Autenticazione

Quando viene utilizzato un server LDAP esterno, il server di autenticazione locale è disabilitato.

Sistema di gestione delle identità esterno. Attualmente è supportato solo CyberArk.

Se gli account utente per un server ThinkSystem o ThinkAgile sono integrati in CyberArk, è possibile scegliere di utilizzare XClarity Administrator per recuperare le credenziali tramite CyberArk al fine di accedere al server durante la configurazione iniziale dei server per la gestione (con autenticazione gestita o locale). Prima che le credenziali possano essere recuperate da CyberArk, i percorsi CyberArk devono essere definiti in XClarity Administrator e l'attendibilità reciproca deve essere stabilita tra CyberArk e XClarity Administrator utilizzando l'autenticazione TLS reciproca tramite i certificati client.

Quando viene utilizzato un provider di identità SAML, il server di autenticazione locale non viene disabilitato. Gli account utente locali sono richiesti per accedere direttamente a uno chassis gestito o al server (tranne se Incapsulamento non è abilitato su tale dispositivo), per l'autenticazione PowerShell e API REST, nonché per il ripristino se l'autenticazione esterna non è disponibile.

È possibile scegliere di utilizzare sia un server LDAP esterno che un provider di identità esterno. Se entrambi sono abilitati, il server LDAP esterna viene utilizzato per accedere direttamente ai dispositivi da gestire, mentre il provider di identità viene utilizzato per accedere al server di gestione.

Quando l'autenticazione locale viene utilizzata per i server rack, lo chassis Lenovo e gli switch rack Lenovo, XClarity Administrator utilizza una credenziale memorizzata per eseguire l'autenticazione al dispositivo. La credenziale memorizzata può essere un account utente attivo sul dispositivo o un account utente in un server Active Directory.

Prima di gestire il dispositivo utilizzando l'autenticazione locale è necessario creare le credenziali memorizzate in XClarity Administrator che corrispondono a un account utente attivo sul dispositivo o un account utente in un server Active Directory (vedere Gestione delle credenziali memorizzate).

L'autenticazione gestita consente di gestire e monitorare più dispositivi utilizzando le credenziali del server di autenticazione XClarity Administrator invece delle credenziali locali. Quando l'autenticazione gestita viene utilizzata per un dispositivo (diverso dai server ThinkServer e System x M4 o dagli switch), XClarity Administrator configura il dispositivo gestito e i relativi componenti installati per utilizzare il server di autenticazione XClarity Administrator per la gestione centralizzata.

• Quando è abilitata l'autenticazione gestita, è possibile gestire i dispositivi utilizzando le credenziali memorizzate o inserite manualmente (vedere Gestione degli account utente, Gestione delle credenziali memorizzate).

  La credenziale memorizzata viene utilizzata solo finché XClarity Administrator non configura le impostazioni LDAP sul dispositivo. Successivamente, eventuali modifiche delle credenziali memorizzate non incidono sulla gestione o sul monitoraggio di tale dispositivo.

  Nota

  Quando è abilitata l'autenticazione gestita per un dispositivo, non è possibile modificare le credenziali memorizzate per tale dispositivo utilizzando XClarity Administrator.

• Se viene utilizzato un server LDAP esterno o locale come server di autenticazione XClarity Administrator, gli account utente definiti nel server di autenticazione vengono utilizzati per eseguire il login a XClarity Administrator, CMM e controller di gestione della scheda di base nel dominio di XClarity Administrator. Gli account utente del controller di gestione e CMM locali sono disabilitati.

• Se viene utilizzato un provider di identità SAML 2.0 come server di autenticazione XClarity Administrator, gli account SAML non saranno accessibili per i dispositivi gestiti. Tuttavia quando si utilizzano un provider di identità SAML e un server LDAP insieme, se il provider di identità utilizza gli account esistenti nel server LDAP, gli account utente LDAP possono essere utilizzati per eseguire il login ai dispositivi gestiti mentre i metodi di autenticazione più avanzati forniti da SAML 2.0 (come autenticazione a più fattori e Single Sign-On) possono essere utilizzati per eseguire il login a XClarity Administrator.

• La funzione Single Sign-On consente a un utente già connesso a XClarity Administrator di eseguire automaticamente il login al controllo di gestione della scheda di base. L'opzione Single Sign-On è abilitata per impostazione predefinita quando un server ThinkSystem o ThinkAgile viene inserito nella gestione da XClarity Administrator (a meno che il server non sia gestito con password CyberArk). È possibile configurare l'impostazione globale per abilitare o disabilitare la funzione Single Sign-On per tutti i server ThinkSystem e ThinkAgile gestiti. L'abilitazione dell'opzione Single Sign-On per un server ThinkSystem o ThinkAgile specifico ha la precedenza sull'impostazione globale per tutti i server ThinkSystem e ThinkAgile (vedere Gestione dei server).

  Nota

  Single Sign-On viene disabilitato automaticamente quando si utilizza il sistema di gestione delle identità CyberArk per l'autenticazione.

• Quando l'autenticazione gestita è abilitata per i server ThinkSystem SR635 e SR655:

  • Il firmware del controller di gestione della scheda di base supporta fino a cinque ruoli utente LDAP. XClarity Administrator aggiunge questi ruoli utente LDAP ai server durante la gestione: lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin e lxc-os-admin.

    È necessario assegnare gli utenti ad almeno uno dei ruoli utente LDAP specificati per comunicare con i server ThinkSystem SR635 e SR655.

  • Il firmware del controller di gestione non supporta gli utenti LDAP con lo stesso nome utente locale del server.

• Per i server ThinkServer e System x M4, il server di autenticazione XClarity Administrator non viene utilizzato. Di contro, viene creato un account IPMI sul dispositivo con il prefisso "LXCA_", seguito da una stringa casuale. (Gli account utente IPMI locali esistenti non vengono disabilitati). Quando si annulla la gestione di un server ThinkServer, l'account utente "LXCA_" viene disabilitato e il prefisso "LXCA_" viene sostituito con il prefisso "DISABLED_". Per determinare se un server ThinkServer è gestito da un'altra istanza, XClarity Administrator verifica gli account IPMI con il prefisso "LXCA_". Se si sceglie di forzare la gestione di un server ThinkServer gestito, tutti gli account IPMI del dispositivo con il prefisso "LXCA_" vengono disabilitati e rinominati. Valutare la possibilità di cancellare manualmente gli account IPMI non più in uso.

  Se si utilizzano credenziali inserite manualmente, XClarity Administrator crea automaticamente una credenziale memorizzata e la utilizza per gestire il dispositivo.

  Nota

  Quando è abilitata l'autenticazione gestita per un dispositivo, non è possibile modificare le credenziali memorizzate per tale dispositivo utilizzando XClarity Administrator.

  • Ogni volta che si gestisce un dispositivo utilizzando le credenziali inserite manualmente, viene creata una nuova credenziale memorizzata per tale dispositivo, anche se è stata creata un'altra credenziale memorizzata per il dispositivo durante un processo di gestione precedente.

  • Quando si annulla la gestione di un dispositivo, XClarity Administrator non elimina le credenziali memorizzate create automaticamente per tale dispositivo durante il processo di gestione.