Autenticación
Servidores de autenticación admitidos
- Servidor de autenticación local. De manera predeterminada, XClarity Administrator está configurado para utilizar el servidor del Protocolo ligero de acceso a directorios (LDAP) que se encuentra en el servidor de gestión.
- Servidor LDAP externo. Actualmente, solo se admiten Microsoft Active Directory y OpenLDAP. Este servidor debe residir en un servidor de Microsoft Windows externo conectado a la red de gestión.
Cuando se utiliza un servidor LDAP externo, el servidor de autenticación local se deshabilita.
AtenciónPara configurar el método de vinculación de Active Directory para utilizar las credenciales de inicio de sesión, el controlador de gestión de la placa base para cada servidor gestionado debe estar ejecutando firmware a partir de septiembre de 2016 o con posterioridad. Sistema de gestión de identidades externo. Actualmente, solo se admite CyberArk.
Si las cuentas de usuario de un servidor ThinkSystem o ThinkAgile están integradas en CyberArk, puede elegir que XClarity Administrator recupere las credenciales de CyberArk para iniciar sesión en el servidor cuando configure inicialmente los servidores para la gestión (con autenticación gestionada o local). Antes de que las credenciales se puedan recuperar de CyberArk, las rutas cyberark deben definirse en XClarity Administrator y se debe establecer confianza mutua entre CyberArk y XClarity Administrator mediante la autenticación mutua TLS a través de certificados de cliente.
- SAML externo proveedor de identidad. Actualmente, se admiten Microsoft Active Directory Federation Services (AD FS). Además de ingresar un nombre de usuario y contraseña, se puede configurar una autenticación de varios factores para habilitar una seguridad adicional al solicitar un código PIN, la lectura de una tarjeta inteligente y un certificado de cliente.
Cuando se utiliza un proveedor de identidad SAML, el servidor de autenticación local no se deshabilita. Se requieren cuentas de usuarios locales para iniciar sesión directamente en un chasis o servidor gestionado (a menos que se habilite la Encapsulación en ese dispositivo) para la autenticación de PowerShell y REST API y para la recuperación, si la autenticación externa no está disponible.
Puede elegir usar un servidor LDAP externo y un proveedor de identidad externo. Si ambos están habilitados, el servidor LDAP externo se utiliza para iniciar sesión directamente en los dispositivos gestionados y el proveedor de identidad se utiliza para iniciar sesión en el servidor de gestión.
Para obtener más información sobre los servidores de autenticación, consulte Gestión del servidor de autenticación.
Autenticación de dispositivo
Cuando se utiliza la autenticación local para los servidores de bastidor, chasis de Lenovo y conmutadores de bastidor de Lenovo, XClarity Administrator usa una credencial almacenada para autenticar el dispositivo. La credencial almacenada puede corresponder con una cuenta de usuario activa en el dispositivo o con una cuenta de usuario en un servidor de Active Directory.
Debe crear una credencial almacenada en XClarity Administrator que coincida con una cuenta de usuario activa en el dispositivo o una cuenta de usuario en un servidor de Active Directory antes de gestionar el dispositivo utilizando la autenticación local (consulte Gestión de credenciales almacenadas).
Nota- Cuando se habilita la autenticación local para un dispositivo, no puede editar las credenciales almacenadas para dicho dispositivo utilizando XClarity Administrator.
- Los dispositivos RackSwitch solo admiten credenciales almacenadas para la autenticación. Las credenciales de usuario de XClarity Administrator no se admiten.
Usar la autenticación gestionada le permite gestionar y supervisar varios dispositivos utilizando las credenciales en el servidor de autenticación de XClarity Administrator en lugar las credenciales locales. Cuando un dispositivo se gestiona mediante autenticación gestionada (fuera de los servidores ThinkServer, System x M4 y conmutadores), XClarity Administrator configura el dispositivo gestionado y sus componentes instalados para utilizar el servidor autenticación de XClarity Administrator para la gestión centralizada de usuarios de todos los dispositivos.
- Cuando se habilita la autenticación gestionada, puede gestionar dispositivos utilizando las credenciales ingresadas manualmente o almacenadas (consulte Gestión de cuentas de usuario y Gestión de credenciales almacenadas).
La credencial almacenada solo se utilizará hasta que XClarity Administrator configure los valores de LDAP en el dispositivo. Después de eso, cualquier cambio de la credencial almacenada no tiene efecto la gestión o la supervisión de dicho dispositivo.
- Si se utiliza un servidor LDAP local o externo como el servidor de autenticación de XClarity Administrator, las cuentas de usuario que están definidas en el servidor de autenticación se utilizan para iniciar sesión en XClarity Administrator, en los CMM y en los controladores de gestión de la placa base del dominio de XClarity Administrator. Las cuentas de usuario del CMM local y del controlador de gestión están deshabilitadas.NotaPara los servidores Think Edge SE450, SE350 V2 y SE360 V2, la cuenta de usuario local predeterminada permanece habilitada y el resto de las cuentas locales están deshabilitadas.
- Si se utiliza un proveedor de identidad SAML 2.0 como el servidor de autenticación de XClarity Administrator, los dispositivos gestionados no pueden acceder a las cuentas SAML. No obstante, cuando se utiliza un proveedor de identidad SAML y un servidor LDAP juntos, si el proveedor de identidad utiliza cuentas que existen en el servidor LDAP, las cuentas de usuario LDAP pueden utilizarse para iniciar sesión en los dispositivos gestionados, mientras que los métodos de autenticación más avanzados proporcionados por SAML 2.0 (como la autenticación de varios factores y el inicio de sesión único) pueden utilizarse para iniciar sesión en XClarity Administrator.
