認証
サポートされる認証サーバー
- ローカル認証サーバーデフォルトでは、XClarity Administrator は、管理サーバーにある組み込みの LDAP (Lightweight Directory Access Protocol) サーバーを使用するように構成されています。
- 外部 LDAP サーバー。現在、Microsoft Active Directory および OpenLDAP トラップのみがサポートされています。このサーバーは、管理ネットワークに接続している外部の Microsoft Windows サーバーに存在している必要があります。
外部 LDAP サーバーが使用されている場合、ローカル認証サーバーは無効になります。
重要ログイン資格情報を使用するように Active Directory のバインディング方式を構成するには、各管理対象サーバーのベースボード管理コントローラーで 2016 年 9 月以降のファームウェアが実行されている必要があります。 外部 ID 管理システム。現在、CyberArk のみサポートされます。
ThinkSystem または ThinkAgile サーバーのユーザー・アカウントが CyberArk にオンボードされている場合、サーバーを管理用に最初に設定しているときに XClarity Administrator CyberArk からサーバーにログインするための資格情報を取得するように選択できます。CyberArk から資格情報を取得する前に、XClarity Administrator で CyberArk パスを定義し、クライアント証明書を介して TLS 相互認証を使用して、CyberArk と XClarity Administrator の間で相互信頼を確立する必要があります。
- 外部 SAML ID プロバイダー現在、 Microsoft Active Directory Federation Services (AD FS) のみサポートされます。ユーザー名とパスワードを入力するほか、PIN コードの要求やスマート・カードやクライアント証明書の読み込みによる追加セキュリティーを有効にするマルチファクター認証をセットアップできます。
SAML ID プロバイダー が使用されている場合、ローカル認証サーバーは無効になりません。外部認証が使用できない場合に、PowerShell および REST API 認証、およびリカバリーのために管理対象シャーシまたはサーバーに直接ログインするには (そのデバイスで Encapsulation が有効になっている場合を除く)、ローカル・ユーザー・アカウントが必要です。
外部 LDAP サーバーおよび外部 ID プロバイダー の両方を使用するように選択できます。両方とも有効である場合は、外部 LDAP サーバーが管理対象デバイスへの直接ログインに使用され、ID プロバイダー は管理サーバーへのログインに使用されます。
認証サーバーについて詳しくは、認証サーバーの管理を参照してください。
デバイス認証
ラック・サーバー、Lenovo シャーシ、および Lenovo ラック・スイッチにローカル認証が使用されている場合、XClarity Administrator はデバイスに対する認証に保存された資格情報を使用します。保存された資格情報は、デバイスのアクティブなユーザー・アカウントまたは Active Directory サーバーのユーザー・アカウントにできます。
ローカル認証を使用してデバイスを管理する前に、デバイスのアクティブ・ユーザー・アカウントまたは Active Directory サーバーのユーザー・アカウントに一致する、XClarity Administrator に保存される資格情報を作成する必要があります (XClarity Administratorオンライン・ドキュメントの 保存された資格情報の管理)。
注RackSwitch デバイスは、認証用にのみ保存される資格情報をサポートします。XClarity Administrator ユーザー資格情報はサポートされていません。
管理対象認証を使用することで、ローカル認証資格情報の代わりに、XClarity Administrator 認証サーバーの資格情報により、複数のデバイスを管理および監視できます。デバイス (ThinkServer サーバー、System x M4 サーバー、およびスイッチを除く) で管理対象認証が使用されている場合、XClarity Administrator は、そのデバイスとそこに取り付けられているコンポーネントを、集中型管理用の XClarity Administrator 認証サーバーを使用するように構成します。
管理対象認証が有効な場合、手動で入力した資格情報か、保存された資格情報のいずれかを使用してデバイスを管理できます (XClarity Administrator オンライン・ドキュメントの ユーザー・アカウントの管理、保存された資格情報の管理)。
保存された資格情報は、XClarity Administrator が、デバイスの LDAP 設定を構成するまでの間のみ使用されます。その後は、保存された資格情報を変更しても、デバイスの管理または監視に影響しません。
注デバイスに対して管理対象認証が有効になっている場合、XClarity Administrator を使用してそのデバイスの保管された資格情報を編集することはできません。XClarity Administrator 認証サーバーとしてローカルまたは外部 LDAP サーバーを使用している場合は、その認証サーバーで定義されているユーザー・アカウントが XClarity Administrator ドメイン内の XClarity Administrator、CMM、ベースボード管理コントローラーへのログインに使用されます。ローカルの CMM および管理コントローラー・ユーザー・アカウントは無効になります。
