Autenticación

Cuando se utiliza un servidor LDAP externo, el servidor de autenticación local se deshabilita.

Sistema de gestión de identidades externo. Actualmente, solo se admite CyberArk.

Si las cuentas de usuario de un servidor ThinkSystem o ThinkAgile están integradas en CyberArk, puede elegir que XClarity Administrator recupere las credenciales de CyberArk para iniciar sesión en el servidor cuando configure inicialmente los servidores para la gestión (con autenticación gestionada o local). Antes de que las credenciales se puedan recuperar de CyberArk, las rutas cyberark deben definirse en XClarity Administrator y se debe establecer confianza mutua entre CyberArk y XClarity Administrator mediante la autenticación mutua TLS a través de certificados de cliente.

Cuando se utiliza un proveedor de identidad SAML, el servidor de autenticación local no se deshabilita. Se requieren cuentas de usuarios locales para iniciar sesión directamente en un chasis o servidor gestionado (a menos que se habilite la Encapsulación en ese dispositivo) para la autenticación de PowerShell y REST API y para la recuperación, si la autenticación externa no está disponible.

Puede elegir usar un servidor LDAP externo y un proveedor de identidad externo. Si ambos están habilitados, el servidor LDAP externo se utiliza para iniciar sesión directamente en los dispositivos gestionados y el proveedor de identidad se utiliza para iniciar sesión en el servidor de gestión.

Cuando se utiliza la autenticación local para los servidores de bastidor, chasis de Lenovo y conmutadores de bastidor de Lenovo, XClarity Administrator usa una credencial almacenada para autenticar el dispositivo. La credencial almacenada puede corresponder con una cuenta de usuario activa en el dispositivo o con una cuenta de usuario en un servidor de Active Directory.

Debe crear una credencial almacenada en XClarity Administrator que coincida con una cuenta de usuario activa en el dispositivo o una cuenta de usuario en un servidor de Active Directory antes de gestionar el dispositivo utilizando la autenticación local (consulte Gestión de credenciales almacenadas).

Usar la autenticación gestionada le permite gestionar y supervisar varios dispositivos utilizando las credenciales en el servidor de autenticación de XClarity Administrator en lugar las credenciales locales. Cuando un dispositivo se gestiona mediante autenticación gestionada (fuera de los servidores ThinkServer, System x M4 y conmutadores), XClarity Administrator configura el dispositivo gestionado y sus componentes instalados para utilizar el servidor autenticación de XClarity Administrator para la gestión centralizada de usuarios de todos los dispositivos.

• Cuando se habilita la autenticación gestionada, puede gestionar dispositivos utilizando las credenciales ingresadas manualmente o almacenadas (consulte Gestión de cuentas de usuario y Gestión de credenciales almacenadas).

  La credencial almacenada solo se utilizará hasta que XClarity Administrator configure los valores de LDAP en el dispositivo. Después de eso, cualquier cambio de la credencial almacenada no tiene efecto la gestión o la supervisión de dicho dispositivo.

  Nota

  Cuando se habilita la autenticación gestionada para un dispositivo, no puede editar las credenciales almacenadas para dicho dispositivo utilizando XClarity Administrator.

• Si se utiliza un servidor LDAP local o externo como el servidor de autenticación de XClarity Administrator, las cuentas de usuario que están definidas en el servidor de autenticación se utilizan para iniciar sesión en XClarity Administrator, en los CMM y en los controladores de gestión de la placa base del dominio de XClarity Administrator. Las cuentas de usuario del CMM local y del controlador de gestión están deshabilitadas.

• Si se utiliza un proveedor de identidad SAML 2.0 como el servidor de autenticación de XClarity Administrator, los dispositivos gestionados no pueden acceder a las cuentas SAML. No obstante, cuando se utiliza un proveedor de identidad SAML y un servidor LDAP juntos, si el proveedor de identidad utiliza cuentas que existen en el servidor LDAP, las cuentas de usuario LDAP pueden utilizarse para iniciar sesión en los dispositivos gestionados, mientras que los métodos de autenticación más avanzados proporcionados por SAML 2.0 (como la autenticación de varios factores y el inicio de sesión único) pueden utilizarse para iniciar sesión en XClarity Administrator.

• El inicio de sesión único permite a un usuario que ya inició sesión en XClarity Administrator iniciar sesión automáticamente en el control de gestión de la placa base. El inicio de sesión único está habilitado de forma predeterminada cuando un servidor ThinkSystem o ThinkAgile se incluye en la gestión por XClarity Administrator (a menos que el servidor se esté gestionando con contraseñas de CyberArk). Puede configurar el valor global para habilitar o deshabilitar el inicio de sesión único en todos los servidores ThinkSystem y ThinkAgile gestionados. Habilitar el inicio de sesión único para un servidor ThinkSystem y ThinkAgile específico sustituye el valor global de todos los servidores ThinkSystem y ThinkAgile (consulte Gestión de servidores).

  Nota

  El inicio de sesión único se deshabilita automáticamente cuando se utiliza el sistema de gestión de identidades CyberArk para la autenticación.

• Cuando se habilita la autenticación gestionada para los servidores ThinkSystem SR635 y SR655:

  • El firmware del controlador de gestión de la placa base admite hasta cinco roles de usuario LDAP. XClarity Administrator añade estos roles de usuario LDAP a los servidores durante la gestión: lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin y lxc-os-admin.

    Los usuarios deben tener asignado al menos uno de los roles de usuario LDAP especificados para comunicarse con servidores ThinkSystem SR635 y SR655.

  • El firmware del controlador de gestión no admite usuarios LDAP que tengan el mismo nombre de usuario que el usuario local del servidor.

• Para servidores ThinkServer y System x M4, no se usa el servidor de autenticación de XClarity Administrator. Por el contrario, se crea una cuenta IPMI en el dispositivo con el prefijo “LXCA_” seguido de una cadena aleatoria. (Las cuentas de usuario de IPM local no se deshabilitan). Cuando anula la gestión de un servidor ThinkServer, se deshabilita la cuenta de usuario “LXCA_” y se sustituye el prefijo “LXCA_” con el prefijo “DISABLED_”. Para determinar si un servidor ThinkServer está gestionado por otra instancia, XClarity Administrator comprueba la existencia de cuentas IPMI con el prefijo “LXCA_”. Si elige forzar la gestión de un servidor ThinkServer gestionado, se deshabilitan todas las cuentas IPMI en el dispositivo con el prefijo “LXCA_” y cambian de nombre. Considere la posibilidad de borrar manualmente las cuentas IPMI que ya no se utilizan.

  Si usa credenciales ingresadas manualmente, XClarity Administrator crea automáticamente una credencial almacenada y usa esa credencial almacenada para gestionar el dispositivo.

  Nota

  Cuando se habilita la autenticación gestionada para un dispositivo, no puede editar las credenciales almacenadas para dicho dispositivo utilizando XClarity Administrator.

  • Cada vez que gestiona un dispositivo mediante las credenciales ingresadas manualmente, se crea una nueva credencial almacenad para ese dispositivo, incluso si se han creado otras credenciales almacenadas para ese dispositivo durante un proceso de gestión anterior.

  • Cuando se anula la gestión de un dispositivo, XClarity Administrator no elimina las credenciales almacenadas que se crearon automáticamente para ese dispositivo durante el proceso de gestión.