Перейти к основному содержимому

Настройка внешнего сервера аутентификации LDAP

Можно использовать внешний сервер аутентификации LDAP вместо локального сервера аутентификации Lenovo XClarity Administrator на узле управления.

Перед началом работы

Перед настройкой внешнего сервера аутентификации должна быть завершена начальная настройка XClarity Administrator.

Поддерживаются следующие внешние серверы аутентификации:

  • OpenLDAP

  • Microsoft Active Directory. Он должен находиться на внешнем сервере Microsoft Windows Server, подключенном к сети управления, сети данных или к обеим сетям.

Убедитесь, что все порты, которые требуются внешнему серверу аутентификации, открыты в сети и брандмауэрах. Дополнительные сведения о требованиях к портам см. в разделе Доступность портов.

Необходимо создать или переименовать группы ролей на локальном сервере аутентификации, чтобы они соответствовали группам, определенным на внешнем сервере аутентификации.

Убедитесь, что на локальном сервере аутентификации есть один или несколько пользователей с правами lxc-recovery. Можно использовать эту локальную учетную запись пользователя для непосредственной аутентификации на XClarity Administrator, если возникает ошибка связи с внешним сервером LDAP.

Прим.
Если в XClarity Administrator настроено использование внешнего сервера аутентификации, страница «Управление пользователями» в веб-интерфейсе XClarity Administrator отключается.
Внимание
В случае Active Directory, чтобы настроить метод привязки Active Directory для использования учетных данных для входа, на контроллерах управления материнскими платами для всех управляемых серверов должна выполняться микропрограмма от сентября 2016 г. или новее.

XClarity Administrator выполняет проверку подключения каждые 5 минут, чтобы поддерживать связь с настроенными внешними серверами LDAP. Во время этой проверки подключения в средах с несколькими серверами LDAP может отмечаться высокая загруженность ЦП. Для обеспечения наилучшей производительности следите, чтобы большинство или все серверы LDAP в домене были доступны, или задайте способ выбора сервера аутентификации Использовать преднастроенные серверы и укажите только известные, доступные серверы LDAP.

Процедура

Чтобы настроить XClarity Administrator для использования внешнего сервера аутентификации, выполните следующие действия.

  1. В качестве метода аутентификации пользователей задайте Microsoft Active Directory или OpenLDAP.

    Если используется небезопасная аутентификация, дополнительная настройка не требуется. Контроллеры домена Windows Active Directory или OpenLDAP используют небезопасную аутентификацию LDAP по умолчанию.

    Если используется безопасная аутентификация LDAP, необходимо настроить контроллеры домена так, чтобы была разрешена безопасная аутентификация LDAP. Дополнительные сведения о настройке безопасной аутентификации LDAP в Active Directory см. в разделе Статья о сертификате LDAP over SSL (LDAPS) на веб-сайте Microsoft TechNet.

    Чтобы проверить, настроено ли для контроллеров домена Active Directory использование безопасной аутентификации LDAP, выполните следующие действия.
    • Найдите событие LDAP через SSL теперь доступен в окне средства просмотра событий контроллеров домена.
    • Используйте инструмент Windows ldp.exe для тестирования безопасного подключения LDAP к контроллерам домена.
  2. Импортируйте сертификат сервера Active Directory или OpenLDAP либо корневой сертификат центра сертификации, подписавшего сертификат сервера.
    1. В строке меню XClarity Administrator нажмите Администрирование > Безопасность.
    2. Нажмите Доверенные сертификаты в разделе «Управление сертификатами».
    3. Нажмите значок Создать (Значок «Создать»), чтобы добавить сертификат.
    4. Перейдите к файлу или вставьте текст сертификата в формате PEM.
    5. Нажмите Создать.
  3. Настройте клиент LDAP XClarity Administrator:
    1. В строке меню XClarity Administrator выберите Администрирование > Безопасность.
    2. Нажмите Клиент LDAP в разделе «Пользователи и группы», чтоб открыть диалоговое окно Параметры клиента LDAP.

