Pular para o conteúdo principal

Configurando um servidor de autenticação LDAP externo

É possível usar um servidor de autenticação LDAP externo em vez do servidor de autenticação Lenovo XClarity Administrator local no nó de gerenciamento.

Antes de iniciar

A configuração inicial do XClarity Administrator deve ser concluída antes de configurar o servidor de autenticação externo.

Os servidores de autenticação externos a seguir são suportados:
  • OpenLDAP

  • Microsoft Active Directory. Deve residir em um servidor do Microsoft Windows externo conectado à rede de gerenciamento, à rede de dados ou a ambas

Garanta que todas as portas necessárias para o servidor de autenticação externo estejam abertas na rede e nos firewalls. Para obter informações sobre requisitos de porta, consulte Disponibilidade de porta.

Você deve criar ou renomear grupos de funções no servidor de autenticação local para fazer a correspondência dos grupos definidos no servidor de autenticação externo.

Certifique-se de que haja um ou mais usuários com autoridade lxc-recovery no servidor de autenticação local. É possível usar essa conta de usuário local para autenticar diretamente no XClarity Administrator quando ocorre um erro de comunicação com o servidor LDAP externo.

Nota
Quando o XClarity Administrator está configurado para usar um servidor de autenticação externo, a página Gerenciamento de Usuários na interface da Web do XClarity Administrator está desabilitada.
Atenção
No Active Directory, para configurar o método de ligação para usar credenciais de login, o Baseboard Management Controller de cada servidor gerenciado deve estar executando o firmware de setembro de 2016 ou posterior.

O XClarity Administrator executa uma verificação de conectividade cada 5 minutos para manter a conectividade com os servidores LDAP externos configurados. Ambientes com muitos servidores LDAP podem apresentar alto uso de CPU durante essa verificação de conectividade. Para obter melhor desempenho, garanta que a maioria ou todos os servidores LDAP no domínio estejam acessíveis ou defina o método de seleção de servidor de autenticação como Usar Servidores Pré-configurados e especifique apenas servidores LDAP conhecidos e acessíveis.

Procedimento

Para configurar o XClarity Administrator para usar um servidor de autenticação externo, conclua as seguintes etapas.

  1. Configure o método de autenticação de usuários para o Microsoft Active Directory ou OpenLDAP.

    Se você optar por usar autenticação não segura, nenhuma configuração adicional será necessária. Os controladores de domínio do Windows Active Directory ou OpenLDAP usam autenticação LDAP não segura por padrão.

    Se você optar por usar autenticação LDAP segura, deverá configurar os controladores de domínio para permitir a autenticação LDAP segura. Para obter mais informações sobre a configuração de autenticação LDAP segura no Active Directory, consulte o Artigo sobre LDAP over SSL (LDAPS) Certificate no site Microsoft TechNet.

    Para verificar se os controladores de domínio do Active Directory estão configurados para usar autenticação LDAP segura:
    • Procure o evento O protocolo LDAP sobre SSL agora está disponível na janela do Visualizador de Eventos dos controladores de domínio.
    • Use a ferramenta ldp.exe Windows para testar a conectividade LDAP segura com os controladores de domínio.
  2. Importe o certificado do servidor do Active Directory ou do OpenLDAP ou o certificado raiz da autoridade de certificação que assinou o certificado do servidor.
    1. Na barra de menu do XClarity Administrator, clique em Administração > Segurança.
    2. Clique em Certificados Confiáveis na seção Gerenciamento de Certificados.
    3. Clique no ícone Criar (Ícone de Criar) para adicionar um certificado.
    4. Navegue para o arquivo ou cole o texto do certificado com formatação PEM.
    5. Clique em Criar.
  3. Configure o cliente LDAP do XClarity Administrator:
    1. Na barra de menu do XClarity Administrator, clique em Administração > Segurança.
    2. Clique no Cliente LDAP na seção Usuários e Grupos para exibir a caixa de diálogo Configurações do Cliente LDAP.

      Ilustra a página Configurações do Cliente LDAP.
    3. Preencha a caixa de diálogo com base nos critérios a seguir.
      1. Selecione um destes métodos de autenticação do usuário:
        • Permitir logons de usuários locais. A autenticação é executada usando a autenticação local. Quando essa opção estiver selecionada, todas as contas de usuário existirão no servidor de autenticação local no nó de gerenciamento.
        • Permitir logons de usuários LDAP. A autenticação é executada por um servidor LDAP externo. Esse método permite o gerenciamento remoto de contas de usuário. Quando essa opção é selecionada, todas as contas de usuário existem remotamente em um servidor LDAP externo.
        • Permitir usuários locais primeiro, depois usuários LDAP. O servidor de autenticação local executa a autenticação primeiro. Se isso falhar, um servidor LDAP externo executará a autenticação.
        • Permitir usuários LDAP primeiro, depois usuários locais. Um servidor LDAP externo executará a autenticação primeiro. Se isso falhar, o servidor de autenticação local executará a autenticação.
      2. Escolha entre habilitar ou desabilitar o LDAP seguro:
        • Habilitar LDAP seguro. O XClarity Administrator usa o protocolo LDAPS para se conectar com segurança ao servidor de autenticação externo. Quando essa opção for selecionada, você também deverá configurar certificados confiáveis para habilitar o suporte de LDAP seguro.
        • Desabilitar LDAP seguro. O XClarity Administrator usa um protocolo não seguro para se conectar ao servidor de autenticação externo. Se você escolher essa configuração, o hardware poderá ficar mais vulnerável a ataques à segurança.
      3. Selecione um destes métodos de seleção de servidor:
        • Usar Servidores Pré-configurados. O XClarity Administrator usa os endereços IP e portas especificados para descobrir o servidor de autenticação externo.

