Pular para o conteúdo principal

Gerenciando o servidor de autenticação

Por padrão, o Lenovo XClarity Administrator usa um servidor LDAP local para autenticar as credenciais do usuário.

Sobre esta tarefa

Servidores de autenticação suportados

O servidor de autenticação é um registro do usuário utilizado para autenticar as credenciais do usuário. O Lenovo XClarity Administrator oferece suporte aos seguintes tipos de servidores de autenticação.
  • Servidor de autenticação local. Por padrão, o XClarity Administrator é configurado para usar o servidor LDAP integrado que reside no servidor de gerenciamento.
  • Servidor LDAP externo. Atualmente, somente Microsoft Active Directory e OpenLDAP são aceitos. Este servidor deve residir em um servidor do Microsoft Windows externo conectado à rede de gerenciamento.

    Quando um servidor LDAP externo for usado, o servidor de autenticação local será desativado.

    Atenção
    Para configurar o método de ligação do Active Directory para usar credenciais de login, o Baseboard Management Controller de cada servidor gerenciado deve estar executando o firmware de setembro de 2016 ou posterior.
  • Sistema externo de gerenciamento de identidade. Atualmente, apenas o CyberArk é suportado.

    Se as contas de usuário de um servidor ThinkSystem ou ThinkAgile estiverem integradas ao CyberArk, você poderá escolher que o XClarity Administrator recupere credenciais do CyberArk para fazer login no servidor ao configurar inicialmente os servidores para gerenciamento (com autenticação gerenciada ou local). Para que as credenciais possam ser recuperadas do CyberArk, os caminhos do CyberArk devem ser definidos no XClarity Administrator e a confiança mútua deve ser estabelecida entre o CyberArk e o XClarity Administrator usando autenticação mútua TLS por meio de certificados de cliente.

  • SAML externo provedor de identidade. Atualmente, Microsoft Active Directory Federation Services (AD FS) são compatíveis. Além de inserir um nome de usuário e senha, a autenticação de vários fatores pode ser configurada para ativar segurança adicional exigindo um código PIN, a leitura de um cartão inteligente e o certificado de cliente.

    Quando um provedor de identidade SAML for usado, o servidor de autenticação local não será desabilitado. As contas do usuário local são necessárias para fazer login diretamente a um chassi ou um servidor gerenciado (a menos que o Encapsulamento esteja habilitado nesse dispositivo), para autenticação PowerShell e API REST, e para recuperação se a autenticação externa não estiver disponível.

    Você pode escolher usar um servidor LDAP externo e um provedor de identidade externo. Se ambos estiverem habilitados, o servidor LDAP externo será usado para fazer login diretamente nos dispositivos gerenciados, e o provedor de identidade será usado para fazer login no servidor de gerenciamento.

Autenticação do dispositivo

Por padrão, os dispositivos são gerenciados usando a autenticação gerenciada do XClarity Administrator para fazer login nos dispositivos. Ao gerenciar servidores em rack e chassis da Lenovo, você pode optar por usar autenticação local ou autenticação gerenciada para fazer login nos dispositivos.
  • Quando a autenticação local é usada para servidores em rack, chassi da Lenovo e comutadores de rack da Lenovo, o XClarity Administrator usa uma credencial armazenada para autenticar o dispositivo. A credencial armazenada pode ser uma conta do usuário ativa no dispositivo ou uma conta do usuário em um servidor do Active Directory.

    Você deve criar uma credencial armazenada no XClarity Administrator que corresponda a uma conta do usuário ativa no dispositivo ou uma conta do usuário em um servidor do Active Directory antes de gerenciar o dispositivo usando a autenticação local (consulte Gerenciando credenciais compartilhadas).

    Nota
    • Quando a autenticação local é ativada para um dispositivo, não é possível editar credenciais armazenadas para esse dispositivo usando o XClarity Administrator.
    • Dispositivos RackSwitch são compatíveis apenas com credenciais armazenadas para autenticação. Não há suporte para as credenciais do usuário do XClarity Administrator.
  • Usar a autenticação gerenciada permite gerenciar e monitorar vários dispositivos usando as credenciais no servidor de autenticação do XClarity Administrator em vez de credenciais locais. Quando a autenticação gerenciada é usada para um dispositivo (diferente de servidores ThinkServer, servidores System x M4 e comutadores), o XClarity Administrator configura o dispositivo e seus componentes instalados para usar o servidor de autenticação do XClarity Administrator para gerenciamento centralizado.

    • Quando a autenticação gerenciada estiver habilitada, você poderá gerenciar dispositivos usando credenciais armazenadas ou inseridas manualmente (consulte Gerenciando contas de usuário e Gerenciando credenciais compartilhadas).

      A credencial armazenada é usada somente até que o XClarity Administrator configure as definições LDAP no dispositivo. Depois disso, qualquer mudança nas credenciais armazenadas não tem impacto no gerenciamento ou no monitoramento desse dispositivo.