      Страница «Параметры клиента LDAP».
    3. Заполните диалоговое окно согласно следующим критериям.
      1. Выберите один из следующих методов аутентификации пользователей.
        • Разрешить вход из учетной записи локального пользователя. Используется локальная аутентификация. Если выбран этот параметр, все учетные записи пользователей существуют на локальном сервере аутентификации на узле управления.
        • Разрешить вход из учетной записи пользователя LDAP. Аутентификация выполняется внешним сервером LDAP. Этот метод позволяет осуществлять удаленное управление учетными записями пользователей. Когда выбран этот параметр, все учетные записи пользователей существуют удаленно на внешнем сервере LDAP.
        • Сначала разрешить вход локальных пользователей, затем пользователей LDAP. Локальный сервер аутентификации выполняет аутентификацию первым. При неудаче аутентификацию выполняет внешний сервер LDAP.
        • Сначала разрешить вход пользователей LDAP, затем локальных пользователей. Внешний сервер LDAP выполняет аутентификацию первым. При неудаче аутентификацию выполняет локальный сервер аутентификации.
      2. Включение или отключение защищенного LDAP:
        • Включить защищенный LDAP. XClarity Administrator использует протокол LDAPS для безопасного подключения к внешнему серверу аутентификации. Если выбран этот параметр, необходимо также настроить доверенные сертификаты, чтобы обеспечить поддержку защищенного LDAP.
        • Отключить защищенный LDAP. XClarity Administrator использует незащищенный протокол для подключения к внешнему серверу аутентификации. При выборе этого параметра оборудование может быть более уязвимым к атакам.
      3. Выберите один из следующих методов выбора сервера.

        • Использовать преднастроенные серверы. XClarity Administrator использует указанные IP-адреса и порты, чтобы обнаружить внешний сервер аутентификации.

          Если выбран этот параметр, укажите IP-адреса и порты до четырех предварительно настроенных серверов. Клиент LDAP пытается выполнить аутентификацию с использованием адреса первого сервера. Если выполнить аутентификацию не удается, клиент LDAP пытается выполнить аутентификацию с использованием IP-адреса следующего сервера.

          Если номер порта для записи не задан явным образом как 3268 или 3269, считается, что запись определяет контроллер домена.

          Если номер порта задан как 3268 или 3269, считается, что запись определяет глобальный каталог. Клиент LDAP пытается выполнить аутентификацию с помощью контроллера домена для первого настроенного IP-адреса сервера. В случае неудачи клиент LDAP пытается выполнить аутентификацию с помощью контроллера домена для следующего IP-адреса сервера.

          Важное замечание
          Необходимо указать по крайней мере один контроллер домена, даже если указан глобальный каталог. Если указан только глобальный каталог, операция кажется успешной, но такая конфигурация не является допустимой.

          Если в качестве криптографического режима задан NIST-800-131A, XClarity Administrator, возможно, не сможет подключиться к внешнему серверу LDAP с использованием защищенного порта (например, с использованием LDAPS через порт по умолчанию 636), если сервер LDAP не может установить подключение TLS (Transport Layer Security) версии 1.2 с клиентом LDAP в XClarity Administrator.

        • Использовать DNS для поиска серверов LDAP. XClarity Administrator использует указанное доменное имя или имя леса для динамического обнаружения внешнего сервера аутентификации. Доменное имя и имя леса используются для получения списка контроллеров домена, а имя леса также используется для получения списка серверов глобального каталога.

          Внимание
          При использовании DNS для поиска серверов LDAP убедитесь, что учетная запись пользователя, которая будет использоваться для аутентификации на внешнем сервере аутентификации, размещается на указанных контроллерах домена. Если учетная запись пользователя размещается на дочернем контроллере домена, включите дочерний контроллер домена в список запросов на обслуживание.

      4. Выберите один из следующих методов привязки.

        • Настроенные учетные данные. Используйте этот метод привязки, чтобы использовать имя и пароль клиента для привязки XClarity Administrator к внешнему серверу аутентификации. При сбое привязки процесс аутентификации также завершается сбоем.

          Имя клиента может быть любым, которое поддерживается сервером LDAP, включая различающееся имя, AMAccountName, имя NetBIOS или UserPrincipalName. Имя клиента должно быть учетной записью пользователя в домене, имеющей по крайней мере разрешения только для чтения. Например:
          cn=username,cn=users,dc=example,dc=com
          domain\username
          username@domain.com
          username

          Внимание
          Если вы меняете пароль клиента на внешнем сервере аутентификации, обязательно обновите пароль в XClarity Administrator. Дополнительные сведения см. в разделе Не удается войти в Lenovo XClarity Administrator.

        • Учетные данные для входа. Используйте этот метод привязки, чтобы использовать имя пользователя и пароль Active Directory или OpenLDAP для привязки XClarity Administrator к внешнему серверу аутентификации.

          Указанные идентификатор пользователя и пароль используются только для проверки подключения к серверу аутентификации. При успешном выполнении проверки параметры клиента LDAP сохраняются, а указанные для проверки учетные данные входа не сохраняются. Все будущие привязки будут использовать имя пользователя и пароль, которые вы указали для входа в XClarity Administrator.

