Configuration d'un serveur d'authentification LDAP externe
Vous pouvez choisir d'utiliser un serveur d'authentification externe LDAP au lieu du serveur d'authentification Lenovo XClarity Administrator local sur le nœud de gestion.
Avant de commencer
La configuration initiale de XClarity Administrator doit être effectuée avant la configuration du serveur d'authentification externe.
Les serveurs d'authentification externes suivants sont pris en charge :
OpenLDAP
Microsoft Active Directory. Ils doivent se trouver sur un serveur Microsoft Windows externe connecté au réseau de gestion et/ou au réseau de données
Vérifiez que tous les ports requis pour le serveur d'authentification externe sont ouverts sur le réseau et les pare-feu. Pour plus d'informations sur les exigences liées aux ports, voir Disponibilité de port.
Vous devez créer ou renommer des groupes de rôles sur le serveur d'authentification local pour qu'ils correspondent aux groupes définis sur le serveur d'authentification externe.
Vérifiez qu'un ou plusieurs utilisateurs disposant des droits lxc-recovery sont présents dans le serveur d'authentification local. Vous pouvez utiliser ce compte utilisateur local pour vous authentifier directement auprès de XClarity Administrator si une erreur de communication se produit avec le serveur LDAP externe.
Remarque
Si XClarity Administrator est configuré pour utiliser un serveur d'authentification externe, la page Gestion des utilisateurs dans l'interface Web de XClarity Administrator est désactivée.
Avertissement
Pour que Active Directory configure la méthode de liaison d' afin qu'elle utilise des données d'identification de connexion, le contrôleur de gestion de la carte mère de chaque serveur géré doit exécuter un microprogramme de septembre 2016 ou ultérieur.
XClarity Administrator vérifie la connectivité toutes les 5 minutes afin de maintenir la connectivité aux serveurs LDAP externes configurés. Les environnements comportant un grand nombre de serveurs LDAP peuvent constater une utilisation UC élevée pendant cette vérification de connectivité. Pour obtenir de meilleures performances, assurez-vous que la plupart ou l'ensemble des serveurs LDAP du domaine sont accessibles, ou définissez la méthode de sélection du serveur d'authentification sur Utiliser des serveurs préconfigurés et indiquez uniquement des serveurs LDAP connus et accessibles.
Procédure
Pour configurer XClarity Administrator afin qu'il utilise un serveur d'authentification externe, procédez comme suit.
Configurez la méthode d'authentification de l'utilisateur pour Microsoft Active Directory ou OpenLDAP.
Si vous choisissez d'utiliser l'authentification non sécurisée, aucune configuration supplémentaire n'est requise. Les contrôleurs de domaine Windows Active Directory ou OpenLDAP utilisent l'authentification LDAP non sécurisée par défaut.
Si vous choisissez d'utiliser l'authentification LDAP sécurisée, vous devez configurer les contrôleurs de domaine afin de permettre l'authentification LDAP sécurisée. Pour plus d’informations sur la configuration de l’authentification LDAP sécurisée dans Active Directory, voir le Article à propos du certificat LDAP sur SSL (LDAPS) sur le site Web Microsoft TechNet.
Pour vérifier que les contrôleurs de domaine Active Directory sont configurés pour l'utilisation de l'authentification LDAP sécurisée :
Recherchez l'événement LDAP sur Secure Sockets Layer (SSL) est désormais disponible dans la fenêtre Observateur d'événements des contrôleurs de domaine.
Utilisez l'outil Windows ldp.exe pour tester la connectivité LDAP sécurisée avec les contrôleurs de domaine.
Importez le certificat du serveur Active Directory ou OpenLDAP ou le certificat racine de l'autorité de certification qui a signé le certificat du serveur.
Dans la barre de menus de XClarity Administrator, cliquez sur Administration > Sécurité.
Cliquez sur Certificats sécurisés dans la section Gestion des certificats.
Cliquez sur l'icône Créer () pour ajouter un certificat.