    • Se um servidor LDAP local ou externo for usado como servidor de autenticação do XClarity Administrator, as contas de usuário definidas no servidor de autenticação serão usadas para fazer login no XClarity Administrator, em CMMs e no Baseboard Management Controllers no domínio XClarity Administrator. As contas de usuário do CMM local e do controlador de gerenciamento são desativadas.
      Nota
      Para servidores Think Edge SE450, SE350 V2 e SE360 V2, a conta de usuário local padrão permanece habilitada e todas as outras contas locais ficam desabilitadas.
    • Se um provedor de identidade SAML 2.0 for usado como servidor de autenticação do XClarity Administrator, as contas de SAML não estarão acessíveis para dispositivos gerenciados. Entretanto, ao usar um provedor de identidade SAML e um servidor LDAP juntos, se o provedor de identidade usar contas existentes no servidor LDAP, as contas de usuário LDAP poderão ser usadas para fazer login nos dispositivos gerenciados, enquanto os métodos de autenticação mais avançados fornecidos por SAML 2.0 (como autenticação de vários fatores e logon único) podem ser usados para fazer login no XClarity Administrator.
    • O login único permite que um usuário já conectado ao XClarity Administrator faça login automaticamente no Baseboard Management Control. O login único é ativado por padrão quando um servidor ThinkSystem ou ThinkAgile é trazido para o gerenciamento pelo XClarity Administrator (a menos que o servidor seja gerenciado com senhas do CyberArk). É possível definir a configuração global para ativar ou desabilitar o login único para todos os servidores ThinkSystem e ThinkAgile gerenciados. Ativar o login único para um servidor ThinkSystem e ThinkAgile específico substitui a configuração global para todos os servidores ThinkSystem e ThinkAgile (consulte Gerenciando servidores).
      Nota
      O logon único é desativado automaticamente ao usar o sistema de gerenciamento de identidade CyberArk para autenticação.
    • Quando a autenticação gerenciada está ativada para servidores ThinkSystem SR635 e SR655:
      • O firmware do controlador de gerenciamento do baseboard oferece suporte a até cinco funções de usuário LDAP. O XClarity Administrator adiciona essas funções de usuário LDAP aos servidores durante o gerenciamento: lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin e lxc-os-admin.

        Os usuários devem ser atribuídos a pelo menos uma das funções de usuário LDAP especificadas para se comunicar com os servidores ThinkSystem SR635 e SR655.

      • O firmware do controlador de gerenciamento não oferece suporte aos usuários LDAP com o mesmo nome do usuário local do servidor.
    • Para servidores ThinkServer e System x M4, o servidor de autenticação do XClarity Administrator não é usado. Em vez disso, uma conta IPMI é criada no dispositivo com o prefixo LXCA_ acompanhado por uma sequência aleatória. (As contas do usuário do IPMI local existente estão desabilitadas.) Quando você cancelar o gerenciamento de um servidor ThinkServer, a conta do usuário do LXCA_ será desabilitada e o prefixo LXCA_ será substituído por DISABLED_. Para determinar se um servidor ThinkServer é gerenciado por outra instância, o XClarity Administrator verifica as contas de IPMI com o prefixo LXCA_. Se você escolher forçar o gerenciamento de um servidor ThinkServer gerenciado, todas as contas de IPMI no dispositivo com o prefixo LXCA_ serão desabilitadas e renomeadas. Considere apagar manualmente as contas de IPMI que não são mais usadas.

      Se você usar credenciais inseridas manualmente, o XClarity Administrator criará uma credencial armazenada automaticamente e usará essa credencial armazenada para gerenciar o dispositivo.

      Nota
      Quando a autenticação gerenciada é ativada para um dispositivo, não é possível editar credenciais armazenadas para esse dispositivo usando o XClarity Administrator.
      • Cada vez que você gerencia um dispositivo usando credenciais inseridas manualmente, uma nova credencial armazenada é criada para o dispositivo, mesmo se outra credencial armazenada foi criada para o dispositivo durante um processo de gerenciamento anterior.
      • Quando você cancela o gerenciamento de um dispositivo, o XClarity Administrator não exclui credenciais armazenadas que foram criadas automaticamente para esse dispositivo durante o processo de gerenciamento.

Conta de recuperação

Se você especificar uma senha de recuperação, o XClarity Administrator desativará a conta do usuário do CMM local ou do controlador de gerenciamento e criará uma nova conta de usuário de recuperação (RECOVERY_ID) no dispositivo para futura autenticação. Se o servidor de gerenciamento falhar, será possível usar a conta RECOVERY_ID para fazer login no dispositivo e executar ações de recuperação a fim de restaurar as funções de gerenciamento de conta no dispositivo até que o nó de gerenciamento seja restaurado ou substituído.

Se você cancelar o gerenciamento de um dispositivo que tem uma conta de usuário RECOVERY_ID todas as contas do usuário do CMM local serão habilitadas, e a conta RECOVERY_ID será excluída.

Notas
  • Se você alterar as contas do usuário local desabilitadas (por exemplo, se você alterar uma senha), as alterações não terão efeito na conta RECOVERY_ID. No modo de autenticação gerenciada, a conta RECOVERY_ID será a única a conta do usuário ativada e operacional.
  • Use a conta RECOVERY_ID apenas em caso de emergência, por exemplo, se o servidor de gerenciamento falhar ou se um problema de rede impedir o dispositivo de se comunicar com o XClarity Administrator para autenticar os usuários.
  • A senha de RECOVERY_ID é especificada quando você descobre o dispositivo. Certifique-se de gravar a senha para uso posterior.
  • Dispositivos RackSwitch são compatíveis apenas com credenciais armazenadas para autenticação. Não há suporte para as credenciais do usuário do XClarity Administrator.

Para obter informações sobre como recuperar o gerenciamento de um dispositivo, consulte Recuperando o gerenciamento com um CMM após uma falha no servidor de gerenciamento e Recuperando o gerenciamento do servidor em torre ou do rack após uma falha no servidor de gerenciamento.