          Se você selecionar essa opção, especifique até quatro endereços IP e portas pré-configurados do servidor. O cliente LDAP tenta autenticar usando o primeiro endereço do servidor. Se a autenticação falhar, o cliente LDAP tentará autenticar usando o próximo endereço IP do servidor.

          Se o número da porta de uma entrada não for explicitamente definido como 3268 ou 3269, o sistema assumirá que a entrada identifica um controlador de domínio.

          Quando o número da porta estiver definido como 3268 ou 3269, o sistema assumirá que a entrada identifica um catálogo global. O cliente LDAP tenta autenticar usando o controlador de domínio para o primeiro endereço IP do servidor configurado. Se isso falhar, o cliente LDAP tentará autenticar usando o controlador de domínio para o próximo endereço IP do servidor.

          Importante
          Pelo menos um controlador de domínio deve ser especificado, mesmo se o catálogo global estiver especificado. A especificação apenas do catálogo global parece ter êxito, mas não é uma configuração válida.

          Quando o modo de criptografia estiver configurado como NIST-800-131A, XClarity Administrator poderá não ser capaz de se conectar a um servidor LDAP externo usando uma porta segura (por exemplo, usando LDAPS pela porta padrão 636) se o servidor LDAP não for capaz de estabelecer uma conexão Transport Layer Security (TLS) versão 1.2 com o cliente LDAP no XClarity Administrator.

        • Usar DNS para encontrar Servidores LDAP. O XClarity Administrator usa o nome de domínio especificado ou o nome de grupo para descobrir dinamicamente o servidor de autenticação externo. O nome de domínio e o nome de grupo são usados para obter uma lista de controladores de domínio, e o nome de grupo é usado para obter uma lista de servidores de catálogo global.

          Atenção
          Ao usar DNS para encontrar servidores LDAP, certifique-se de que a conta do usuário a ser usada para autenticar no servidor de autenticação externo esteja hospedada em controladores de domínio especificados. Se a conta de usuário for hospedada em um controlador de domínio filho, inclua este controlador na lista de solicitações de serviço.
      4. Selecione um destes métodos de vinculação:

        • Credenciais Configuradas. Use esse método de vinculação para usar o nome do cliente e a senha para vincular o XClarity Administrator ao servidor de autenticação externo. Se essa vinculação falhar, o processo de autenticação também falhará.

          O nome do cliente pode ser qualquer nome ao qual o servidor LDAP oferecer suporte, incluindo um nome distinto, um AMAccountName, nome de NetBIOS ou um UserPrincipalName. O nome do cliente deve ser uma conta de usuário no domínio que tem pelo menos privilégios somente leitura. Exemplo:
          cn=username,cn=users,dc=example,dc=com
          domain\username
          username@domain.com
          username

          Atenção
          Se você alterar a senha do cliente no servidor de autenticação externo, certifique-se de também atualizar a nova senha no XClarity Administrator. Para obter mais informações, consulte Não é possível fazer login no Lenovo XClarity Administrator.
        • Credenciais de Login. Use esse método de ligação para usar um nome de usuário do Active Directory ou do OpenLDAP e senha para vincular o XClarity Administrator ao servidor de autenticação externo.

          O ID do usuário e a senha especificados são usados apenas para testar a conexão com o servidor de autenticação. Se for bem-sucedida, as configurações do cliente LDAP serão salvas, exceto as credenciais de login de teste que você especificou. Todas as vinculações futuras usarão o nome do usuário e a senha que você usou para fazer login no XClarity Administrator.

          Nota
          • Você deve fazer login no XClarity Administrator usando o nome de usuário totalmente qualificado. Nomes curtos não são permitidos. Exemplo:

            domain\username
            username@domain.com

          • Você deve usar um nome de cliente de teste totalmente qualificado para o método de vinculação.

          Atenção
          Para configurar o método de vinculação para usar credenciais de login, o controlador de gerenciamento de cada servidor gerenciado deve estar executando o firmware de setembro de 2016 ou posterior.
      5. No campo DN raiz, recomenda-se não especificar um nome distinto raiz, especialmente para ambientes com vários domínios. Quando esse campo estiver em branco, o XClarity Administrator consultará o servidor de autenticação externo quanto aos contextos de nomenclatura.