Recherchez le fichier ou collez le texte du certificat au format PEM.
Cliquez sur Créer.
Configurez le client LDAP XClarity Administrator :
Dans la barre de menus de XClarity Administrator, cliquez sur Administration > Sécurité.
Cliquez sur Client LDAP dans la section Utilisateurs et groupes pour afficher la boîte de dialogue Paramètres du client LDAP.
Renseignez la boîte de dialogue selon les critères suivants.
Sélectionnez l'une de ces méthodes d'authentification d'utilisateur :
Autoriser les connexions des utilisateurs locaux. L'authentification est exécutée à l'aide de l'authentification locale. Lorsque cette option est sélectionnée, tous les comptes utilisateur existent sur le serveur d'authentification local sur le nœud de gestion.
Autoriser les connexions des utilisateurs LDAP. L'authentification est exécutée par un serveur LDAP externe. Cette méthode permet de gérer des comptes utilisateur à distance. Lorsque cette option est sélectionnée, tous les comptes utilisateur existent à distance dans un serveur LDAP externe.
Autoriser les connexions des utilisateurs locaux en premier, puis des utilisateurs LDAP. Le serveur d'authentification local exécute l'authentification en premier. Si cette opération échoue, un serveur LDAP externe exécute l'authentification.
Autoriser les connexions des utilisateurs LDAP en premier, puis des utilisateurs locaux. Un serveur LDAP externe exécute l'authentification en premier. Si cette opération échoue, le serveur d'authentification local exécute l'authentification.
Choisissez d'activer ou de désactiver le LDAP sécurisé :
Activer le LDAP sécurisé. XClarity Administrator utilise le protocole LDAPS pour établir une connexion sécurisée au serveur d'authentification externe. Lorsque cette option est sélectionnée, vous devez également configurer des certificats sécurisés pour activer le support LDAP sécurisé.
Désactiver le LDAP sécurisé. XClarity Administrator utilise un protocole non sécurisé pour établir une connexion au serveur d'authentification externe. Si vous choisissez ce paramètre, votre matériel peut être plus vulnérable aux attaques de sécurité.
Sélectionnez l'une de ces méthodes de sélection de serveur :
Utiliser des serveurs préconfigurés. XClarity Administrator utilise les adresses IP et ports spécifiés pour reconnaître le serveur d'authentification externe.
Si vous sélectionnez cette option, indiquez jusqu'à quatre adresses IP de serveur et ports préconfigurés. Le client LDAP essaie de s'authentifier à l'aide de la première adresse du serveur. Si l'authentification échoue, le client LDAP tente de s'authentifier à l'aide de l'adresse IP de serveur suivante.
Si le numéro de port pour une entrée n'est pas explicitement défini sur 3268 ou 3269, il est considéré que l'entrée identifie un contrôleur de domaine.
Lorsque le numéro de port est défini sur 3268 ou 3269, il est considéré que l'entrée identifie un catalogue global. Le client LDAP tente de s'authentifier à l'aide du contrôleur de domaine pour la première adresse IP de serveur configurée. Si cette opération échoue, le client LDAP tente de s'authentifier à l'aide du contrôleur de domaine pour l'adresse IP de serveur suivante.
Important
Au moins un contrôleur de domaine doit être spécifié, même si le catalogue global est spécifié. Spécifier le catalogue global uniquement peut sembler correct, mais ce n'est pas une configuration valide.
Lorsque le mode de cryptographie est défini sur NIST-800-131A, XClarity Administrator ne peut peut-être pas se connecter à un serveur LDAP externe à l’aide d’un port sécurisé (par exemple, en utilisant LDAPS sur le port par défaut 636) si le serveur LDAP n’est pas en mesure d’établir une connexion Transport Layer Security (TLS) version 1.2 avec le client LDAP dans XClarity Administrator.
Utiliser DNS pour rechercher des serveurs LDAP. XClarity Administrator utilise le nom de domaine spécifié ou le nom de la forêt pour reconnaître le serveur d'authentification externe de manière dynamique. Le nom de domaine et le nom de la forêt sont utilisés pour obtenir une liste des contrôleurs de domaine, et le nom de la forêt est utilisé pour obtenir une liste des serveurs de catalogue global.
