Gestione del server di autenticazione
Per impostazione predefinita, Lenovo XClarity Administrator utilizza un server LDAP (Lightweight Directory Access Protocol) locale per autenticare le credenziali utenti.
Informazioni su questa attività
Server di autenticazione supportati
- Server di autenticazione locale. Per impostazione predefinita, XClarity Administrator è configurato per utilizzare il server LDAP (Lightweight Directory Access Protocol) che risiede nel server di gestione.
- Server LDAP esterno. Attualmente, solo Microsoft Active Directory e OpenLDAP sono supportati. Questo server deve trovarsi in un server Microsoft Windows esterno connesso alla rete di gestione.
Quando viene utilizzato un server LDAP esterno, il server di autenticazione locale è disabilitato.
AttenzionePer configurare il metodo di collegamento Active Directory in modo da utilizzare le credenziali di login, il firmware del controller BMC (Baseboard Management Controller) di ciascun server gestito deve essere aggiornato a settembre 2016 o successivo. Sistema di gestione delle identità esterno. Attualmente è supportato solo CyberArk.
Se gli account utente per un server ThinkSystem o ThinkAgile sono integrati in CyberArk, è possibile scegliere di utilizzare XClarity Administrator per recuperare le credenziali tramite CyberArk al fine di accedere al server durante la configurazione iniziale dei server per la gestione (con autenticazione gestita o locale). Prima che le credenziali possano essere recuperate da CyberArk, i percorsi CyberArk devono essere definiti in XClarity Administrator e l'attendibilità reciproca deve essere stabilita tra CyberArk e XClarity Administrator utilizzando l'autenticazione TLS reciproca tramite i certificati client.
- SAML esterno Provider di identità. Attualmente i servizi Microsoft Active Directory Federation Services (AD FS) sono supportati. Oltre all'immissione di un nome utente e una password, l'autenticazione a più fattori può essere configurata in modo da garantire un'ulteriore protezione attraverso la richiesta di un codice PIN, la lettura di una smart card e un certificato client.
Quando viene utilizzato un Provider di identità SAML, il server di autenticazione locale non viene disabilitato. Gli account utente locali sono richiesti per accedere direttamente a uno chassis gestito o al server (tranne se Incapsulamento non è abilitato su tale dispositivo), per l'autenticazione PowerShell e API REST, nonché per il ripristino se l'autenticazione esterna non è disponibile.
È possibile scegliere di utilizzare sia un server LDAP esterno che un Provider di identità esterno. Se entrambi sono abilitati, il server LDAP esterna viene utilizzato per accedere direttamente ai dispositivi da gestire, mentre il Provider di identità viene utilizzato per accedere al server di gestione.
Autenticazione dispositivo
Quando l'autenticazione locale viene utilizzata per i server rack, lo chassis Lenovo e gli switch rack Lenovo, XClarity Administrator utilizza una credenziale memorizzata per eseguire l'autenticazione al dispositivo. La credenziale memorizzata può essere un account utente attivo sul dispositivo o un account utente in un server Active Directory.
Prima di gestire il dispositivo utilizzando l'autenticazione locale è necessario creare le credenziali memorizzate in XClarity Administrator che corrispondono a un account utente attivo sul dispositivo o un account utente in un server Active Directory (vedere Gestione delle credenziali memorizzate).
Nota- Quando è abilitata l'autenticazione locale per un dispositivo, non è possibile modificare le credenziali memorizzate per tale dispositivo utilizzando XClarity Administrator.
- I dispositivi RackSwitch supportano solo le credenziali memorizzate per l'autenticazione. Le credenziali utente di XClarity Administrator non sono supportate.
L'autenticazione gestita consente di gestire e monitorare più dispositivi utilizzando le credenziali del server di autenticazione XClarity Administrator invece delle credenziali locali. Quando l'autenticazione gestita viene utilizzata per un dispositivo (diverso dai server ThinkServer e System x M4 o dagli switch), XClarity Administrator configura il dispositivo gestito e i relativi componenti installati per utilizzare il server di autenticazione XClarity Administrator per la gestione centralizzata.
- Quando è abilitata l'autenticazione gestita, è possibile gestire i dispositivi utilizzando le credenziali memorizzate o inserite manualmente (vedere Gestione degli account utente, Gestione delle credenziali memorizzate).
La credenziale memorizzata viene utilizzata solo finché XClarity Administrator non configura le impostazioni LDAP sul dispositivo. Successivamente, eventuali modifiche delle credenziali memorizzate non incidono sulla gestione o sul monitoraggio di tale dispositivo.
- Se viene utilizzato un server LDAP esterno o locale come server di autenticazione XClarity Administrator, gli account utente definiti nel server di autenticazione vengono utilizzati per eseguire il login a XClarity Administrator, CMM e controller di gestione della scheda di base nel dominio di XClarity Administrator. Gli account utente del controller di gestione e CMM locali sono disabilitati.NotaPer i server ThinkEdge SE450, SE350 V2 e SE360 V2, l'account utente locale predefinito rimane abilitato e tutti gli altri account locali sono disabilitati.
- Se viene utilizzato un provider di identità SAML 2.0 come server di autenticazione XClarity Administrator, gli account SAML non saranno accessibili per i dispositivi gestiti. Tuttavia quando si utilizzano un provider di identità SAML e un server LDAP insieme, se il provider di identità utilizza gli account esistenti nel server LDAP, gli account utente LDAP possono essere utilizzati per eseguire il login ai dispositivi gestiti mentre i metodi di autenticazione più avanzati forniti da SAML 2.0 (come autenticazione a più fattori e Single Sign-On) possono essere utilizzati per eseguire il login a XClarity Administrator.
