Управление сервером аутентификации
По умолчанию Lenovo XClarity Administratorиспользует локальный сервер LDAP для аутентификации учетных данных пользователя.
Об этой задаче
Поддерживаемые серверы аутентификации
- Локальный сервер аутентификации. По умолчанию решение XClarity Administrator настроено на использование встроенного сервера LDAP, находящегося на сервере управления.
- Внешний сервер LDAP. В настоящее время поддерживаются только Microsoft Active Directory и OpenLDAP. Этот сервер должен находиться на внешнем сервере Microsoft Windows, подключенном к сети управления.
При использовании внешнего сервера LDAP локальный сервер аутентификации отключается.
ВниманиеЧтобы настроить метод привязки Active Directory для использования учетных данных для входа, на контроллерах управления материнскими платами для всех управляемых серверов должна быть микропрограмма от сентября 2016 г. или новее. Внешняя система управления идентификацией. В настоящее время поддерживается только CyberArk.
Если учетные записи пользователей для сервера ThinkSystem или ThinkAgile регистрируются в CyberArk, можно настроить XClarity Administrator для извлечения учетных данных из CyberArk для входа на сервер при первоначальной настройке серверов для управления (с управляемой или локальной аутентификацией). Извлечь учетные данные из CyberArk можно только после определения путей CyberArk в XClarity Administrator и установки взаимного доверия между CyberArk и XClarity Administrator с использованием взаимной аутентификации в TLS и клиентских сертификатов.
- Внешний SAML поставщик удостоверений. В настоящее время службы Microsoft Active Directory Federation Services (AD FS) поддерживаются. В дополнение ко вводу имени пользователя и пароля можно настроить многофакторную проверку подлинности, обеспечивающую дополнительную безопасность, так как требуется ввести ПИН-код, считать смарт-карту и предоставить сертификат клиента.
При использовании SAML поставщик удостоверений сервер локальной аутентификации не отключается. Для прямого входа в систему управляемой рамы или сервера (если на этом устройстве не включена Encapsulation) и для аутентификации на основе PowerShell и REST API, а также для восстановления, если внешняя аутентификация недоступна, требуются локальные учетные записи пользователей.
Можно использовать и внешний сервер LDAP, и внешний поставщик удостоверений. Если включены оба сервера, внешний сервер LDAP используется для прямого входа в систему управляемых устройств, а поставщик удостоверений — для входа на сервер управления.
Аутентификация устройств
Если для стоечных серверов, рамы Lenovo и стоечных коммутаторов Lenovo применяется локальная аутентификация, XClarity Administrator использует сохраненные учетные данные для аутентификации на устройстве. Сохраненные учетные данные могут быть активной учетной записью пользователя на устройстве или учетной записью пользователя на сервере Active Directory.
В XClarity Administrator необходимо создать сохраненные учетные данные, которые соответствуют активной учетной записи пользователя на устройстве или учетной записи пользователя на сервере Active Directory, прежде чем приступать к управлению устройством с помощью локальной аутентификации (см. раздел Управление сохраненными учетными данными).
Прим.- Если для устройства включена локальная аутентификация, изменить для него сохраненные учетные данные с помощью XClarity Administrator невозможно.
- Устройства RackSwitch поддерживают сохраненные учетные данные для аутентификации. Учетные данные пользователей XClarity Administrator не поддерживаются.
Управляемая аутентификация позволяет управлять несколькими устройствами и отслеживать их с помощью учетных данных на сервере аутентификации XClarity Administrator, а не локальных учетных данных. Если для устройства используется управляемая аутентификация (не коммутаторы и не серверы ThinkServer и System x M4), XClarity Administrator настраивает устройство и его установленные компоненты на использование сервера аутентификации XClarity Administrator для централизованного управления.
- Если управляемая аутентификация включена, для управления устройствами можно использовать учетные данные, вводимые вручную, или сохраненные учетные данные (см. разделы Управление учетными записями пользователей, Управление сохраненными учетными данными).
Сохраненные учетные данные используются только до тех пор, пока XClarity Administrator не настроит параметры LDAP на устройстве. После этого все изменения в сохраненных учетных данных не оказывают влияния на управление или мониторинг устройства.
- Если используется локальный или внешний сервер LDAP в качестве сервера аутентификации XClarity Administrator, учетные записи пользователей, которые определены на сервере аутентификации, используются для входа в XClarity Administrator, CMM и контроллеры управления материнской платой в домене XClarity Administrator. Локальные учетные записи пользователей CMM и контроллера управления отключены.Прим.Для серверов Think Edge SE450, SE350 V2 и SE360 V2 локальная учетная запись пользователя по умолчанию остается включенной, а все остальные локальные учетные записи отключаются.
- Если используется поставщик удостоверений SAML 2.0 в качестве сервера аутентификации XClarity Administrator, учетные записи SAML недоступны для управляемых устройств. Однако если поставщик удостоверений SAML и сервер LDAP используются вместе, и если поставщик удостоверений использует учетные записи, существующие на сервере LDAP, учетные записи пользователей LDAP можно использовать для входа на управляемые устройства, а более сложные способы аутентификации, предоставляемые SAML 2.0 (например, многофакторная аутентификация и единый вход), могут использоваться для входа в XClarity Administrator.
