Configurando um servidor de autenticação LDAP externo

É possível usar um servidor de autenticação LDAP externo em vez do servidor de autenticação Lenovo XClarity Administrator local no nó de gerenciamento.

Procedimento

Para configurar o XClarity Administrator para usar um servidor de autenticação externo, conclua as seguintes etapas.

1. Configure o método de autenticação de usuários para o Microsoft Active Directory ou OpenLDAP.

   Se você optar por usar autenticação não segura, nenhuma configuração adicional será necessária. Os controladores de domínio do Windows Active Directory ou OpenLDAP usam autenticação LDAP não segura por padrão.

   Se você optar por usar autenticação LDAP segura, deverá configurar os controladores de domínio para permitir a autenticação LDAP segura. Para obter mais informações sobre a configuração de autenticação LDAP segura no Active Directory, consulte o Artigo sobre LDAP over SSL (LDAPS) Certificate no site Microsoft TechNet.

   Para verificar se os controladores de domínio do Active Directory estão configurados para usar autenticação LDAP segura:

   • Procure o evento O protocolo LDAP sobre SSL agora está disponível na janela do Visualizador de Eventos dos controladores de domínio.
   • Use a ferramenta ldp.exe Windows para testar a conectividade LDAP segura com os controladores de domínio.
2. Importe o certificado do servidor do Active Directory ou do OpenLDAP ou o certificado raiz da autoridade de certificação que assinou o certificado do servidor.
   1. Na barra de menu do XClarity Administrator, clique em Administração > Segurança.
   2. Clique em Certificados Confiáveis na seção Gerenciamento de Certificados.
   3. Clique no ícone Criar () para adicionar um certificado.
   4. Navegue para o arquivo ou cole o texto do certificado com formatação PEM.
   5. Clique em Criar.
3. Configure o cliente LDAP do XClarity Administrator:
   1. Na barra de menu do XClarity Administrator, clique em Administração > Segurança.
   2. Clique no Cliente LDAP na seção Usuários e Grupos para exibir a caixa de diálogo Configurações do Cliente LDAP.
      
      
      
   3. Preencha a caixa de diálogo com base nos critérios a seguir.
      1. Selecione um destes métodos de autenticação do usuário:
         • Permitir logons de usuários locais. A autenticação é executada usando a autenticação local. Quando essa opção estiver selecionada, todas as contas de usuário existirão no servidor de autenticação local no nó de gerenciamento.
         • Permitir logons de usuários LDAP. A autenticação é executada por um servidor LDAP externo. Esse método permite o gerenciamento remoto de contas de usuário. Quando essa opção é selecionada, todas as contas de usuário existem remotamente em um servidor LDAP externo.
         • Permitir usuários locais primeiro, depois usuários LDAP. O servidor de autenticação local executa a autenticação primeiro. Se isso falhar, um servidor LDAP externo executará a autenticação.
         • Permitir usuários LDAP primeiro, depois usuários locais. Um servidor LDAP externo executará a autenticação primeiro. Se isso falhar, o servidor de autenticação local executará a autenticação.
      2. Escolha entre habilitar ou desabilitar o LDAP seguro:
         • Habilitar LDAP seguro. O XClarity Administrator usa o protocolo LDAPS para se conectar com segurança ao servidor de autenticação externo. Quando essa opção for selecionada, você também deverá configurar certificados confiáveis para habilitar o suporte de LDAP seguro.
         • Desabilitar LDAP seguro. O XClarity Administrator usa um protocolo não seguro para se conectar ao servidor de autenticação externo. Se você escolher essa configuração, o hardware poderá ficar mais vulnerável a ataques à segurança.
      3. Selecione um destes métodos de seleção de servidor:

         • Usar Servidores Pré-configurados. O XClarity Administrator usa os endereços IP e portas especificados para descobrir o servidor de autenticação externo.

           Se você selecionar essa opção, especifique até quatro endereços IP e portas pré-configurados do servidor. O cliente LDAP tenta autenticar usando o primeiro endereço do servidor. Se a autenticação falhar, o cliente LDAP tentará autenticar usando o próximo endereço IP do servidor.

           Se o número da porta de uma entrada não for explicitamente definido como 3268 ou 3269, o sistema assumirá que a entrada identifica um controlador de domínio.

           Quando o número da porta estiver definido como 3268 ou 3269, o sistema assumirá que a entrada identifica um catálogo global. O cliente LDAP tenta autenticar usando o controlador de domínio para o primeiro endereço IP do servidor configurado. Se isso falhar, o cliente LDAP tentará autenticar usando o controlador de domínio para o próximo endereço IP do servidor.

           Importante

           Pelo menos um controlador de domínio deve ser especificado, mesmo se o catálogo global estiver especificado. A especificação apenas do catálogo global parece ter êxito, mas não é uma configuração válida.

           Quando o modo de criptografia estiver configurado como NIST-800-131A, XClarity Administrator poderá não ser capaz de se conectar a um servidor LDAP externo usando uma porta segura (por exemplo, usando LDAPS pela porta padrão 636) se o servidor LDAP não for capaz de estabelecer uma conexão Transport Layer Security (TLS) versão 1.2 com o cliente LDAP no XClarity Administrator.

         • Usar DNS para encontrar Servidores LDAP. O XClarity Administrator usa o nome de domínio especificado ou o nome de grupo para descobrir dinamicamente o servidor de autenticação externo. O nome de domínio e o nome de grupo são usados para obter uma lista de controladores de domínio, e o nome de grupo é usado para obter uma lista de servidores de catálogo global.

