Passa al contenuto principale

Configurazione di un server di autenticazione LDAP esterno

È possibile scegliere di utilizzare un server di autenticazione LDAP esterna invece del server di autenticazione locale Lenovo XClarity Administrator sul nodo di gestione.

Prima di iniziare

Prima di configurare il server di autenticazione esterna, è necessario completare la configurazione iniziale di XClarity Administrator.

Sono supportati i seguenti server di autenticazione esterna:
  • OpenLDAP

  • Microsoft Active Directory. Deve trovarsi in un server Microsoft Windows esterno connesso alla rete di gestione, alla rete di dati o a entrambe.

Verificare che tutte le porte richieste per il server di autenticazione esterna siano aperte su rete e firewall. Per informazioni sui requisiti delle porte, vedere Disponibilità della porta.

È necessario creare o rinominare i gruppi di ruoli del server di autenticazione locale in modo che corrispondano ai gruppi definiti nel server di autenticazione esterna.

Verificare che nel server di autenticazione locale siano disponibili uno o più utenti con autorità lxc-ripristino. È possibile utilizzare questo account utente locale per autenticarsi direttamente a XClarity Administrator quando si verifica un errore di comunicazione con il server LDAP esterno.

Nota
Quando XClarity Administrator è configurato per utilizzare un server di autenticazione esterna, la pagina "Gestione utenti" dell'interfaccia Web di XClarity Administrator è disabilitata.
Attenzione
In Active Directory, per configurare il metodo di associazione in modo da utilizzare le credenziali di login, il firmware del controller di gestione della scheda di base di ciascun server gestito deve essere aggiornato a settembre 2016 o successivo.

XClarity Administrator esegue un controllo della connettività ogni 5 minuti per mantenere la connettività ai server LDAP esterni configurati. Durante questo controllo della connettività negli ambienti con molti server LDAP potrebbe verificarsi un elevato utilizzo della CPU. Per ottenere prestazioni migliori, assicurarsi che tutti i server LDAP nel dominio, o la maggior parte di essi, siano raggiungibili oppure impostare il metodo di selezione del server di autenticazione su Usa server preconfigurati e specificare solo i server LDAP noti e raggiungibili.

Procedura

Per configurare XClarity Administrator per utilizzare un server di autenticazione esterna, completare le seguenti operazioni.

  1. Configurazione del metodo di autenticazione utente per Microsoft Active Directory o OpenLDAP.

    Se si sceglie di utilizzare l'autenticazione non sicura, non è richiesta alcuna configurazione aggiuntiva. Per impostazione predefinita, i controller di dominio Windows Active Directory o OpenLDAP utilizzano l'autenticazione LDAP non sicura.

    Se si sceglie di utilizzare l'autenticazione LDAP sicura, è necessario configurare i controller di dominio per consentire l'autenticazione LDAP sicura. Per ulteriori informazioni sulla configurazione delle impostazioni di autenticazione LDAP sicura in Active Directory, vedere Articolo sul certificato LDAPS (LDAP over SSL) sul sito Web Microsoft TechNet.

    Per verificare che i controller di dominio Active Directory siano configurati per utilizzare l'autenticazione LDAP sicura:
    • Individuare l'evento LDAP su SSL (Secure Sockets Layer) è ora disponibile l'evento nella finestra "Visualizzatore eventi" dei controller dominio.
    • Utilizzare lo strumento di Windows ldp.exe per verificare la connettività LDAP sicura ai controller dominio.
  2. Importare il certificato server Active Directory o OpenLDAP oppure il certificato radice dell'autorità di certificazione che ha firmato il certificato server.
    1. Dalla barra dei menu di XClarity Administrator, fare clic su Amministrazione > Sicurezza.
    2. Fare clic su Certificati attendibili nella sezione "Gestione certificati".
    3. Fare clic sull'icona Crea (Icona Crea) per aggiungere un certificato.
    4. Individuare il file o incollare il testo del certificato con formattazione PEM.
    5. Fare clic su Crea.
  3. Configurare il client LDAP di XClarity Administrator:
    1. Dalla barra dei menu di XClarity Administrator, fare clic su Amministrazione > Sicurezza.
    2. Fare clic su Client LDAP nella sezione "Utenti e gruppi" per visualizzare la finestra di dialogo Impostazioni client LDAP.

