인증

외부 LDAP 서버가 사용되는 경우 로컬 인증 서버가 사용 불가능합니다.

외부 ID 관리 시스템. 현재 CyberArk만 지원됩니다.

ThinkSystem 또는 ThinkAgile 서버의 사용자 계정이 CyberArk에 온보딩된 경우, 관리되는 인증 또는 로컬 인증을 사용하여 관리하도록 서버를 처음 설졍하면 XClarity Administrator이(가) 서버에 로그인하기 위해 CyberArk에서 자격 증명을 검색하도록 선택할 수 있습니다. CyberArk에서 자격 증명을 검색하려면 먼저 CyberArk 경로가 XClarity Administrator에 정의되어 있어야 하며 클라이언트 인증서를 통한 TLS 상호 인증을 사용하여 CyberArk와 XClarity Administrator 간에 상호 신뢰가 만들어져야 합니다.

SAML ID 공급자를 사용하는 경우 로컬 인증 서버가 사용 안 함으로 설정되지 않습니다. 로컬 사용자 계정은 PowerShell 및 REST API 인증 및 외부 인증을 사용할 수 있는 경우 복구를 위해서는 관리 섀시 또는 서버에 직접 로그인해야 합니다(Encapsulation을 사용할 수 없는 경우).

외부 LDAP 서버 및 외부 ID 공급자를 둘 다 사용할 수 있습니다. 둘 다 사용할 수 있는 경우 외부 LDAP 서버를 사용하여 관리 장치에 직접 로그인하고 ID 공급자를 사용하여 관리 서버에 로그인합니다.

랙 서버, Lenovo 섀시 및 Lenovo 랙 스위치에 로컬 인증을 사용하는 경우, XClarity Administrator는 저장된 자격 증명을 사용하여 장치를 인증합니다. 저장된 자격 증명은 장치의 활성 사용자 계정 또는 Active Directory 서버의 사용자 계정입니다.

로컬 인증을 사용하여 장치를 관리하기 전에 장치의 활성 사용자 계정 또는 Active Directory 서버의 사용자 계정과 일치하는 XClarity Administrator다음 위치에 저장된 자격 증명을 만들어야 합니다(저장된 자격 증명 관리 참조).

관리되는 인증을 사용하면 로컬 자격 증명 대신 XClarity Administrator 인증 서버의 자격 증명을 사용하여 여러 장치를 관리하고 모니터링할 수 있습니다. 장치(ThinkServer 서버, System x M4 서버 및 스위치 이외의 장치)에 관리되는 인증을 사용하는 경우 XClarity Administrator는 중앙 집중식 관리를 위해 XClarity Administrator 인증 서버를 사용하도록 장치 및 설치된 구성 요소를 구성합니다.

• 관리되는 인증을 사용으로 설정하면 수동으로 입력되거나 저장된 자격 증명을 사용하여 장치를 관리할 수 있습니다(사용자 계정 관리 및 저장된 자격 증명 관리 참조).

  저장된 자격 증명은 XClarity Administrator가 장치에 LDAP 설정을 구성할 때까지만 사용됩니다. 그 후에는 저장된 자격 증명을 변경해도 장치를 관리하거나 모니터링하는 데 아무런 영향을 주지 않습니다.

  주

  장치에 대해 관리되는 인증을 사용하는 경우 XClarity Administrator를 사용하여 해당 장치에 대한 저장된 자격 증명을 편집할 수 없습니다.

• 로컬 또는 외부 LDAP 서버를 XClarity Administrator 인증 서버로 사용하는 경우 인증 서버에 정의된 사용자 계정은 XClarity Administrator 도메인에서 XClarity Administrator, CMM 및 베이스보드 관리 컨트롤러에 로그인하는 데 사용됩니다. 로컬 CMM 및 관리 컨트롤러 사용자 계정은 사용하지 않습니다.