Avertissement
Lors de l'utilisation de DNS pour rechercher les serveurs LDAP, vérifiez que le compte utilisateur à utiliser pour s'authentifier auprès du serveur d'authentification externe est hébergé sur des contrôleurs de domaine spécifiés. Si le compte utilisateur est hébergé sur un contrôleur de domaine enfant, ajoutez le contrôleur de domaine enfant dans la liste de demande de service.
Sélectionnez l'une des méthodes de liaison suivantes :
Données d'identification configurées. Utilisez cette méthode de liaison pour utiliser le nom et le mot de passe du client afin de lier XClarity Administrator au serveur d'authentification externe. Si la liaison échoue, la procédure d'authentification échoue également.
Le nom du client peut être un nom pris en charge par le serveur LDAP, y compris un nom distinctif, un nom AMAccountName, un nom NetBIOS ou un nom UserPrincipalName. Le nom du client doit être un compte utilisateur au sein du domaine qui possède au minimum des droits en lecture seule. Par exemple :
Si vous modifiez le mot de passe client sur le serveur d'authentification externe, veillez à mettre également à jour le nouveau mot de passe dans XClarity Administrator. Pour plus d'informations, voir Impossible de se connecter à Lenovo XClarity Administrator.
Données d'identification de connexion. Utilisez cette méthode de liaison pour utiliser le nom et le mot de passe d'un utilisateur Active Directory ou OpenLDAP pour lier XClarity Administrator au serveur d'authentification externe.
L'ID utilisateur et le mot de passe que vous définissez sont uniquement utilisés pour tester la connexion au serveur d'authentification. Si l’opération réussit, les paramètres du client LDAP sont enregistrés, mais les données d’identification de connexion de test que vous avez spécifiées ne sont pas enregistrées. Toutes les futures liaisons utilisent le nom d'utilisateur et le mot de passe que vous avez utilisés pour vous connecter à XClarity Administrator.
Remarque
Vous devez vous connecter à XClarity Administrator à l’aide d’un nom d’utilisateur pleinement qualifié. Les noms courts ne sont pas autorisés. Par exemple :
domain\username username@domain.com
Vous devez utiliser un nom de client de test pleinement qualifié pour la méthode de liaison.
Avertissement
Pour configurer la méthode de liaison afin d'utiliser des données d'identification de connexion, le contrôleur de gestion de chaque serveur géré doit exécuter un microprogramme de septembre 2016 ou ultérieur.
Dans la zone Nom distinctif racine, il est recommandé de ne pas indiquer de nom distinctif racine, en particulier pour les environnements possédant plusieurs domaines. Lorsque cette zone est vide, XClarity Administrator interroge le serveur d'authentification externe pour les contextes de désignation.
Si vous utilisez DNS pour reconnaître le serveur d'authentification externe ou si vous indiquez plusieurs serveurs (par exemple, dc=example,dc=com), vous pouvez éventuellement indiquer la première entrée dans votre arborescence de répertoires LDAP. Dans ce cas, les recherches sont lancées avec le nom distinctif racine spécifié en tant que base de recherche.
Indiquez l'attribut à utiliser pour rechercher le nom d'utilisateur.
Lorsque la méthode de liaison est définie sur Données d'identification configurées, la liaison initiale au serveur LDAP est suivie d'une demande de recherche qui récupère des informations spécifiques sur l'utilisateur, dont le nom distinctif, les autorisations de connexion et l'appartenance à un groupe. Cette demande de recherche doit spécifier le nom d'attribut représentant les ID d'utilisateur sur ce serveur. Ce nom d'attribut est configuré dans cette zone. Si cette zone est laissée vide, la valeur par défaut est cn.
Indiquez le nom d'attribut utilisé pour identifier les groupes auxquels un utilisateur appartient. Si cette zone est laissée vide, le nom d'attribut du filtre correspond par défaut à memberOf.