        Se você usar DNS para descobrir o servidor de autenticação externo ou se você especificar vários servidores (por exemplo, dc=example,dc=com), será possível especificar uma entrada superior na árvore de diretórios LDAP. Nesse caso, as pesquisas são iniciadas com o nome distinto raiz especificado como base de procura.

      6. Especifique o atributo a ser usado para procurar o nome do usuário.

        Quando o método de vinculação está definido como Credenciais Configuradas, a vinculação inicial com o servidor LDAP é seguida por uma solicitação de pesquisa que recupera informações específicas sobre o usuário, incluindo o DN do usuário, permissões de login e associação a grupos. Essa solicitação de procura deve especificar o nome do atributo que representa as IDs de usuário nesse servidor. Esse nome de atributo é configurado nesse campo. Se esse campo for deixado em branco, o padrão será cn.

      7. Especifique o nome do atributo que é usado para identificar os grupos aos quais um usuário pertence. Se este campo ficar em branco, o nome do atributo no filtro será padronizado como memberOf.

      8. Especifique o nome do atributo que é utilizado para identificar o nome do grupo configurado pelo servidor LDAP. Se esse campo for deixado em branco, o padrão será uid.

    4. Opcionalmente, configure critérios de filtro para usuários e grupos.
      • Especifique os usuários e os filtros de pesquisa de grupos para personalizar o processo de autenticação ao configurar o XClarity Administrator com um servidor LDAP externo. Para obter informações sobre a sintaxe do filtro de pesquisa, consulte Como gravar filtros de pesquisa LDAP. Para obter exemplos de filtro de pesquisa, consulte Exemplos de ldapsearches comuns.

      • Especifique o número máximo de resultados de pesquisa que podem ser recuperados em uma operação de pesquisa LDAP usando filtros de usuário e grupo. Pode ser um valor de 0 a 5.000. O valor padrão é 0, o que significa ilimitado.

        Especifique o período, em segundos, para concluir uma operação de pesquisa LDAP antes do tempo limite. Pode ser um valor de 0 a 300 segundos (5 minutos). O valor padrão é 0, o que significa que a operação não tem tempo limite.

    5. Clique em Aplicar.

      O XClarity Administrator tenta testar a configuração para detectar erros comuns. Se o teste falhar, mensagens de erro serão exibidas indicando a origem de erros. Se o teste for bem-sucedido e as conexões com os servidores especificados forem concluídas com êxito, a autenticação do usuário ainda poderá falhar se:

      • Não existe um usuário local com autoridade lxc-recovery.

      • O nome distinto raiz estiver incorreto.

      • O usuário não é um membro de, pelo menos, um grupo no servidor de autenticação externo que corresponde ao nome de um grupo de funções no servidor de autenticação do XClarity Administrator. O XClarity Administrator não pode detectar se o DN raiz está correto; entretanto, pode detectar se um usuário é membro de, pelo menos, um grupo. Se um usuário não for membro de, pelo menos, um grupo, será exibida uma mensagem de erro quando o usuário tentar fazer login no XClarity Administrator. Para obter mais informações sobre solução de problemas com os servidores de autenticação externos, consulte Problemas de conectividade.

  4. Crie uma conta de usuário externa que possa acessar o XClarity Administrator:
    1. No servidor de autenticação externo, crie uma conta de usuário. Para obter instruções, consulte a documentação do Active Directory ou do OpenLDAP.
    2. Crie um grupo global do Active Directory ou do OpenLDAP com o nome de um grupo predefinido e autorizado. O grupo deve existir dentro do contexto do nome distinto raiz definido no cliente LDAP.
    3. Inclua o usuário do Active Directory ou do OpenLDAP como um membro do grupo de segurança criado anteriormente.
    4. Faça login no XClarity Administrator usando o nome de usuário do Active Directory ou do OpenLDAP.
    5. Opcional: defina e crie grupos adicionais. Você pode autorizar estes grupos e designar atribuições a eles a partir da página Usuários e Grupos.
    6. Se o LDAP seguro estiver habilitado, importe certificados confiáveis para o servidor LDAP externo (consulte Instalando um certificado de servidor assinado externamente personalizado).

Resultados

O XClarity Administrator valida a conexão do servidor LDAP. Se a validação passar, a autenticação do usuário ocorrerá no servidor de autenticação externo quando você fizer login no XClarity Administrator, no CMM e no controlador de gerenciamento.

Se a validação falhar, o modo de autenticação será alterado automaticamente para a configuração Permitir logons de usuários locais, e uma mensagem que explica a causa da falha será exibida.

Nota
Os grupos de funções corretos devem ser configurados no XClarity Administrator, e contas de usuário devem ser definidas como membros de um dos grupos de funções no servidor do Active Directory. Caso contrário, a autenticação do usuário falhará.