- La funzione Single Sign-On consente a un utente già connesso a XClarity Administrator di eseguire automaticamente il login al controllo di gestione della scheda di base. L'opzione Single Sign-On è abilitata per impostazione predefinita quando un server ThinkSystem o ThinkAgile viene inserito nella gestione da XClarity Administrator (a meno che il server non sia gestito con password CyberArk). È possibile configurare l'impostazione globale per abilitare o disabilitare la funzione Single Sign-On per tutti i server ThinkSystem e ThinkAgile gestiti. L'abilitazione dell'opzione Single Sign-On per un server ThinkSystem o ThinkAgile specifico ha la precedenza sull'impostazione globale per tutti i server ThinkSystem e ThinkAgile (vedere Gestione dei server).NotaSingle Sign-On viene disabilitato automaticamente quando si utilizza il sistema di gestione delle identità CyberArk per l'autenticazione.
- Quando l'autenticazione gestita è abilitata per i server ThinkSystem SR635 e SR655:
- Il firmware del controller di gestione della scheda di base supporta fino a cinque ruoli utente LDAP. XClarity Administrator aggiunge questi ruoli utente LDAP ai server durante la gestione: lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin e lxc-os-admin.
È necessario assegnare gli utenti ad almeno uno dei ruoli utente LDAP specificati per comunicare con i server ThinkSystem SR635 e SR655.
- Il firmware del controller di gestione non supporta gli utenti LDAP con lo stesso nome utente locale del server.
- Il firmware del controller di gestione della scheda di base supporta fino a cinque ruoli utente LDAP. XClarity Administrator aggiunge questi ruoli utente LDAP ai server durante la gestione: lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin e lxc-os-admin.
Per i server ThinkServer e System x M4, il server di autenticazione XClarity Administrator non viene utilizzato. Di contro, viene creato un account IPMI sul dispositivo con il prefisso
LXCA_
, seguito da una stringa casuale. (Gli account utente IPMI locali esistenti non vengono disabilitati). Quando si annulla la gestione di un server ThinkServer, l'account utenteLXCA_
viene disabilitato e il prefissoLXCA_
viene sostituito con il prefissoDISABLED_
. Per determinare se un server ThinkServer è gestito da un'altra istanza, XClarity Administrator verifica gli account IPMI con il prefissoLXCA_
. Se si sceglie di forzare la gestione di un server ThinkServer gestito, tutti gli account IPMI del dispositivo con il prefissoLXCA_
vengono disabilitati e rinominati. Valutare la possibilità di cancellare manualmente gli account IPMI non più in uso.Se si utilizzano credenziali inserite manualmente, XClarity Administrator crea automaticamente una credenziale memorizzata e la utilizza per gestire il dispositivo.
NotaQuando è abilitata l'autenticazione gestita per un dispositivo, non è possibile modificare le credenziali memorizzate per tale dispositivo utilizzandoXClarity Administrator. - Ogni volta che si gestisce un dispositivo utilizzando le credenziali inserite manualmente, viene creata una nuova credenziale memorizzata per tale dispositivo, anche se è stata creata un'altra credenziale memorizzata per il dispositivo durante un processo di gestione precedente.
- Quando si annulla la gestione di un dispositivo, XClarity Administrator non elimina le credenziali memorizzate create automaticamente per tale dispositivo durante il processo di gestione.
- Quando è abilitata l'autenticazione gestita, è possibile gestire i dispositivi utilizzando le credenziali memorizzate o inserite manualmente (vedere Gestione degli account utente, Gestione delle credenziali memorizzate).
Account di ripristino
Se si specifica una password di ripristino, XClarity Administrator disabilita l'account utente CMM locale o del controller di gestione e crea un nuovo account utente di ripristino (RECOVERY_ID) sul dispositivo per l'autenticazione futura. Se il server di gestione non funziona, è possibile utilizzare l'account RECOVERY_ID per eseguire il login al dispositivo e ripristinare le funzioni di gestione degli account del dispositivo, finché il nodo di gestione non viene ripristinato o sostituito.
Se si annulla la gestione di un dispositivo che dispone di un account utente RECOVERY_ID, tutti gli account utente locali vengono abilitati e l'account RECOVERY_ID viene eliminato.
- Se si modificano gli account utente locali disabilitati (ad esempio, se si modifica una password), le modifiche non hanno effetto sull'account RECOVERY_ID. In modalità di autenticazione gestita, l'account RECOVERY_ID è l'unico account utente attivato e operativo.
- Utilizzare l'account RECOVERY_ID solo in caso di emergenza, ad esempio, se il server di gestione non funziona o se si verifica un problema alla rete che impedisce al dispositivo di comunicare con XClarity Administrator per autenticare gli utenti.
- La password RECOVERY_ID viene specificata quando si rileva il dispositivo. Assicurarsi di registrare la password per gli usi successivi.
- I dispositivi RackSwitch supportano solo le credenziali memorizzate per l'autenticazione. Le credenziali utente di XClarity Administrator non sono supportate.
Per informazioni sul recupero della gestione di un dispositivo, vedere Ripristino della gestione con un modulo CMM dopo un errore del server di gestione, Ripristino della gestione del server tower o rack dopo un errore del server di gestione.