          Прим.

          • Вам необходимо войти в XClarity Administrator, используя полный идентификатор пользователя (например, administrator@domain.com или DOMAIN\admin).

          • Для метода привязки необходимо использовать полное тестовое имя клиента.

          Внимание
          Чтобы настроить метод привязки для использования учетных данных для входа, на контроллерах управления для всех управляемых серверов должна быть микропрограмма от сентября 2016 г. или новее.
      5. В поле Различающееся имя корня рекомендуется не указывать различающееся имя корня, особенно для сред с несколькими доменами. Если это поле оставлено пустым, XClarity Administrator отправляет на сервер внешней аутентификации запрос контекстов именования.

        Если вы используете DNS для обнаружения внешнего сервера аутентификации или если указано несколько серверов (например, dc=example,dc=com), можно указать элемент верхнего уровня в дереве каталога LDAP. В этом случае поиски начинаются с указанного различающегося имя корня в качестве основания поиска.

      6. Задайте атрибут, который следует использовать для поиска имени пользователя.

        Если в качестве метода привязки задано значение Настроенные учетные данные, за первоначальной привязкой к серверу LDAP следует поисковый запрос, извлекающий конкретную информацию о пользователе, включая различающееся имя пользователя, разрешения на вход и принадлежность к группе. В поисковом запросе необходимо указать имя атрибута, представляющего идентификаторы пользователей на этом сервере. Имя атрибута настраивается в этом поле. Если поле оставлено пустым, значение по умолчанию — cn.

      7. Укажите имя атрибута, который используется для определения групп, к которым принадлежит пользователь. Если это поле оставлено пустым, имя атрибута в фильтре по умолчанию равно memberOf.

      8. Укажите имя атрибута, который используется для определения имени группы, настроенной сервером LDAP. Если поле оставлено пустым, значение по умолчанию — uid.

    4. Нажмите Применить.

      XClarity Administrator пытается проверить конфигурацию для обнаружения распространенных ошибок. Если проверка завершается ошибкой, отображаются сообщения об ошибках, которые указывают источник ошибок. Если проверка выполняется успешно и успешно устанавливается подключение к указанным серверам, аутентификация пользователей может все завершиться ошибкой в следующих случаях:

      • Локальный пользователь с правами lxc-recovery не существует.

      • Неправильное различающееся имя корня.

      • Пользователь не является членом по крайней мере одной группы на внешнем сервере аутентификации, которая соответствует имени группы ролей на сервере аутентификации XClarity Administrator. XClarity Administratorне может определить, правильно ли различающееся имя корня; однако он может выявить, является ли пользователь членом по крайней мере одной группы. Если пользователь не является членом по крайней мере одной группы, отображается сообщение об ошибке, когда пользователь пытается войти в XClarity Administrator. Дополнительные сведения об устранении неполадок с внешними серверами аутентификации см. в разделе Неполадки подключения.

  4. Создайте учетную запись внешнего пользователя, который может получить доступ к XClarity Administrator:
    1. На сервере внешней аутентификации создайте учетную запись пользователя. Инструкции см. в документации по Active Directory или OpenLDAP.
    2. Создайте глобальную группу Active Directory или OpenLDAP с именем заранее определенной уполномоченной группы. Группа должна существовать в контексте различающегося имени корня, который определен в клиенте LDAP.
    3. Добавьте пользователя Active Directory или OpenLDAP в качестве члена группы безопасности, созданной ранее.
    4. Войдите в XClarity Administrator, используя имя пользователя Active Directory или OpenLDAP.
    5. Необязательно: определите и создайте дополнительные группы. Вы можете разрешить эти группы и назначить им роли на странице Пользователи и группы.
    6. Если включен защищенный LDAP, импортируйте доверенные сертификаты на внешний сервер LDAP (см. раздел Установка настраиваемого сертификата сервера, подписанного сторонним центром).

Результаты

XClarity Administrator проверяет подключение к серверу LDAP. Если проверка проходит успешно, аутентификация пользователей выполняется на внешнем сервере аутентификации при входе XClarity Administrator, CMM и контроллер управления.

Если проверка завершается ошибкой, режим проверки подлинности автоматически изменяется обратно на Разрешить вход из учетной записи локального пользователя и появляется сообщение, которое объясняет причину сбоя.

Прим.
Правильные группы ролей должны быть настроены в XClarity Administrator, и учетные записи пользователей должны быть определены как член одной из этих групп ролей на сервере Active Directory. В противном случае аутентификация пользователя завершается ошибкой.