Autenticação

Quando um servidor LDAP externo for usado, o servidor de autenticação local será desativado.

Sistema externo de gerenciamento de identidade. Atualmente, apenas o CyberArk é suportado.

Se as contas de usuário de um servidor ThinkSystem ou ThinkAgile estiverem integradas ao CyberArk, você poderá escolher que o XClarity Administrator recupere credenciais do CyberArk para fazer login no servidor ao configurar inicialmente os servidores para gerenciamento (com autenticação gerenciada ou local). Para que as credenciais possam ser recuperadas do CyberArk, os caminhos do CyberArk devem ser definidos no XClarity Administrator e a confiança mútua deve ser estabelecida entre o CyberArk e o XClarity Administrator usando autenticação mútua TLS por meio de certificados de cliente.

Quando um provedor de identidade SAML for usado, o servidor de autenticação local não será desabilitado. As contas do usuário local são necessárias para fazer login diretamente a um chassi ou um servidor gerenciado (a menos que o Encapsulamento esteja habilitado nesse dispositivo), para autenticação PowerShell e API REST, e para recuperação se a autenticação externa não estiver disponível.

Você pode escolher usar um servidor LDAP externo e um provedor de identidade externo. Se ambos estiverem habilitados, o servidor LDAP externo será usado para fazer login diretamente nos dispositivos gerenciados, e o provedor de identidade será usado para fazer login no servidor de gerenciamento.

Quando a autenticação local é usada para servidores em rack, chassi da Lenovo e comutadores de rack da Lenovo, o XClarity Administrator usa uma credencial armazenada para autenticar o dispositivo. A credencial armazenada pode ser uma conta do usuário ativa no dispositivo ou uma conta do usuário em um servidor do Active Directory.

Você deve criar uma credencial armazenada no XClarity Administrator que corresponda a uma conta do usuário ativa no dispositivo ou uma conta do usuário em um servidor do Active Directory antes de gerenciar o dispositivo usando a autenticação local (consulte Gerenciando credenciais compartilhadas).

Usar a autenticação gerenciada permite gerenciar e monitorar vários dispositivos usando as credenciais no servidor de autenticação do XClarity Administrator em vez de credenciais locais. Quando a autenticação gerenciada é usada para um dispositivo (diferente de servidores ThinkServer, servidores System x M4 e comutadores), o XClarity Administrator configura o dispositivo e seus componentes instalados para usar o servidor de autenticação do XClarity Administrator para gerenciamento centralizado.

• Quando a autenticação gerenciada estiver habilitada, você poderá gerenciar dispositivos usando credenciais armazenadas ou inseridas manualmente (consulte Gerenciando contas de usuário e Gerenciando credenciais compartilhadas).

  A credencial armazenada é usada somente até que o XClarity Administrator configure as definições LDAP no dispositivo. Depois disso, qualquer mudança nas credenciais armazenadas não tem impacto no gerenciamento ou no monitoramento desse dispositivo.

  Nota

  Quando a autenticação gerenciada é ativada para um dispositivo, não é possível editar credenciais armazenadas para esse dispositivo usando o XClarity Administrator.

• Se um servidor LDAP local ou externo for usado como servidor de autenticação do XClarity Administrator, as contas de usuário definidas no servidor de autenticação serão usadas para fazer login no XClarity Administrator, em CMMs e no Baseboard Management Controllers no domínio XClarity Administrator. As contas de usuário do CMM local e do controlador de gerenciamento são desativadas.

• Se um provedor de identidade SAML 2.0 for usado como servidor de autenticação do XClarity Administrator, as contas de SAML não estarão acessíveis para dispositivos gerenciados. Entretanto, ao usar um provedor de identidade SAML e um servidor LDAP juntos, se o provedor de identidade usar contas existentes no servidor LDAP, as contas de usuário LDAP poderão ser usadas para fazer login nos dispositivos gerenciados, enquanto os métodos de autenticação mais avançados fornecidos por SAML 2.0 (como autenticação de vários fatores e logon único) podem ser usados para fazer login no XClarity Administrator.

• O login único permite que um usuário já conectado ao XClarity Administrator faça login automaticamente no Baseboard Management Control. O login único é ativado por padrão quando um servidor ThinkSystem ou ThinkAgile é trazido para o gerenciamento pelo XClarity Administrator (a menos que o servidor seja gerenciado com senhas do CyberArk). É possível definir a configuração global para ativar ou desabilitar o login único para todos os servidores ThinkSystem e ThinkAgile gerenciados. Ativar o login único para um servidor ThinkSystem e ThinkAgile específico substitui a configuração global para todos os servidores ThinkSystem e ThinkAgile (consulte Gerenciando servidores).

  Nota

  O logon único é desativado automaticamente ao usar o sistema de gerenciamento de identidade CyberArk para autenticação.

• Quando a autenticação gerenciada está ativada para servidores ThinkSystem SR635 e SR655:

  • O firmware do controlador de gerenciamento do baseboard oferece suporte a até cinco funções de usuário LDAP. O XClarity Administrator adiciona essas funções de usuário LDAP aos servidores durante o gerenciamento: lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin e lxc-os-admin.

    Os usuários devem ser atribuídos a pelo menos uma das funções de usuário LDAP especificadas para se comunicar com os servidores ThinkSystem SR635 e SR655.

  • O firmware do controlador de gerenciamento não oferece suporte aos usuários LDAP com o mesmo nome do usuário local do servidor.

• Para servidores ThinkServer e System x M4, o servidor de autenticação do XClarity Administrator não é usado. Em vez disso, uma conta IPMI é criada no dispositivo com o prefixo "LXCA_" acompanhado por uma sequência aleatória. (As contas do usuário do IPMI local existente estão desabilitadas.) Quando você cancelar o gerenciamento de um servidor ThinkServer, a conta do usuário do "LXCA_" será desabilitada e o prefixo "LXCA_" será substituído por "DISABLED_". Para determinar se um servidor ThinkServer é gerenciado por outra instância, o XClarity Administrator verifica as contas de IPMI com o prefixo "LXCA_". Se você escolher forçar o gerenciamento de um servidor ThinkServer gerenciado, todas as contas de IPMI no dispositivo com o prefixo "LXCA_" serão desabilitadas e renomeadas. Considere apagar manualmente as contas de IPMI que não são mais usadas.

  Se você usar credenciais inseridas manualmente, o XClarity Administrator criará uma credencial armazenada automaticamente e usará essa credencial armazenada para gerenciar o dispositivo.

  Nota

  Quando a autenticação gerenciada é ativada para um dispositivo, não é possível editar credenciais armazenadas para esse dispositivo usando o XClarity Administrator.

  • Cada vez que você gerencia um dispositivo usando credenciais inseridas manualmente, uma nova credencial armazenada é criada para o dispositivo, mesmo se outra credencial armazenada foi criada para o dispositivo durante um processo de gerenciamento anterior.

  • Quando você cancela o gerenciamento de um dispositivo, o XClarity Administrator não exclui credenciais armazenadas que foram criadas automaticamente para esse dispositivo durante o processo de gerenciamento.