Passa al contenuto principale

Determinazione del tipo di metodo di autenticazione utilizzato da Lenovo XClarity Administrator

È possibile determinare il tipo di metodo di autenticazione attualmente utilizzato tramite le schede Client LDAP e Impostazioni SAML della pagina "Sicurezza".

Informazioni su questa attività

Il server di autenticazione è un registro utente utilizzato per autenticare le credenziali utente. Lenovo XClarity Administrator supporta i seguenti tipi di server di autenticazione.
  • Server di autenticazione locale. Per impostazione predefinita, XClarity Administrator è configurato per utilizzare il server LDAP (Lightweight Directory Access Protocol) che risiede nel server di gestione.
  • Server LDAP esterno. Attualmente, solo Microsoft Active Directory e OpenLDAP sono supportati. Questo server deve trovarsi in un server Microsoft Windows esterno connesso alla rete di gestione.

    Quando viene utilizzato un server LDAP esterno, il server di autenticazione locale è disabilitato.

    Attenzione
    Per configurare il metodo di collegamento Active Directory in modo da utilizzare le credenziali di login, il firmware del controller BMC (Baseboard Management Controller) di ciascun server gestito deve essere aggiornato a settembre 2016 o successivo.

  • Sistema di gestione delle identità esterno. Attualmente è supportato solo CyberArk.

    Se gli account utente per un server ThinkSystem o ThinkAgile sono integrati in CyberArk, è possibile scegliere di utilizzare XClarity Administrator per recuperare le credenziali tramite CyberArk al fine di accedere al server durante la configurazione iniziale dei server per la gestione (con autenticazione gestita o locale). Prima che le credenziali possano essere recuperate da CyberArk, i percorsi CyberArk devono essere definiti in XClarity Administrator e l'attendibilità reciproca deve essere stabilita tra CyberArk e XClarity Administrator utilizzando l'autenticazione TLS reciproca tramite i certificati client.

  • SAML esterno provider di identità. Attualmente, è supportato solo Microsoft Active Directory Federation Services (AD FS). Oltre all'immissione di un nome utente e una password, l'autenticazione a più fattori può essere configurata in modo da garantire un'ulteriore protezione attraverso la richiesta di un codice PIN, la lettura di una smart card e un certificato client.

    Quando viene utilizzato un provider di identità SAML, il server di autenticazione locale non viene disabilitato. Gli account utente locali sono richiesti per accedere direttamente a uno chassis gestito o al server (tranne se Incapsulamento non è abilitato su tale dispositivo), per l'autenticazione PowerShell e API REST, nonché per il ripristino se l'autenticazione esterna non è disponibile.

    È possibile scegliere di utilizzare sia un server LDAP esterno che un provider di identità esterno. Se entrambi sono abilitati, il server LDAP esterna viene utilizzato per accedere direttamente ai dispositivi da gestire, mentre il provider di identità viene utilizzato per accedere al server di gestione.

Procedura

Per determinare il tipo di server di autenticazione utilizzato dal software di gestione, completare le seguenti operazioni.

  1. Dalla barra dei menu di XClarity Administrator, fare clic su Amministrazione > Sicurezza.
  2. Fare clic su Client LDAP nella sezione "Utenti e gruppi" per visualizzare la finestra di dialogo Impostazioni client LDAP.
    Verificare il metodo di autenticazione utente selezionato:
    • Consenti accesso di utenti locali. L'autenticazione viene eseguita utilizzando l'autenticazione locale. Se questa opzione è selezionata, tutti gli account utente sono disponibili nel server di autenticazione locale sul nodo di gestione.
    • Consenti accesso di utenti LDAP. L'autenticazione viene eseguita da un server LDAP esterno. Questo metodo consente la gestione remota degli account utente. Quando questa opzione è selezionata, tutti gli account utente esistono in remoto su un server LDAP esterno.
    • Consenti prima l'accesso degli utenti locali, quindi degli utenti LDAP. Il server di autenticazione locale esegue prima l'autenticazione. In caso di errore, l'autenticazione viene eseguita da un server LDAP esterno.
    • Consenti prima utenti LDAP, poi utenti locali. Un server LDAP esterno esegue prima l'autenticazione. In caso di errore, l'autenticazione viene eseguita dal server di autenticazione locale.
  3. Fare clic su Impostazioni SAML nella sezione "Utenti e gruppi" per visualizzare la pagina "Impostazioni SAML".

    Se l'opzione SAML abilitato è selezionata, provider di identità viene utilizzato.