Indiquez le nom d’attribut utilisé pour identifier le nom de groupe qui est configuré par le serveur LDAP. Si cette zone est laissée vide, la valeur par défaut est uid.
En option, configurez les critères de filtres pour les utilisateurs et les groupes.
Précisez les filtres de recherche pour les utilisateurs et les groupes afin de personnaliser le processus d’authentification lorsque vous configurez XClarity Administrator avec un serveur LDAP externe. Pour plus d’informations sur la syntaxe des filtres de recherche, voir Comment rédiger des filtres de recherche LDAP. Pour obtenir des exemples de filtres de recherche, voir Exemples de recherches LDAP communes.
Précisez le nombre maximal de résultats pouvant s’afficher dans la recherche et pouvant être extraits d’une opération de recherche LDAP à l’aide de filtres portant sur les utilisateurs et les groupes. Il peut s’agir d’une valeur comprise entre 0 et 5 000. La valeur par défaut est 0, ce qui signifie illimité.
Précisez le temps, en secondes, requis pour terminer une opération de recherche LDAP avant le dépassement du délai. Cette valeur peut aller de 0 à 300 secondes (5 minutes). La valeur par défaut est 0, ce qui signifie que l’opération ne peut pas être affectée par un dépassement de délai.
Cliquez sur Appliquer.
XClarity Administrator tente de tester la configuration pour détecter les erreurs communes. Si le test échoue, il affiche des messages d'erreur qui indiquent la source des erreurs. Si le test aboutit et que les connexions aux serveurs spécifiés aboutissent, l'authentification utilisateur peut tout de même échouer si :
Il n'existe aucun utilisateur local possédant des droits lxc-recovery.
Le nom distinctif racine est incorrect.
L'utilisateur n'est pas membre d'au moins un groupe dans le serveur d'authentification externe qui correspond au nom d'un groupe de rôles sur le serveur d'authentification de XClarity Administrator. XClarity Administrator ne peut pas le détecter si le nom distinctif racine est correct ; toutefois, il peut le détecter si un utilisateur est membre d'au moins un groupe. Si un utilisateur n'est pas membre d'au moins un groupe, un message d'erreur s'affiche lorsque l'utilisateur tente de se connecter à XClarity Administrator. Pour plus d'informations sur le dépannage des problèmes liés aux serveurs d'authentification externes, voir Problèmes de connectivité.
Créez un compte utilisateur externe pouvant accéder à XClarity Administrator :
Depuis le serveur d'authentification externe, créez un compte utilisateur. Pour plus de détails, consultez la documentation. Active Directory ou OpenLDAP.
Créez un groupe global Active Directory ou OpenLDAP avec le nom d'un groupe prédéfini et autorisé. Le groupe doit exister dans le contexte du nom distinctif racine défini dans le client LDAP.
Ajoutez l'utilisateur Active Directory ou OpenLDAP comme membre du groupe de sécurité que vous avez créé précédemment.
Connectez-vous à XClarity Administrator avec le nom d'utilisateur Active Directory ou OpenLDAP.
Facultatif : définissez et créez des groupes supplémentaires. Vous pouvez ensuite les autoriser et leur affecter des rôles depuis la page Utilisateurs et groupes.
XClarity Administrator valide la connexion au serveur LDAP. Si la validation réussit, l'authentification utilisateur se produit sur le serveur d'authentification externe lorsque vous vous connectez à XClarity Administrator, à CMM et au contrôleur de gestion.
Si la validation échoue, le mode d'authentification est automatiquement modifié pour revenir au paramètre Autoriser les connexions des utilisateurs locaux, et un message décrivant la cause de l'échec s'affiche.
Remarque
Les groupes de rôles appropriés doivent être configurés dans XClarity Administrator et les comptes utilisateur doivent être définis en tant que membre de l'un de ces groupes de rôles sur le serveur Active Directory. Dans le cas contraire, l'authentification utilisateur échoue.