           Atenção

           Ao usar DNS para encontrar servidores LDAP, certifique-se de que a conta do usuário a ser usada para autenticar no servidor de autenticação externo esteja hospedada em controladores de domínio especificados. Se a conta de usuário for hospedada em um controlador de domínio filho, inclua este controlador na lista de solicitações de serviço.

      4. Selecione um destes métodos de vinculação:

         • Credenciais Configuradas. Use esse método de vinculação para usar o nome do cliente e a senha para vincular o XClarity Administrator ao servidor de autenticação externo. Se essa vinculação falhar, o processo de autenticação também falhará.

           O nome do cliente pode ser qualquer nome ao qual o servidor LDAP oferecer suporte, incluindo um nome distinto, um AMAccountName, nome de NetBIOS ou um UserPrincipalName. O nome do cliente deve ser uma conta de usuário no domínio que tem pelo menos privilégios somente leitura. Exemplo:

           cn=username,cn=users,dc=example,dc=com
           domain\username
           username@domain.com
           username
           
           

           Atenção

           Se você alterar a senha do cliente no servidor de autenticação externo, certifique-se de também atualizar a nova senha no XClarity Administrator. Para obter mais informações, consulte Não é possível fazer login no Lenovo XClarity Administrator.

         • Credenciais de Login. Use esse método de ligação para usar um nome de usuário do Active Directory ou do OpenLDAP e senha para vincular o XClarity Administrator ao servidor de autenticação externo.

           O ID do usuário e a senha especificados são usados apenas para testar a conexão com o servidor de autenticação. Se for bem-sucedida, as configurações do cliente LDAP serão salvas, exceto as credenciais de login de teste que você especificou. Todas as vinculações futuras usarão o nome do usuário e a senha que você usou para fazer login no XClarity Administrator.

           Nota

           • Você deve estar conectado ao XClarity Administrator usando um ID de usuário totalmente qualificado (por exemplo, administrator@domain.com ou DOMAIN\admin).

           • Você deve usar um nome de cliente de teste totalmente qualificado para o método de vinculação.

           Atenção

           Para configurar o método de vinculação para usar credenciais de login, o controlador de gerenciamento de cada servidor gerenciado deve estar executando o firmware de setembro de 2016 ou posterior.
      5. No campo DN raiz, recomenda-se não especificar um nome distinto raiz, especialmente para ambientes com vários domínios. Quando esse campo estiver em branco, o XClarity Administrator consultará o servidor de autenticação externo quanto aos contextos de nomenclatura.

         Se você usar DNS para descobrir o servidor de autenticação externo ou se você especificar vários servidores (por exemplo, dc=example,dc=com), será possível especificar uma entrada superior na árvore de diretórios LDAP. Nesse caso, as pesquisas são iniciadas com o nome distinto raiz especificado como base de procura.

      6. Especifique o atributo a ser usado para procurar o nome do usuário.

         Quando o método de vinculação está definido como Credenciais Configuradas, a vinculação inicial com o servidor LDAP é seguida por uma solicitação de pesquisa que recupera informações específicas sobre o usuário, incluindo o DN do usuário, permissões de login e associação a grupos. Essa solicitação de procura deve especificar o nome do atributo que representa as IDs de usuário nesse servidor. Esse nome de atributo é configurado nesse campo. Se esse campo for deixado em branco, o padrão será cn.

      7. Especifique o nome do atributo que é usado para identificar os grupos aos quais um usuário pertence. Se este campo ficar em branco, o nome do atributo no filtro será padronizado como memberOf.

      8. Especifique o nome do atributo que é utilizado para identificar o nome do grupo configurado pelo servidor LDAP. Se esse campo for deixado em branco, o padrão será uid.

   4. Clique em Aplicar.

      O XClarity Administrator tenta testar a configuração para detectar erros comuns. Se o teste falhar, mensagens de erro serão exibidas indicando a origem de erros. Se o teste for bem-sucedido e as conexões com os servidores especificados forem concluídas com êxito, a autenticação do usuário ainda poderá falhar se:

      • Não existe um usuário local com autoridade lxc-recovery.

      • O nome distinto raiz estiver incorreto.

      • O usuário não é um membro de, pelo menos, um grupo no servidor de autenticação externo que corresponde ao nome de um grupo de funções no servidor de autenticação do XClarity Administrator. O XClarity Administrator não pode detectar se o DN raiz está correto; entretanto, pode detectar se um usuário é membro de, pelo menos, um grupo. Se um usuário não for membro de, pelo menos, um grupo, será exibida uma mensagem de erro quando o usuário tentar fazer login no XClarity Administrator. Para obter mais informações sobre solução de problemas com os servidores de autenticação externos, consulte Problemas de conectividade.

4. Crie uma conta de usuário externa que possa acessar o XClarity Administrator:
   1. No servidor de autenticação externo, crie uma conta de usuário. Para obter instruções, consulte a documentação do Active Directory ou do OpenLDAP.
   2. Crie um grupo global do Active Directory ou do OpenLDAP com o nome de um grupo predefinido e autorizado. O grupo deve existir dentro do contexto do nome distinto raiz definido no cliente LDAP.
   3. Inclua o usuário do Active Directory ou do OpenLDAP como um membro do grupo de segurança criado anteriormente.
   4. Faça login no XClarity Administrator usando o nome de usuário do Active Directory ou do OpenLDAP.
   5. Opcional: defina e crie grupos adicionais. Você pode autorizar estes grupos e designar atribuições a eles a partir da página Usuários e Grupos.
   6. Se o LDAP seguro estiver habilitado, importe certificados confiáveis para o servidor LDAP externo (consulte Instalando um certificado de servidor assinado externamente personalizado).