認証

外部 LDAP サーバーが使用されている場合、ローカル認証サーバーは無効になります。

外部 ID 管理システム。現在、CyberArk のみサポートされます。

ThinkSystem または ThinkAgile サーバーのユーザー・アカウントが CyberArk にオンボードされている場合、サーバーを管理用に最初に設定しているときに XClarity Administrator CyberArk からサーバーにログインするための資格情報を取得するように選択できます。CyberArk から資格情報を取得する前に、XClarity Administrator で CyberArk パスを定義し、クライアント証明書を介して TLS 相互認証を使用して、CyberArk と XClarity Administrator の間で相互信頼を確立する必要があります。

SAML ID プロバイダー が使用されている場合、ローカル認証サーバーは無効になりません。外部認証が使用できない場合に、PowerShell および REST API 認証、およびリカバリーのために管理対象シャーシまたはサーバーに直接ログインするには (そのデバイスで Encapsulation が有効になっている場合を除く)、ローカル・ユーザー・アカウントが必要です。

外部 LDAP サーバーおよび外部 ID プロバイダー の両方を使用するように選択できます。両方とも有効である場合は、外部 LDAP サーバーが管理対象デバイスへの直接ログインに使用され、ID プロバイダー は管理サーバーへのログインに使用されます。

ラック・サーバー、Lenovo シャーシ、および Lenovo ラック・スイッチにローカル認証が使用されている場合、XClarity Administrator はデバイスに対する認証に保存された資格情報を使用します。保存された資格情報は、デバイスのアクティブなユーザー・アカウントまたは Active Directory サーバーのユーザー・アカウントにできます。

ローカル認証を使用してデバイスを管理する前に、デバイスのアクティブ・ユーザー・アカウントまたは Active Directory サーバーのユーザー・アカウントに一致する、XClarity Administrator に保存される資格情報を作成する必要があります (XClarity Administratorオンライン・ドキュメントの 保存された資格情報の管理)。

管理対象認証を使用することで、ローカル認証資格情報の代わりに、XClarity Administrator 認証サーバーの資格情報により、複数のデバイスを管理および監視できます。デバイス (ThinkServer サーバー、System x M4 サーバー、およびスイッチを除く) で管理対象認証が使用されている場合、XClarity Administrator は、そのデバイスとそこに取り付けられているコンポーネントを、集中型管理用の XClarity Administrator 認証サーバーを使用するように構成します。

• 管理対象認証が有効な場合、手動で入力した資格情報か、保存された資格情報のいずれかを使用してデバイスを管理できます (XClarity Administrator オンライン・ドキュメントの ユーザー・アカウントの管理、保存された資格情報の管理)。

  保存された資格情報は、XClarity Administrator が、デバイスの LDAP 設定を構成するまでの間のみ使用されます。その後は、保存された資格情報を変更しても、デバイスの管理または監視に影響しません。

  注

  デバイスに対して管理対象認証が有効になっている場合、XClarity Administrator を使用してそのデバイスの保管された資格情報を編集することはできません。

• XClarity Administrator 認証サーバーとしてローカルまたは外部 LDAP サーバーを使用している場合は、その認証サーバーで定義されているユーザー・アカウントが XClarity Administrator ドメイン内の XClarity Administrator、CMM、ベースボード管理コントローラーへのログインに使用されます。ローカルの CMM および管理コントローラー・ユーザー・アカウントは無効になります。

• XClarity Administrator 認証サーバーとして SAML 2.0 ID プロバイダーを使用する場合、SAML アカウントは、管理対象デバイスにアクセスできなくなります。ただし、SAML ID プロバイダーと LDAP サーバーを同時に使用する場合で、ID プロバイダーが LDAP サーバーにあるアカウントを使用する場合、LDAP ユーザー・アカウントを使用して管理対象デバイスにログインできます。また、SAML 2.0 が提供するより高度な認証方法 (マルチファクター認証およびシングル・サインオンなど) を使用して XClarity Administrator にログインすることもできます。

• シングル・サインオンを使用すると、既に XClarity Administrator にログインしているユーザーが自動的にベースボード管理コントロールにログインすることができます。シングル・サインオンは、ThinkSystem または ThinkAgile サーバーが XClarity Administrator によって管理対象になるとデフォルトで有効になります (サーバーが CyberArk パスワードで管理されている場合を除く)。すべての管理対象の ThinkSystem サーバーおよび ThinkAgile サーバーのシングル・サインオンを有効または無効にするように、グローバル設定を構成できます。特定の ThinkSystem サーバーおよび ThinkAgile サーバーのシングル・サインオンを有効にすると、すべての ThinkSystem サーバーおよび ThinkAgile サーバーのグローバル設定が上書きされます (XClarity Administratorオンライン・ドキュメントの「サーバーの管理を参照)

  注

  認証に CyberArk ID 管理システムを使用すると、シングル・サインオンは自動的に無効になります。

• ThinkSystem SR635 および SR655 サーバーで管理対象認証が有効になっている場合:

  • ベースボード管理コントローラー・ファームウェアは、最大 5 つの LDAP ユーザー・ロールをサポートします。XClarity Administrator は、管理中に次の LDAP ユーザー・ロールをサーバーに追加します: lxc-supervisor、lxc-sysmgr、 lxc-admin、lxc-fw-admin および lxc-os-admin。

    ThinkSystem SR635 および SR655 サーバーと通信するには、指定された少なくとも 1 つの LDAP ユーザー・ロールにユーザーが割り当てられている必要があります。

  • 管理コントローラーのファームウェアは、サーバーのローカル・ユーザーと同じユーザー名の LDAP ユーザーをサポートしていません。

• ThinkServer サーバーおよび System x M4 サーバーの場合は、XClarity Administrator 認証サーバーは使用しません。その代わり、デバイスで接頭辞「LXCA_」の後にランダムな文字列が続く IPMI アカウントが作成されます。(既存の IPMI ローカル・ユーザー・アカウントは無効になります。)ThinkServer サーバーを管理解除する場合は、「LXCA_」ユーザー・アカウントが無効になり接頭辞「LXCA_」が接頭辞「DISABLED_」に置き換えられます。ThinkServer サーバーが別のインスタンスによって管理されているかどうかを判別するために、XClarity Administrator は接頭辞「LXCA_」がついた IPMI アカウントを確認します。管理対象 ThinkServer サーバーの管理を強制することを選択した場合、そのデバイスで「LXCA_」がついたすべての IPMI アカウントが無効になり名前を変更されます。不要になった IPMI アカウントを手動で消去することを検討してください。

  手動で入力した資格情報を使用する場合、XClarity Administrator は自動的に保存された資格情報を作成し、その保存された資格情報を使用してデバイスを管理します。

  注

  デバイスに対して管理対象認証が有効になっている場合、XClarity Administrator を使用してそのデバイスの保管された資格情報を編集することはできません。

  • 手動で入力した認証情報を使用してデバイスを管理するたびに、以前の管理プロセス中にそのデバイス用に別の保存済み認証情報が作成されていても、そのデバイス用に新しい保存済み認証情報が作成されます。

  • デバイスを管理解除しても、XClarity Administrator は、管理プロセス中にそのデバイス用に自動的に作成され保管されている資格情報を削除しません。