      Mostra la pagina Impostazioni client LDAP.
    3. Compilare la finestra di dialogo in base ai seguenti criteri.
      1. Selezionare uno dei seguenti metodi di autenticazione utente:
        • Consenti accesso di utenti locali. L'autenticazione viene eseguita utilizzando l'autenticazione locale. Se questa opzione è selezionata, tutti gli account utente sono disponibili nel server di autenticazione locale sul nodo di gestione.
        • Consenti accesso di utenti LDAP. L'autenticazione viene eseguita da un server LDAP esterno. Questo metodo consente la gestione remota degli account utente. Quando questa opzione è selezionata, tutti gli account utente esistono in remoto su un server LDAP esterno.
        • Consenti prima l'accesso degli utenti locali, quindi degli utenti LDAP. Il server di autenticazione locale esegue prima l'autenticazione. In caso di errore, l'autenticazione viene eseguita da un server LDAP esterno.
        • Consenti prima utenti LDAP, poi utenti locali. Un server LDAP esterno esegue prima l'autenticazione. In caso di errore, l'autenticazione viene eseguita dal server di autenticazione locale.
      2. Scegliere se abilitare o disabilitare LDAP sicuro:
        • Abilita LDAP sicuro. XClarity Administrator utilizza il protocollo LDAPS per collegarsi in modo sicuro al server di autenticazione esterna. Se questa opzione è selezionata, per abilitare il supporto LDAP sicuro, è necessario configurare anche i certificati attendibili.
        • Disabilita LDAP sicuro. XClarity Administrator utilizza un protocollo non sicuro per collegarsi al server di autenticazione esterna. Se si seleziona questa impostazione, l'hardware potrebbe essere più vulnerabile agli attacchi di sicurezza.
      3. Selezionare uno dei seguenti metodi di scelta del server:
        • Utilizza server preconfigurati. XClarity Administrator utilizza le porte e gli indirizzi IP specificati per rilevare il server di autenticazione esterna.

          Se si seleziona questa opzione, specificare fino a quattro porte e indirizzi IP del server preconfigurati. Il client LDAP tenta di eseguire l'autenticazione utilizzando il primo indirizzo del server. Se l'autenticazione non riesce, il client LDAP tenta di eseguire l'autenticazione utilizzando l'indirizzo IP successivo.

          Se il numero di porta per una voce non è impostato in modo esplicito su 3268 o 3269, la voce identifica un controller di dominio.

          Quando il numero di porta è impostato su 3268 o 3269, la voce identifica un catalogo globale. Il client LDAP tenta di eseguire l'autenticazione utilizzando il controller di dominio per il primo indirizzo IP configurato del server. In caso di errore, il client LDAP tenta di eseguire l'autenticazione utilizzando il controller di dominio per l'indirizzo IP successivo del server.

          Importante
          È necessario specificare almeno un controller di dominio, anche se il catalogo globale è specificato. Se si specifica solo il catalogo globale l'operazione viene comunque completata, ma la configurazione non è valida.

          Quando la modalità di crittografia è impostata su NIST-800-131A, XClarity Administrator potrebbe non essere in grado di collegarsi a un server LDAP esterno utilizzando una porta sicura (ad esempio, mediante LDAPS sulla porta predefinita 636) se il server LDAP non è in grado di stabilire una connessione TLS (Transport Layer Security) versione 1.2 con il client LDAP in XClarity Administrator.

