Перейти к основному содержимому

Определение типа метода аутентификации, который используется Lenovo XClarity Administrator

Можно определить текущий используемый тип метода аутентификации на вкладках Клиент LDAP и Параметры SAML на странице «Безопасность».

Об этой задаче

Сервер аутентификации — это реестр пользователей, который используется для аутентификации их учетных данных. Lenovo XClarity Administrator поддерживает серверы аутентификации следующих типов.
  • Локальный сервер аутентификации. По умолчанию решение XClarity Administrator настроено на использование встроенного сервера LDAP, находящегося на сервере управления.
  • Внешний сервер LDAP. В настоящее время поддерживаются только Microsoft Active Directory и OpenLDAP. Этот сервер должен находиться на внешнем сервере Microsoft Windows, подключенном к сети управления.

    При использовании внешнего сервера LDAP локальный сервер аутентификации отключается.

    Внимание
    Чтобы настроить метод привязки Active Directory для использования учетных данных для входа, на контроллерах управления материнскими платами для всех управляемых серверов должна быть микропрограмма от сентября 2016 г. или новее.

  • Внешняя система управления идентификацией. В настоящее время поддерживается только CyberArk.

    Если учетные записи пользователей для сервера ThinkSystem или ThinkAgile регистрируются в CyberArk, можно настроить XClarity Administrator для извлечения учетных данных из CyberArk для входа на сервер при первоначальной настройке серверов для управления (с управляемой или локальной аутентификацией). Извлечь учетные данные из CyberArk можно только после определения путей CyberArk в XClarity Administrator и установки взаимного доверия между CyberArk и XClarity Administrator с использованием взаимной аутентификации в TLS и клиентских сертификатов.

  • Внешний SAML поставщик удостоверений. В настоящее время службы Microsoft Active Directory Federation Services (AD FS) поддерживаются. В дополнение ко вводу имени пользователя и пароля можно настроить многофакторную проверку подлинности, обеспечивающую дополнительную безопасность, так как требуется ввести ПИН-код, считать смарт-карту и предоставить сертификат клиента.

    При использовании SAML поставщик удостоверений сервер локальной аутентификации не отключается. Для прямого входа в систему управляемой рамы или сервера (если на этом устройстве не включена Encapsulation) и для аутентификации на основе PowerShell и REST API, а также для восстановления, если внешняя аутентификация недоступна, требуются локальные учетные записи пользователей.

    Можно использовать и внешний сервер LDAP, и внешний поставщик удостоверений. Если включены оба сервера, внешний сервер LDAP используется для прямого входа в систему управляемых устройств, а поставщик удостоверений — для входа на сервер управления.

Процедура

Чтобы определить тип сервера аутентификации, который используется программным обеспечением управления, выполните следующие действия.

  1. В строке меню XClarity Administrator выберите Администрирование > Безопасность.
  2. Нажмите Клиент LDAP в разделе «Пользователи и группы», чтоб открыть диалоговое окно Параметры клиента LDAP.
    Проверьте, какой выбран метод аутентификации пользователей:
    • Разрешить вход из учетной записи локального пользователя. Используется локальная аутентификация. Если выбран этот параметр, все учетные записи пользователей существуют на локальном сервере аутентификации на узле управления.
    • Разрешить вход из учетной записи пользователя LDAP. Аутентификация выполняется внешним сервером LDAP. Этот метод позволяет осуществлять удаленное управление учетными записями пользователей. Когда выбран этот параметр, все учетные записи пользователей существуют удаленно на внешнем сервере LDAP.
    • Сначала разрешить вход локальных пользователей, затем пользователей LDAP. Локальный сервер аутентификации выполняет аутентификацию первым. При неудаче аутентификацию выполняет внешний сервер LDAP.
    • Сначала разрешить вход пользователей LDAP, затем локальных пользователей. Внешний сервер LDAP выполняет аутентификацию первым. При неудаче аутентификацию выполняет локальный сервер аутентификации.
  3. Нажмите Параметры SAML в разделе «Пользователи и группы», чтобы открыть страницу «Параметры SAML».

    Если выбрано значение SAML включен, используется поставщик удостоверений.