- El inicio de sesión único permite a un usuario que ya inició sesión en XClarity Administrator iniciar sesión automáticamente en el control de gestión de la placa base. El inicio de sesión único está habilitado de forma predeterminada cuando un servidor ThinkSystem o ThinkAgile se incluye en la gestión por XClarity Administrator (a menos que el servidor se esté gestionando con contraseñas de CyberArk). Puede configurar el valor global para habilitar o deshabilitar el inicio de sesión único en todos los servidores ThinkSystem y ThinkAgile gestionados. Habilitar el inicio de sesión único para un servidor ThinkSystem y ThinkAgile específico sustituye el valor global de todos los servidores ThinkSystem y ThinkAgile (consulte Gestión de servidores).NotaEl inicio de sesión único se deshabilita automáticamente cuando se utiliza el sistema de gestión de identidades CyberArk para la autenticación.
- Cuando se habilita la autenticación gestionada para los servidores ThinkSystem SR635 y SR655:
- El firmware del controlador de gestión de la placa base admite hasta cinco roles de usuario LDAP. XClarity Administrator añade estos roles de usuario LDAP a los servidores durante la gestión: lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin y lxc-os-admin.
Los usuarios deben tener asignado al menos uno de los roles de usuario LDAP especificados para comunicarse con servidores ThinkSystem SR635 y SR655.
- El firmware del controlador de gestión no admite usuarios LDAP que tengan el mismo nombre de usuario que el usuario local del servidor.
- El firmware del controlador de gestión de la placa base admite hasta cinco roles de usuario LDAP. XClarity Administrator añade estos roles de usuario LDAP a los servidores durante la gestión: lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin y lxc-os-admin.
Para servidores ThinkServer y System x M4, no se usa el servidor de autenticación de XClarity Administrator. Por el contrario, se crea una cuenta IPMI en el dispositivo con el prefijo
LXCA_
seguido de una cadena aleatoria. (Las cuentas de usuario de IPM local no se deshabilitan). Cuando anula la gestión de un servidor ThinkServer, se deshabilita la cuenta de usuarioLXCA_
y se sustituye el prefijoLXCA_
con el prefijoDISABLED_
. Para determinar si un servidor ThinkServer está gestionado por otra instancia, XClarity Administrator comprueba la existencia de cuentas IPMI con el prefijoLXCA_
. Si elige forzar la gestión de un servidor ThinkServer gestionado, se deshabilitan todas las cuentas IPMI en el dispositivo con el prefijoLXCA_
y cambian de nombre. Considere la posibilidad de borrar manualmente las cuentas IPMI que ya no se utilizan.Si usa credenciales ingresadas manualmente, XClarity Administrator crea automáticamente una credencial almacenada y usa esa credencial almacenada para gestionar el dispositivo.
NotaCuando se habilita la autenticación gestionada para un dispositivo, no puede editar las credenciales almacenadas para dicho dispositivo utilizandoXClarity Administrator. - Cada vez que gestiona un dispositivo mediante las credenciales ingresadas manualmente, se crea una nueva credencial almacenad para ese dispositivo, incluso si se han creado otras credenciales almacenadas para ese dispositivo durante un proceso de gestión anterior.
- Cuando se anula la gestión de un dispositivo, XClarity Administrator no elimina las credenciales almacenadas que se crearon automáticamente para ese dispositivo durante el proceso de gestión.
- Cuando se habilita la autenticación gestionada, puede gestionar dispositivos utilizando las credenciales ingresadas manualmente o almacenadas (consulte Gestión de cuentas de usuario y Gestión de credenciales almacenadas).
Cuenta de usuario de recuperación
Si se especifica una contraseña de recuperación, XClarity Administrator deshabilita la cuenta de usuario CMM local o de controlador de gestión local y crea una nueva cuenta de usuario de recuperación (RECOVERY_ID) en el dispositivo para autenticaciones futuras. Si el servidor de gestión presenta un error, puede utilizar la cuenta RECOVERY_ID para iniciar sesión en el dispositivo a fin de llevar a cabo las acciones de recuperación necesarias para restaurar las funciones de gestión de la cuenta en el dispositivo hasta que el nodo de gestión se restaure o se sustituya.
Si anula la gestión de un dispositivo que tiene una cuenta de usuario de RECOVERY_ID, se habilitarán todas las cuentas de usuario local y la cuenta de RECOVERY_ID se eliminará.
- Si cambia las cuentas de usuario locales deshabilitadas (por ejemplo, si cambia una contraseña), estos cambios no afectarán a la cuenta de RECOVERY_ID. En el modo de autenticación gestionada, la cuenta de RECOVERY_ID es la única cuenta de usuario que está activa y operativa.
- Utilice la cuenta de RECOVERY_ID solo en caso de emergencia, como, por ejemplo, si el servidor de gestión falla o si hay un problema de red que impide las comunicaciones del dispositivo con XClarity Administrator para autenticar usuarios.
- La contraseña de RECOVERY_ID se especifica al detectar el dispositivo. Asegúrese de que registra la contraseña para utilizarla posteriormente.
- Los dispositivos RackSwitch solo admiten credenciales almacenadas para la autenticación. Las credenciales de usuario de XClarity Administrator no se admiten.
Para obtener información acerca de la recuperación de dispositivos gestionados, consulte Recuperación de la gestión con un CMM tras un error de servidor de gestión, Recuperación de la gestión de un servidor de bastidor o de torre tras un error de servidor de gestión.