การจัดการเซิร์ฟเวอร์การตรวจสอบความถูกต้อง
ตามค่าเริ่มต้น Lenovo XClarity Administrator ใช้เซิร์ฟเวอร์ Lightweight Directory Access Protocol (LDAP) ภายในเพื่อตรวจสอบความถูกต้องข้อมูลประจำตัวของผู้ใช้
เกี่ยวกับงานนี้
เซิร์ฟเวอร์ตรวจสอบความถูกต้องที่รองรับ
- เซิร์ฟเวอร์ตรวจสอบความถูกต้องภายใน ตามค่าเริ่มต้น XClarity Administrator ได้รับการกำหนดค่าให้ใช้เซิร์ฟเวอร์ Lightweight Directory Access Protocol (LDAP) ที่อยู่ในเซิร์ฟเวอร์การจัดการ
- เซิร์ฟเวอร์ LDAP ภายนอก ปัจจุบัน รองรับเฉพาะ Microsoft Active Directory และ OpenLDAP เท่านั้น เซิร์ฟเวอร์เครื่องนี้จะต้องอยู่บนเซิร์ฟเวอร์ Microsoft Windows ภายนอกที่เชื่อมต่อกับเครือข่ายการจัดการ
เมื่อใช้เซิร์ฟเวอร์ LDAP ภายนอก จะต้องปิดใช้งานเซิร์ฟเวอร์ตรวจสอบความถูกต้องภายใน
ข้อควรสนใจเพื่อกำหนดค่าวิธีการผูก Active Directory โดยใช้ข้อมูลประจำตัว ตัวควบคุมการจัดการแผงวงจรสำหรับเซิร์ฟเวอร์ที่ได้รับการจัดการแต่ละเครื่องจะต้องใช้เฟิร์มแวร์ตั้งแต่เดือนกันยายน 2016 ขึ้นไป ระบบการจัดการข้อมูลประจำตัวภายนอก ขณะนี้ ระบบรองรับเฉพาะ CyberArk เท่านั้น
หากบัญชีผู้ใช้สำหรับเซิร์ฟเวอร์ ThinkSystem หรือ ThinkAgile ถูกออนบอร์ดลงบน CyberArk คุณสามารถเลือกที่จะให้ XClarity Administrator เรียกใช้ข้อมูลประจำตัวจาก CyberArk เพื่อเข้าสู่ระบบเซิร์ฟเวอร์เมื่อตั้งค่าเซิร์ฟเวอร์สำหรับการจัดการครั้งแรก (ด้วยการตรวจสอบความถูกต้องที่ได้รับการจัดการหรือแบบภายในเครื่อง) ก่อนที่จะสามารถดึงข้อมูลประจำตัวจาก CyberArk ได้ ต้องกำหนดพาธ CyberArk ใน XClarity Administrator และต้องสร้างความน่าเชื่อถือร่วมระหว่าง CyberArk และ XClarity Administrator โดยใช้การตรวจสอบความถูกต้องร่วมของ TLS ผ่านใบรับรองไคลเอ็นต์
- SAML ภายนอก ผู้ให้บริการข้อมูลประจำตัว ขณะนี้รองรับ Microsoft Active Directory Federation Services (AD FS) แล้ว นอกจากการป้อนชื่อผู้ใช้และรหัสผ่านแล้ว ยังสามารถตั้งค่าการตรวจสอบความถูกต้องแบบหลายปัจจัยได้ เพื่อเปิดใช้งานการรักษาความปลอดภัยเพิ่มเติม โดยต้องใช้รหัส PIN การอ่านสมาร์ทการ์ด และใบรับรองไคลเอ็นต์
เมื่อใช้ SAML ผู้ให้บริการข้อมูลประจำตัว เซิร์ฟเวอร์ตรวจสอบความถูกต้องภายในไม่ถูกปิดใช้งาน จำเป็นต้องใช้บัญชีผู้ใช้ภายในระบบเพื่อเข้าสู่ระบบตัวเครื่องและเซิร์ฟเวอร์ที่ได้รับการจัดการโดยตรง (เว้นแต่จะมีการเปิดใช้งาน Encapsulation บนอุปกรณ์) สำหรับการตรวจสอบความถูกต้องของ PowerShell และ REST API และสำหรับการกู้คืน หากไม่มีการตรวจสอบความถูกต้องภายนอก
คุณสามารถเลือกใช้ได้ทั้งเซิร์ฟเวอร์ LDAP ภายนอกและ ผู้ให้บริการข้อมูลประจำตัว ภายนอก หากเปิดใช้งานทั้งคู่ เซิร์ฟเวอร์ LDAP ภายนอกจะใช้ในการเข้าสู่ระบบอุปกรณ์ที่ได้รับการจัดการโดยตรง และ ผู้ให้บริการข้อมูลประจำตัว จะใช้ในการเข้าสู่ระบบเซิร์ฟเวอร์การจัดการ
การตรวจสอบความถูกต้องอุปกรณ์
