본문으로 건너뛰기

인증 서버 관리

기본적으로 Lenovo XClarity Administrator는 사용자 자격 증명을 인증하는 데 LDAP(Lightweight Directory Access Protocol) 서버를 사용합니다.

이 작업 정보

지원되는 인증 서버

인증 서버는 사용자 자격 증명을 인증하는 데 사용되는 사용자 레지스트리입니다. Lenovo XClarity Administrator은(는) 다음 인증 서버 유형을 지원합니다.
  • 로컬 인증 서버. 기본적으로 XClarity Administrator는 관리 서버에 있는 내장 LDAP(Lightweight Directory Access Protocol) 서버를 사용하도록 구성됩니다.
  • 외부 LDAP 서버. 현재 Microsoft Active Directory 및 OpenLDAP만 지원됩니다. 이 서버는 관리 네트워크에 연결된 아웃보드 Microsoft Windows 서버에 상주해야 합니다.

    외부 LDAP 서버가 사용되는 경우 로컬 인증 서버가 사용 불가능합니다.

    주의
    Active Directory 바인딩 방법을 로그인 자격 증명을 사용하도록 구성하려면 각 관리되는 서버에 대한 베이스보드 관리 컨트롤러는 2016년 9월 이후의 펌웨어를 실행해야 합니다.
  • 외부 ID 관리 시스템. 현재 CyberArk만 지원됩니다.

    ThinkSystem 또는 ThinkAgile 서버의 사용자 계정이 CyberArk에 온보딩된 경우, 관리되는 인증 또는 로컬 인증을 사용하여 관리하도록 서버를 처음 설졍하면 XClarity Administrator이(가) 서버에 로그인하기 위해 CyberArk에서 자격 증명을 검색하도록 선택할 수 있습니다. CyberArk에서 자격 증명을 검색하려면 먼저 CyberArk 경로가 XClarity Administrator에 정의되어 있어야 하며 클라이언트 인증서를 통한 TLS 상호 인증을 사용하여 CyberArk와 XClarity Administrator 간에 상호 신뢰가 만들어져야 합니다.

  • 외부 SAML ID 공급자. 현재, Microsoft Active Directory Federation Services(AD FS)가 지원됩니다. 사용자 이름 및 암호를 입력하는 것 외에 다중 인증을 설정하여 PIN 코드를 요구하고 스마트 카드와 클라이언트 인증서를 판독하여 추가 보안을 지원할 수 있습니다.

    SAML ID 공급자를 사용하는 경우 로컬 인증 서버가 사용 안 함으로 설정되지 않습니다. 로컬 사용자 계정은 PowerShell 및 REST API 인증 및 외부 인증을 사용할 수 있는 경우 복구를 위해서는 관리 섀시 또는 서버에 직접 로그인해야 합니다(Encapsulation을 사용할 수 없는 경우).

    외부 LDAP 서버 및 외부 ID 공급자를 둘 다 사용할 수 있습니다. 둘 다 사용할 수 있는 경우 외부 LDAP 서버를 사용하여 관리 장치에 직접 로그인하고 ID 공급자를 사용하여 관리 서버에 로그인합니다.

장치 인증

기본적으로 장치는 XClarity Administrator 관리되는 인증을 사용하여 장치에 로그인하도록 관리됩니다. 랙 서버 및 Lenovo 섀시를 관리할 때 로컬 인증 또는 관리 인증을 사용하여 장치에 로그인하도록 선택할 수 있습니다.
  • 랙 서버, Lenovo 섀시 및 Lenovo 랙 스위치에 로컬 인증을 사용하는 경우, XClarity Administrator는 저장된 자격 증명을 사용하여 장치를 인증합니다. 저장된 자격 증명은 장치의 활성 사용자 계정 또는 Active Directory 서버의 사용자 계정입니다.

    로컬 인증을 사용하여 장치를 관리하기 전에 장치의 활성 사용자 계정 또는 Active Directory 서버의 사용자 계정과 일치하는 XClarity Administrator다음 위치에 저장된 자격 증명을 만들어야 합니다(저장된 자격 증명 관리 참조).