        • Usa DNS per trovare server LDAP. XClarity Administrator utilizza il nome di dominio specificato o il nome forest per individuare dinamicamente il server di autenticazione esterna. Il nome di dominio e il nome forest vengono utilizzati per ottenere un elenco dei controller di dominio mentre il nome forest viene utilizzato per ottenere un elenco di server del catalogo globale.

          Attenzione
          Quando si utilizza DNS per trovare i server LDAP, verificare che l'account utente utilizzato per eseguire l'autenticazione al server di autenticazione esterna sia in hosting sui controller di dominio specificati. Se l'account utente è in hosting su un controller di dominio secondario, includere il controller di dominio secondario nell'elenco di richieste di servizio.
      4. Selezionare uno dei seguenti metodi di collegamento:

        • Credenziali configurate. Selezionare questo metodo di collegamento per utilizzare il nome e la password del client per collegare XClarity Administrator al server di autenticazione esterna. Se il collegamento non riesce, anche il processo di autenticazione fallisce

          Il nome del client può essere qualsiasi nome supportato dal server LDAP, come nome distinto, AMAccountName, nome NetBIOS, o UserPrincipalName. Il nome del client deve essere un account utente del dominio che disponga almeno dei privilegi di sola lettura. Ad esempio:
          cn=username,cn=users,dc=example,dc=com
          domain\username
          username@domain.com
          username

          Attenzione
          Se si modifica la password del client del server di autenticazione esterna, verificare che sia aggiornata anche la nuova password di XClarity Administrator . Per ulteriori informazioni, vedere Impossibile eseguire il login a Lenovo XClarity Administrator.
        • Credenziali di login. Selezionare questo metodo di associazione per utilizzare nome utente e password Active Directory o OpenLDAP per associare XClarity Administrator al server di autenticazione esterna.

          L'ID utente e la password specificati vengono utilizzati solo per verificare il collegamento al server di autenticazione. Se l'operazione riesce, le impostazioni del client LDAP vengono salvate, ma le credenziali di login di prova specificate non vengono salvate. Tutti i futuri collegamenti utilizzeranno nome utente e password utilizzati per eseguire il login a XClarity Administrator.

          Nota
          • È necessario avere effettuato l'accesso a XClarity Administrator utilizzando il nome utente completo. Non sono consentiti nomi brevi. Ad esempio:

            domain\username
            username@domain.com

          • Per il metodo di collegamento è necessario utilizzare un nome completo del client di prova.

          Attenzione
          Per configurare il metodo di collegamento in modo da utilizzare le credenziali di login, il firmware del controller di gestione di ciascun server gestito deve essere aggiornato a settembre 2016 o successivo.
      5. Nel campo DN radice, si consiglia di non specificare un nome distinto radice, in particolare per ambienti con più domini. Quando questo campo è vuoto, XClarity Administrator interroga il server di autenticazione esterna per i contesti di denominazione.

        Se si utilizza DNS per rilevare il server di autenticazione esterna o se si specificano più server (ad esempio, dc=example,dc=com), è possibile specificare facoltativamente la voce iniziale della struttura di directory LDAP. In questo caso, le ricerche vengono eseguite utilizzando il nome distinto radice specificato come base della ricerca.

      6. Specificare l'attributo da utilizzare per cercare il nome utente.

        Quando il metodo di collegamento è impostato su Credenziali configurate, il collegamento iniziale al server LDAP è seguito da una richiesta di ricerca che richiama informazioni specifiche sull'utente, come DN utente, autorizzazioni di login e appartenenza al gruppo. Questa richiesta di ricerca deve specificare il nome dell'attributo che rappresenta gli ID utente su tale server. Il nome dell'attributo è configurato in questo campo. Se questo campo è lasciato vuoto, il valore predefinito sarà cn.

      7. Specificare il nome dell'attributo utilizzato per identificare i gruppi a cui appartiene un utente. Se questo campo viene lasciato vuoto, verrà utilizzato il valore predefinito memberOf.