- Единый вход позволяет пользователю, который уже выполнил вход в XClarity Administrator, автоматически входить в контроллер управления материнской платой. Единый вход включается по умолчанию, если управление сервером ThinkSystem или ThinkAgile осуществляется с помощью XClarity Administrator (кроме случаев, когда управление серверами осуществляется с помощью паролей CyberArk). Можно задать глобальную настройку для включения или выключения единого входа на всех управляемых серверах ThinkSystem и ThinkAgile. При включении единого входа для определенных серверов ThinkSystem и ThinkAgile переопределяется глобальная настройка для всех серверов ThinkSystem и ThinkAgile (см. раздел Управление серверами).Прим.При использовании для аутентификации системы управления идентификацией CyberArk функция единого входа отключается автоматически.
- При включенной управляемой аутентификации для серверов ThinkSystem SR635 и SR655:
- Микропрограмма контроллера управления материнской платой поддерживает до пяти ролей пользователей LDAP. XClarity Administrator добавляет эти роли пользователей LDAP к серверам во время управления: lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin и lxc-os-admin.
Пользователи должны быть назначены по крайней мере одной из указанных ролей пользователей LDAP для связи с серверами ThinkSystem SR635 и SR655.
- Микропрограмма контроллера управления не поддерживает пользователей LDAP с тем же именем пользователя, что и у локального пользователя сервера.
- Микропрограмма контроллера управления материнской платой поддерживает до пяти ролей пользователей LDAP. XClarity Administrator добавляет эти роли пользователей LDAP к серверам во время управления: lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin и lxc-os-admin.
Для серверов ThinkServer и System x M4 сервер аутентификации XClarity Administrator не используется. Вместо этого на устройстве создается учетная запись IPMI с префиксом
LXCA_
, за которым следует случайная строка. (Существующие локальные учетные записи пользователей IPMI не отключаются.) При прекращении управления сервером ThinkServer учетная запись пользователяLXCA_
отключается, и префиксLXCA_
заменяется префиксомDISABLED_
. Чтобы определить, управляется ли сервер ThinkServer другим экземпляром, XClarity Administrator проверяет наличие учетных записей IPMI с префиксомLXCA_
. Если вы решили перевести управляемый сервер ThinkServer на принудительное управление, все учетные записи IPMI на устройстве с префиксомLXCA_
отключаются и переименовываются. Возможно, стоит вручную удалить учетные записи IPMI, которые больше не используются.Если вы используете учетные данные, вводимые вручную, XClarity Administrator автоматически создает сохраненные учетные данные и использует их для управления устройством.
Прим.Если для устройства включена управляемая аутентификация, изменить для него сохраненные учетные данные с помощьюXClarity Administrator невозможно. - При каждом управлении устройством с использованием учетных данных, введенных вручную, для этого устройства создаются новые сохраненные учетные данные, даже если в ходе предыдущего процесса управления для этого устройства были созданы другие сохраненные учетные данные.
- При прекращении управления устройством решение XClarity Administrator не удаляет сохраненные учетные данные, которые были автоматически созданы для этого устройства в ходе процесса управления.
- Если управляемая аутентификация включена, для управления устройствами можно использовать учетные данные, вводимые вручную, или сохраненные учетные данные (см. разделы Управление учетными записями пользователей, Управление сохраненными учетными данными).
Учетная запись для восстановления
Если задан пароль восстановления, XClarity Administrator отключает локальную учетную запись пользователя CMM или контроллера управления и создает на устройстве новую учетную запись пользователя для восстановления (RECOVERY_ID), предназначенную для аутентификации в будущем. Если происходит сбой сервера управления, можно использовать учетную запись RECOVERY_ID для входа в систему устройства, чтобы предпринять действия по восстановлению функций управления учетными записями на устройстве, пока узел управления не будет восстановлен или заменен.
Если вы прекращаете управление устройством, у которого есть учетная запись пользователя RECOVERY_ID, все локальные учетные записи пользователей включаются, а учетная запись RECOVERY_ID удаляется.
- Если вы изменяете отключенные локальные учетные записи пользователей (например, изменяете пароль), эти изменения не влияют на учетную запись RECOVERY_ID. В режиме управляемой аутентификации учетная запись RECOVERY_ID — единственная, которая активируется и работает.
- Учетная запись RECOVERY_ID используется только в чрезвычайных ситуациях, например при сбое на сервере управления или если проблема с сетью не позволяет устройству обмениваться данными с XClarity Administrator для аутентификации пользователей.
- Пароль RECOVERY_ID задается при обнаружении устройства. Обязательно запишите пароль для последующего использования.
- Устройства RackSwitch поддерживают сохраненные учетные данные для аутентификации. Учетные данные пользователей XClarity Administrator не поддерживаются.
Сведения о восстановлении управления устройством см. в разделах Восстановление управления CMM после сбоя сервера управления, Восстановление управления стоечным или башенным сервером после сбоя сервера управления.