XClarity Administrator 認証サーバーとして SAML 2.0 ID プロバイダーを使用する場合、SAML アカウントは、管理対象デバイスにアクセスできなくなります。ただし、SAML ID プロバイダーと LDAP サーバーを同時に使用する場合で、ID プロバイダーが LDAP サーバーにあるアカウントを使用する場合、LDAP ユーザー・アカウントを使用して管理対象デバイスにログインできます。また、SAML 2.0 が提供するより高度な認証方法 (マルチファクター認証およびシングル・サインオンなど) を使用して XClarity Administrator にログインすることもできます。
シングル・サインオンを使用すると、既に XClarity Administrator にログインしているユーザーが自動的にベースボード管理コントロールにログインすることができます。シングル・サインオンは、ThinkSystem または ThinkAgile サーバーが XClarity Administrator によって管理対象になるとデフォルトで有効になります (サーバーが CyberArk パスワードで管理されている場合を除く)。すべての管理対象の ThinkSystem サーバーおよび ThinkAgile サーバーのシングル・サインオンを有効または無効にするように、グローバル設定を構成できます。特定の ThinkSystem サーバーおよび ThinkAgile サーバーのシングル・サインオンを有効にすると、すべての ThinkSystem サーバーおよび ThinkAgile サーバーのグローバル設定が上書きされます (XClarity Administratorオンライン・ドキュメントの「サーバーの管理を参照)
注認証に CyberArk ID 管理システムを使用すると、シングル・サインオンは自動的に無効になります。ThinkSystem SR635 および SR655 サーバーで管理対象認証が有効になっている場合:
ベースボード管理コントローラー・ファームウェアは、最大 5 つの LDAP ユーザー・ロールをサポートします。XClarity Administrator は、管理中に次の LDAP ユーザー・ロールをサーバーに追加します: lxc-supervisor、lxc-sysmgr、 lxc-admin、lxc-fw-admin および lxc-os-admin。
ThinkSystem SR635 および SR655 サーバーと通信するには、指定された少なくとも 1 つの LDAP ユーザー・ロールにユーザーが割り当てられている必要があります。
管理コントローラーのファームウェアは、サーバーのローカル・ユーザーと同じユーザー名の LDAP ユーザーをサポートしていません。
ThinkServer サーバーおよび System x M4 サーバーの場合は、XClarity Administrator 認証サーバーは使用しません。その代わり、デバイスで接頭辞「LXCA_」の後にランダムな文字列が続く IPMI アカウントが作成されます。(既存の IPMI ローカル・ユーザー・アカウントは無効になります。)ThinkServer サーバーを管理解除する場合は、「LXCA_」ユーザー・アカウントが無効になり接頭辞「LXCA_」が接頭辞「DISABLED_」に置き換えられます。ThinkServer サーバーが別のインスタンスによって管理されているかどうかを判別するために、XClarity Administrator は接頭辞「LXCA_」がついた IPMI アカウントを確認します。管理対象 ThinkServer サーバーの管理を強制することを選択した場合、そのデバイスで「LXCA_」がついたすべての IPMI アカウントが無効になり名前を変更されます。不要になった IPMI アカウントを手動で消去することを検討してください。
手動で入力した資格情報を使用する場合、XClarity Administrator は自動的に保存された資格情報を作成し、その保存された資格情報を使用してデバイスを管理します。
注デバイスに対して管理対象認証が有効になっている場合、XClarity Administrator を使用してそのデバイスの保管された資格情報を編集することはできません。手動で入力した認証情報を使用してデバイスを管理するたびに、以前の管理プロセス中にそのデバイス用に別の保存済み認証情報が作成されていても、そのデバイス用に新しい保存済み認証情報が作成されます。
デバイスを管理解除しても、XClarity Administrator は、管理プロセス中にそのデバイス用に自動的に作成され保管されている資格情報を削除しません。
リカバリー・ユーザー・アカウント
リカバリー・パスワードを指定すると、XClarity Administrator ではローカル CMM または管理コントローラー・ユーザー・アカウントが無効になり、デバイスで新しいリカバリー・ユーザー・アカウント (RECOVERY_ID) が作成され以降の認証に使用されます。管理サーバーで障害が発生した場合は、この RECOVERY_ID アカウントを使用してデバイスにログインし、リカバリー操作を実行して、管理ノードが復旧または交換されるまでデバイスのアカウント管理機能を復元できます。
RECOVERY_ID ユーザー・アカウントを持つデバイスを管理解除すると、すべてのローカル・ユーザー・アカウントが有効になり、RECOVERY_ID アカウントが削除されます。
- 無効になっているローカル・ユーザー・アカウントに変更を加えても (パスワードを変更するなど)、RECOVERY_ID アカウントには影響しません。管理対象認証モードで使用できるアクティブなユーザー・アカウントは、RECOVERY_ID アカウントだけです。
- RECOVERY_ID アカウントは緊急時にのみ使用します (管理サーバーで障害が発生した場合、ネットワークの問題によってデバイスがユーザー認証のために XClarity Administrator に接続できない場合など)。
- デバイスを検出したときに RECOVERY_ID パスワードが指定されます。後で使用できるように記録しておいてください。
デバイス管理のリカバリーについては、管理サーバーの障害発生後の CMM による管理のリカバリーおよび 管理サーバーの障害後のラックまたはタワー・サーバー管理のリカバリーを参照してください。