    • 장치에 대해 로컬 인증이 활성화된 경우 XClarity Administrator를 사용하여 해당 장치에 대해 저장된 자격 증명을 편집할 수 없습니다.
    • RackSwitch 장치는 인증을 위해 저장된 자격 증명만 지원합니다. XClarity Administrator 사용자 자격 증명은 지원되지 않습니다.
  • 관리되는 인증을 사용하면 로컬 자격 증명 대신 XClarity Administrator 인증 서버의 자격 증명을 사용하여 여러 장치를 관리하고 모니터링할 수 있습니다. 장치(ThinkServer 서버, System x M4 서버 및 스위치 이외의 장치)에 관리되는 인증을 사용하는 경우 XClarity Administrator는 중앙 집중식 관리를 위해 XClarity Administrator 인증 서버를 사용하도록 장치 및 설치된 구성 요소를 구성합니다.

    • 관리되는 인증을 사용으로 설정하면 수동으로 입력되거나 저장된 자격 증명을 사용하여 장치를 관리할 수 있습니다(사용자 계정 관리저장된 자격 증명 관리 참조).

      저장된 자격 증명은 XClarity Administrator가 장치에 LDAP 설정을 구성할 때까지만 사용됩니다. 그 후에는 저장된 자격 증명을 변경해도 장치를 관리하거나 모니터링하는 데 아무런 영향을 주지 않습니다.

    • 로컬 또는 외부 LDAP 서버를 XClarity Administrator 인증 서버로 사용하는 경우 인증 서버에 정의된 사용자 계정은 XClarity Administrator 도메인에서 XClarity Administrator, CMM 및 베이스보드 관리 컨트롤러에 로그인하는 데 사용됩니다. 로컬 CMM 및 관리 컨트롤러 사용자 계정은 사용하지 않습니다.
      Think Edge SE450, SE350 V2 및 SE360 V2 서버의 경우 기본 로컬 사용자 계정은 활성화된 상태로 유지되고 다른 모든 로컬 계정은 비활성화됩니다.
    • SAML 2.0 ID 공급자를 XClarity Administrator 인증 서버로 사용하는 경우 SAML 계정은 관리되는 장치에 액세스할 수 없습니다. 하지만 SAML ID 공급자와 LDAP 서버를 함께 사용할 때 ID 공급자가 LDAP 서버에 존재하는 계정을 사용하는 경우 LDAP 사용자 계정을 사용하여 관리되는 장치에 로그인할 수 있고 SAML 2.0이 제공하는 고급 인증 방식(예, 다중 인증 및 SSO(Single sign-on))을 사용하여 XClarity Administrator에 로그인할 수 있습니다.
    • SSO(Single sign-on)를 사용하면 XClarity Administrator에 이미 로그인한 사용자가 베이스보드 관리 컨트롤에 자동으로 로그인할 수 있습니다. ThinkSystem 또는 ThinkAgile 서버가 XClarity Administrator에 의해 관리되는 경우 서버가 CyberArk 암호로 관리되지 않는 한 SSO(Single sign-on)는 기본적으로 사용됩니다. 관리되는 모든 ThinkSystem 및 ThinkAgile 서버에 대해 SSO(single sign-on)를 사용 또는 사용하지 않도록 전역 설정을 구성할 수 있습니다. 특정 ThinkSystem 및 ThinkAgile 서버에 대해 SSO(single sign-on)를 사용하면 모든 ThinkSystem 및 ThinkAgile 서버에 대한 전역 설정이 재정의됩니다(서버 관리 참조).
      인증에 CyberArk ID 관리 시스템을 사용하면 SSO(Single sign-on)가 자동으로 비활성화됩니다.
    • ThinkSystem SR635 및 SR655 서버에 관리되는 인증이 사용되는 경우:
      • 베이스보드 관리 컨트롤러 펌웨어는 최대 5개의 LDAP 사용자 역할을 지원하고 XClarity Administrator는 관리하는 동안 다음 LDAP 사용자 역할을 서버에 추가합니다. lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-adminlxc-os-admin.

