Аутентификация

При использовании внешнего сервера LDAP локальный сервер аутентификации отключается.

Внешняя система управления идентификацией. В настоящее время поддерживается только CyberArk.

Если учетные записи пользователей для сервера ThinkSystem или ThinkAgile регистрируются в CyberArk, можно настроить XClarity Administrator для извлечения учетных данных из CyberArk для входа на сервер при первоначальной настройке серверов для управления (с управляемой или локальной аутентификацией). Извлечь учетные данные из CyberArk можно только после определения путей CyberArk в XClarity Administrator и установки взаимного доверия между CyberArk и XClarity Administrator с использованием взаимной аутентификации в TLS и клиентских сертификатов.

При использовании SAML поставщик удостоверений сервер локальной аутентификации не отключается. Для прямого входа в систему управляемой рамы или сервера (если на этом устройстве не включена Encapsulation) и для аутентификации на основе PowerShell и REST API, а также для восстановления, если внешняя аутентификация недоступна, требуются локальные учетные записи пользователей.

Можно использовать и внешний сервер LDAP, и внешний поставщик удостоверений. Если включены оба сервера, внешний сервер LDAP используется для прямого входа в систему управляемых устройств, а поставщик удостоверений — для входа на сервер управления.

Если для стоечных серверов, рамы Lenovo и стоечных коммутаторов Lenovo применяется локальная аутентификация, XClarity Administrator использует сохраненные учетные данные для аутентификации на устройстве. Сохраненные учетные данные могут быть активной учетной записью пользователя на устройстве или учетной записью пользователя на сервере Active Directory.

В XClarity Administrator необходимо создать сохраненные учетные данные, которые соответствуют активной учетной записи пользователя на устройстве или учетной записи пользователя на сервере Active Directory, прежде чем приступать к управлению устройством с помощью локальной аутентификации (см. раздел Управление сохраненными учетными данными).

Управляемая аутентификация позволяет управлять несколькими устройствами и отслеживать их с помощью учетных данных на сервере аутентификации XClarity Administrator, а не локальных учетных данных. Если для устройства используется управляемая аутентификация (не коммутаторы и не серверы ThinkServer и System x M4), XClarity Administrator настраивает устройство и его установленные компоненты на использование сервера аутентификации XClarity Administrator для централизованного управления.

• Если управляемая аутентификация включена, для управления устройствами можно использовать учетные данные, вводимые вручную, или сохраненные учетные данные (см. разделы Управление учетными записями пользователей, Управление сохраненными учетными данными).

  Сохраненные учетные данные используются только до тех пор, пока XClarity Administrator не настроит параметры LDAP на устройстве. После этого все изменения в сохраненных учетных данных не оказывают влияния на управление или мониторинг устройства.

  Прим.

  Если для устройства включена управляемая аутентификация, изменить для него сохраненные учетные данные с помощью XClarity Administrator невозможно.

• Если используется локальный или внешний сервер LDAP в качестве сервера аутентификации XClarity Administrator, учетные записи пользователей, которые определены на сервере аутентификации, используются для входа в XClarity Administrator, CMM и контроллеры управления материнской платой в домене XClarity Administrator. Локальные учетные записи пользователей CMM и контроллера управления отключены.

• Если используется поставщик удостоверений SAML 2.0 в качестве сервера аутентификации XClarity Administrator, учетные записи SAML недоступны для управляемых устройств. Однако если поставщик удостоверений SAML и сервер LDAP используются вместе, и если поставщик удостоверений использует учетные записи, существующие на сервере LDAP, учетные записи пользователей LDAP можно использовать для входа на управляемые устройства, а более сложные способы аутентификации, предоставляемые SAML 2.0 (например, многофакторная аутентификация и единый вход), могут использоваться для входа в XClarity Administrator.

• Единый вход позволяет пользователю, который уже выполнил вход в XClarity Administrator, автоматически входить в контроллер управления материнской платой. Единый вход включается по умолчанию, если управление сервером ThinkSystem или ThinkAgile осуществляется с помощью XClarity Administrator (кроме случаев, когда управление серверами осуществляется с помощью паролей CyberArk). Можно задать глобальную настройку для включения или выключения единого входа на всех управляемых серверах ThinkSystem и ThinkAgile. При включении единого входа для определенных серверов ThinkSystem и ThinkAgile переопределяется глобальная настройка для всех серверов ThinkSystem и ThinkAgile (см. раздел Управление серверами).

  Прим.

  При использовании для аутентификации системы управления идентификацией CyberArk функция единого входа отключается автоматически.

• При включенной управляемой аутентификации для серверов ThinkSystem SR635 и SR655:

  • Микропрограмма контроллера управления материнской платой поддерживает до пяти ролей пользователей LDAP. XClarity Administrator добавляет эти роли пользователей LDAP к серверам во время управления: lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin и lxc-os-admin.

    Пользователи должны быть назначены по крайней мере одной из указанных ролей пользователей LDAP для связи с серверами ThinkSystem SR635 и SR655.

  • Микропрограмма контроллера управления не поддерживает пользователей LDAP с тем же именем пользователя, что и у локального пользователя сервера.

• Для серверов ThinkServer и System x M4 сервер аутентификации XClarity Administrator не используется. Вместо этого на устройстве создается учетная запись IPMI с префиксом «LXCA_», за которым следует случайная строка. (Существующие локальные учетные записи пользователей IPMI не отключаются.) При прекращении управления сервером ThinkServer учетная запись пользователя «LXCA_» отключается, и префикс «LXCA_» заменяется префиксом «DISABLED_». Чтобы определить, управляется ли сервер ThinkServer другим экземпляром, XClarity Administrator проверяет наличие учетных записей IPMI с префиксом «LXCA_». Если вы решили перевести управляемый сервер ThinkServer на принудительное управление, все учетные записи IPMI на устройстве с префиксом «LXCA_» отключаются и переименовываются. Возможно, стоит вручную удалить учетные записи IPMI, которые больше не используются.

  Если вы используете учетные данные, вводимые вручную, XClarity Administrator автоматически создает сохраненные учетные данные и использует их для управления устройством.

  Прим.

  Если для устройства включена управляемая аутентификация, изменить для него сохраненные учетные данные с помощью XClarity Administrator невозможно.

  • При каждом управлении устройством с использованием учетных данных, введенных вручную, для этого устройства создаются новые сохраненные учетные данные, даже если в ходе предыдущего процесса управления для этого устройства были созданы другие сохраненные учетные данные.

  • При прекращении управления устройством решение XClarity Administrator не удаляет сохраненные учетные данные, которые были автоматически созданы для этого устройства в ходе процесса управления.