      8. Specificare il nome dell'attributo utilizzato per identificare il nome del gruppo configurato dal server LDAP. Se questo campo è vuoto, il valore predefinito è uid.

    4. È facoltativo configurare i criteri del filtro per utenti e gruppi.
      • Specificare i filtri di ricerca per utenti e gruppi per personalizzare il processo di autenticazione durante la configurazione di XClarity Administrator con un server LDAP esterno. Per informazioni sulla sintassi del filtro di ricerca, vedere Come scrivere i filtri di ricerca LDAP. Per esempi di filtri di ricerca, vedere Esempi di ricerche ldap comuni.

      • Specificare il numero massimo di risultati della ricerca che possono essere recuperati in un'operazione di ricerca LDAP utilizzando i filtri utenti e gruppi. È possibile scegliere un valore da 0 a 5000. Il valore predefinito è 0, ovvero illimitato.

        Specificare l'intervallo di tempo, in secondi, per completare un'operazione di ricerca LDAP prima del timeout. Può essere un valore compreso tra 0 e 300 secondi (5 minuti). Il valore predefinito è 0, ovvero l'operazione non scade.

    5. Fare clic su Applica.

      XClarity Administrator prova a verificare la configurazione per rilevare gli errori comuni. Se il test non riesce, vengono visualizzati i messaggi di errore che indicano l'origine degli errori. Se il test riesce e le connessioni ai server specificati vengono completate correttamente, l'autenticazione utente potrebbe comunque avere esito negativo se:

      • Un utente locale con autorità lxc-ripristino non esiste.

      • Il nome distinto radice non è corretto.

      • L'utente non è membro di almeno un gruppo nel server di autenticazione esterna corrispondente al nome di un gruppo di ruoli sul server di autenticazione XClarity Administrator. XClarity Administrator non può rilevare se DN radice è corretto, ma può rilevare se un utente è membro di almeno un gruppo. Se un utente non è membro di almeno un gruppo, quando l'utente prova a eseguire il login a XClarity Administrator viene visualizzato un messaggio di errore. Per ulteriori informazioni sulla risoluzione dei problemi con i server di autenticazione esterni, vedere Problemi di connettività.

  4. Creazione di un account utente esterno con accesso a XClarity Administrator:
    1. Dal server di autenticazione esterna, creare un account utente. Per istruzioni, consultare la documentazione di Active Directory o OpenLDAP.
    2. Creazione di un gruppo globale Active Directory o OpenLDAP con il nome di un gruppo predefinito e autorizzato. Il gruppo deve essere creato nel contesto del nome distinto radice definito nel client LDAP.
    3. Aggiungere l'utente Active Directory o OpenLDAP come membro del gruppo di sicurezza creato in precedenza.
    4. Accedere a XClarity Administrator utilizzando il nome utente Active Directory o OpenLDAP.
    5. Opzionale: definire e creare i gruppi aggiuntivi. È possibile autorizzare queste gruppi e assegnare i ruoli dalla pagina "Utenti e gruppi".
    6. Se LDAP sicuro è abilitato, importare i certificati attendibili nel server LDAP esterno (vedere Installazione di un certificato del server con firma esterna personalizzato).

Risultati

XClarity Administrator convalida il collegamento del server LDAP. Se la convalida riesce, l'autenticazione utente viene effettuata sul server di autenticazione esterno quando si esegue il login a XClarity Administrator, CMM e al controller di gestione.

Se la convalida non riesce, la modalità di autenticazione viene automaticamente reimpostata su Consenti accesso di utenti locali e viene visualizzato un messaggio che descrive la causa dell'errore.

Nota
I gruppi di ruoli corretti devono essere configurati in XClarity Administrator e gli account utente devono essere definiti come membri di uno dei gruppi di ruoli sul server Active Directory. In caso contrario, l'autenticazione utente non riesce.