos de ldapsearches comunes.

      • Especifique el número máximo de resultados en búsqueda que se pueden recuperar en una operación de búsqueda LDAP mediante filtros de usuarios y grupos. Este puede ser un valor comprendido entre 0 y 5000. El valor predeterminado es 0, lo que significa ilimitado.

        Especifique la cantidad de tiempo, en segundos, para completar una operación de búsqueda LDAP antes de finalizar el tiempo de espera. Este puede ser un valor entre 0 y 300 segundos (5 minutos). El valor predeterminado es 0, lo que significa que la operación no tiene tiempo de espera.

    5. Haga clic en Aplicar.

      XClarity Administrator intenta probar la configuración para detectar errores comunes. Si la prueba falla, se muestran mensajes de error que indican el origen de los errores. Si la prueba tiene éxito y las conexiones a los servidores especificados se realizan correctamente, la autenticación del usuario puede seguir fallando si:

      • No existe un usuario local con la autoridad de lxc-recovery.

      • El nombre distinguido raíz no es correcto.

      • Si el usuario no es miembro de al menos un grupo en el servidor de autenticación externo que coincida con el nombre de un grupo de roles en el servidor de autenticación de XClarity Administrator. XClarity Administrator no puede detectar si el nombre distinguido raíz es correcto; no obstante, sí que puede detectar si un usuario es miembro de al menos un grupo. Si el usuario no es miembro de al menos un grupo, cuando el usuario intenta iniciar sesión en XClarity Administrator aparece un mensaje de error. Para obtener más información acerca de la resolución de problemas relacionados con los servidores de autenticación externos, consulte Problemas relacionados con la conectividad.

  4. Cree una cuenta de usuario externa que pueda tener acceso a XClarity Administrator:
    1. Desde el servidor de autenticación externo, cree una cuenta de usuario. Para obtener instrucciones, consulte la documentación de Active Directory u OpenLDAP.
    2. Cree un grupo global de Active Directory u OpenLDAP con el nombre de un grupo predefinido y autorizado. El grupo debe existir en el contexto del nombre distinguido raíz definido en el cliente LDAP.
    3. Añada al usuario de Active Directory u OpenLDAP como miembro del grupo de seguridad creado anteriormente.
    4. Inicie sesión en XClarity Administrator mediante el nombre de usuario de Active Directory u OpenLDAP.
    5. Opcional: defina y cree grupos adicionales. Puede autorizar estos grupos y asignarles roles desde la página Usuarios y grupos.
    6. Si el LDAP seguro está habilitado, importe los certificados de confianza al servidor LDAP externo (consulte Instalación de un certificado de servidor firmado externamente y personalizado).

Resultados

XClarity Administrator valida la conexión al servidor LDAP. Si la validación se realiza correctamente, la autenticación del usuario en el servidor de autenticación externo se lleva a cabo al iniciar sesión en XClarity Administrator, el CMM y el controlador de gestión.

Si no se consigue realizar la validación, el modo de autenticación se revierte automáticamente a la opción Permitir inicios de sesión de usuarios locales y se muestra un mensaje en el que se explica la causa del error.

Nota
Es preciso que se hayan configurado los grupos de roles correctos en XClarity Administrator y que las cuentas de usuarios estén definidas como miembros de uno de estos grupos de roles en el servidor de Active Directory. De lo contrario, la autenticación de usuario no se realizará.