• SAML 2.0 ID 공급자를 XClarity Administrator 인증 서버로 사용하는 경우 SAML 계정은 관리되는 장치에 액세스할 수 없습니다. 하지만 SAML ID 공급자와 LDAP 서버를 함께 사용할 때 ID 공급자가 LDAP 서버에 존재하는 계정을 사용하는 경우 LDAP 사용자 계정을 사용하여 관리되는 장치에 로그인할 수 있고 SAML 2.0이 제공하는 고급 인증 방식(예, 다중 인증 및 SSO(Single sign-on))을 사용하여 XClarity Administrator에 로그인할 수 있습니다.

• SSO(Single sign-on)를 사용하면 XClarity Administrator에 이미 로그인한 사용자가 베이스보드 관리 컨트롤에 자동으로 로그인할 수 있습니다. ThinkSystem 또는 ThinkAgile 서버가 XClarity Administrator에 의해 관리되는 경우 서버가 CyberArk 암호로 관리되지 않는 한 SSO(Single sign-on)는 기본적으로 사용됩니다. 관리되는 모든 ThinkSystem 및 ThinkAgile 서버에 대해 SSO(single sign-on)를 사용 또는 사용하지 않도록 전역 설정을 구성할 수 있습니다. 특정 ThinkSystem 및 ThinkAgile 서버에 대해 SSO(single sign-on)를 사용하면 모든 ThinkSystem 및 ThinkAgile 서버에 대한 전역 설정이 재정의됩니다(서버 관리 참조).

  주

  인증에 CyberArk ID 관리 시스템을 사용하면 SSO(Single sign-on)가 자동으로 비활성화됩니다.

• ThinkSystem SR635 및 SR655 서버에 관리되는 인증이 사용되는 경우:

  • 베이스보드 관리 컨트롤러 펌웨어는 최대 5개의 LDAP 사용자 역할을 지원하고 XClarity Administrator는 관리하는 동안 다음 LDAP 사용자 역할을 서버에 추가합니다. lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin 및 lxc-os-admin.

    ThinkSystem SR635 및 SR655 서버와 통신하려면 사용자가 지정된 LDAP 사용자 역할 중 하나 이상으로 지정되어야 합니다.

  • 관리 컨트롤러 펌웨어는 서버의 로컬 사용자와 동일한 사용자 이름을 가진 LDAP 사용자를 지원하지 않습니다.

• ThinkServer 및 System x M4 서버의 경우, XClarity Administrator 인증 서버가 사용되지 않습니다. 대신 장치에 접두사가 "LXCA_"이고 무작위 문자열이 따르는 IPMI 계정이 만들어집니다. (기존 로컬 IPMI 사용자 계정은 사용 안 함으로 설정되지 않습니다.) ThinkServer 서버를 관리 해제하는 경우 "LXCA_" 사용자 계정을 사용할 수 없는 경우 접두사 "LXCA_"가 접두사 "DISABLED_"로 교체됩니다. ThinkServer 서버가 다른 인스턴스로 관리되는지 판별하기 위해 XClarity Administrator는 접두사 "LXCA_"가 있는 IPMI 계정이 있는지 확인합니다. 관리 ThinkServer 서버를 강제 관리하는 경우 "LXCA_" 접두사가 포함된 장치의 모든 IPMI 계정을 사용할 수 없고 이름이 변경됩니다. 더 이상 사용되지 않는 IPMI 계정을 지울 것을 고려해 보십시오.

  수동으로 입력한 자격 증명을 사용하는 경우 XClarity Administrator는 저장된 자격 증명을 자동으로 만들고 이 저장된 자격 증명을 사용하여 장치를 관리합니다.

  주

  장치에 대해 관리되는 인증을 사용하는 경우 XClarity Administrator를 사용하여 해당 장치에 대한 저장된 자격 증명을 편집할 수 없습니다.

  • 수동으로 입력한 자격 증명을 사용하여 장치를 관리할 때마다 이전 관리 프로세스 중에 해당 장치에 대해 다른 저장된 자격 증명이 만들어진 경우에도 새로운 저장된 자격 증명이 만들어집니다.

  • 장치를 관리 해제할 때 XClarity Administrator는 관리 프로세스 중에 해당 장치에 대해 자동으로 만들어진 저장된 자격 증명은 삭제하지 않습니다.