        ThinkSystem SR635 및 SR655 서버와 통신하려면 사용자가 지정된 LDAP 사용자 역할 중 하나 이상으로 지정되어야 합니다.

      • 관리 컨트롤러 펌웨어는 서버의 로컬 사용자와 동일한 사용자 이름을 가진 LDAP 사용자를 지원하지 않습니다.
    • ThinkServer 및 System x M4 서버의 경우, XClarity Administrator 인증 서버가 사용되지 않습니다. 대신 장치에 접두사가 LXCA_이고 무작위 문자열이 따르는 IPMI 계정이 만들어집니다. (기존 로컬 IPMI 사용자 계정은 사용 안 함으로 설정되지 않습니다.) ThinkServer 서버를 관리 해제하는 경우 LXCA_ 사용자 계정을 사용할 수 없는 경우 접두사 LXCA_가 접두사 DISABLED_로 교체됩니다. ThinkServer 서버가 다른 인스턴스로 관리되는지 판별하기 위해 XClarity Administrator는 접두사 LXCA_가 있는 IPMI 계정이 있는지 확인합니다. 관리 ThinkServer 서버를 강제 관리하는 경우 LXCA_ 접두사가 포함된 장치의 모든 IPMI 계정을 사용할 수 없고 이름이 변경됩니다. 더 이상 사용되지 않는 IPMI 계정을 지울 것을 고려해 보십시오.

      수동으로 입력한 자격 증명을 사용하는 경우 XClarity Administrator는 저장된 자격 증명을 자동으로 만들고 이 저장된 자격 증명을 사용하여 장치를 관리합니다.

      장치에 대해 관리되는 인증을 사용하는 경우 XClarity Administrator를 사용하여 해당 장치에 대한 저장된 자격 증명을 편집할 수 없습니다.
      • 수동으로 입력한 자격 증명을 사용하여 장치를 관리할 때마다 이전 관리 프로세스 중에 해당 장치에 대해 다른 저장된 자격 증명이 만들어진 경우에도 새로운 저장된 자격 증명이 만들어집니다.
      • 장치를 관리 해제할 때 XClarity Administrator는 관리 프로세스 중에 해당 장치에 대해 자동으로 만들어진 저장된 자격 증명은 삭제하지 않습니다.

복구 계정

복구 암호를 지정하면 XClarity Administrator가 로컬 CMM 또는 관리 컨트롤러 사용자 계정을 사용 안 함으로 설정하고 이후의 인증을 위해 장치에 새 복구 사용자 계정(RECOVERY_ID)을 만듭니다. 관리 서버에 오류가 발생하는 경우 RECOVERY_ID 계정을 사용하여 장치에 로그인하고 복구 작업을 수행하여 관리 노드가 복원 또는 교체될 때까지 장치 계정 관리 기능을 복원할 수 있습니다.

RECOVERY_ID 사용자 계정이 있는 장치를 관리 해제하면 모든 로컬 사용자 계정이 사용이 사용 설정되고 RECOVERY_ID 계정이 삭제됩니다.

참고
  • 사용 안 함으로 설정된 로컬 사용자 계정을 변경하는 경우(예, 암호를 변경하는 경우) 이 변경은 RECOVERY_ID 계정에 영향을 주지 않습니다. 관리되는 인증 모드에서 RECOVERY_ID 계정은 활성화되고 작동 가능한 유일한 사용자 계정입니다.
  • RECOVERY_ID 계정은 예를 들어 관리 서버에 오류가 발생하거나 네트워크 문제로 장치가 XClarity Administrator와 통신하여 사용자를 인증하지 못하는 경우와 같은 비상 시에만 사용하십시오.
  • 장치를 발견하면 RECOVERY_ID 암호가 지정됩니다. 나중에 사용하도록 암호를 기록해야 합니다.
  • RackSwitch 장치는 인증을 위해 저장된 자격 증명만 지원합니다. XClarity Administrator 사용자 자격 증명은 지원되지 않습니다.

장치 관리 복구에 대한 정보는 관리 서버 오류 후 CMM으로 관리 복구관리 서버 오류 후 랙 또는 타워 서버 관리 복구의 내용을 참조하십시오.