เมื่อใช้การตรวจสอบความถูกต้องภายในเครื่องสำหรับเซิร์ฟเวอร์ในแร็ค ตัวเครื่อง Lenovo และสวิตช์ในแร็คของ Lenovo XClarity Administrator จะใช้ข้อมูลประจำตัวที่จัดเก็บไว้เพื่อตรวจสอบความถูกต้องกับอุปกรณ์ ข้อมูลประจำตัวที่จัดเก็บไว้อาจเป็นบัญชีผู้ใช้ที่ใช้งานบนอุปกรณ์หรือบัญชีผู้ใช้ใน Active Directory
คุณต้องสร้างข้อมูลประจำตัวที่จัดเก็บไว้ใน XClarity Administrator ที่ตรงกับบัญชีผู้ใช้ที่ใช้งานอยู่บนอุปกรณ์ หรือบัญชีผู้ใช้ในเซิร์ฟเวอร์ Active Directory ก่อนจัดการอุปกรณ์โดยใช้การตรวจสอบความถูกต้องภายในเครื่อง (โปรดดู การจัดการข้อมูลประจำตัวที่จัดเก็บไว้)
หมายเหตุ- เมื่อเปิดใช้งานการตรวจสอบความถูกต้องภายในสำหรับอุปกรณ์ คุณจะไม่สามารถแก้ไขข้อมูลประจำตัวที่จัดเก็บไว้สำหรับอุปกรณ์นั้นโดยใช้ XClarity Administrator
- อุปกรณ์ RackSwitch รองรับเฉพาะข้อมูลประจำตัวที่จัดเก็บไว้สำหรับการตรวจสอบความถูกต้อง ทั้งนี้ ข้อมูลประจำตัวผู้ใช้ของ XClarity Administrator จะไม่ได้รับการสนับสนุน
การใช้การตรวจสอบความถูกต้องที่ได้รับการจัดการ ช่วยให้คุณสามารถจัดการ และตรวจสอบอุปกรณ์หลายเครื่องได้โดยใช้ข้อมูลประจำตัวในเซิร์ฟเวอร์ตรวจสอบความถูกต้อง XClarity Administrator แทนข้อมูลประจำตัวภายในเครื่อง เมื่อมีการใช้การตรวจสอบความถูกต้องที่ได้รับการจัดการสำหรับอุปกรณ์ (นอกเหนือจากเซิร์ฟเวอร์ ThinkServer, System x M4, และสวิตช์) XClarity Administrator จะกำหนดค่าอุปกรณ์และส่วนประกอบที่ติดตั้งเพื่อใช้เซิร์ฟเวอร์ตรวจสอบความถูกต้องของ XClarity Administrator สำหรับการจัดการส่วนกลาง
- เมื่อเปิดใช้งานการตรวจสอบความถูกต้องที่ได้รับการจัดการ คุณจะสามารถจัดการอุปกรณ์โดยใช้ข้อมูลประจำตัวที่ป้อนเองหรือข้อมูลประจำตัวที่จัดเก็บไว้ก็ได้ (โปรดดู การจัดการบัญชีผู้ใช้ และ การจัดการข้อมูลประจำตัวที่จัดเก็บไว้)
ข้อมูลประจำตัวที่จัดเก็บไว้จะถูกใช้จนกว่า XClarity Administrator จะกำหนดค่าการตั้งค่า LDAP บนอุปกรณ์ หลังจากนั้น การเปลี่ยนแปลงใดๆ กับข้อมูลประจำตัวที่จัดเก็บไว้จะไม่ส่งผลต่อการจัดการหรือการตรวจสอบของอุปกรณ์นั้น
- หากมีการใช้เซิร์ฟเวอร์ LDAP ภายในหรือภายนอกเป็นเซิร์ฟเวอร์ตรวจสอบความถูกต้องของ XClarity Administrator จะใช้บัญชีผู้ใช้ที่กำหนดไว้ในเซิร์ฟเวอร์ตรวจสอบความถูกต้องในการเข้าสู่ระบบ XClarity Administrator, CMM และตัวควบคุมการจัดการแผงวงจรในโดเมน XClarity Administrator บัญชีผู้ใช้ CMM และตัวควบคุมการจัดการภายในจะถูกปิดใช้งานหมายเหตุสำหรับเซิร์ฟเวอร์ Think Edge SE450, SE350 V2 และ SE360 V2 บัญชีผู้ใช้ภายในเริ่มต้นจะยังคงเปิดใช้งานอยู่ และบัญชีภายในอื่นๆ ทั้งหมดจะถูกปิดใช้งาน
- หากมีการใช้ผู้ให้บริการข้อมูลประจำตัว SAML 2.0 เป็นเซิร์ฟเวอร์ตรวจสอบความถูกต้องของ XClarity Administrator บัญชี SAML จะไม่สามารถเข้าถึงอุปกรณ์ที่ได้รับการจัดการ อย่างไรก็ตาม เมื่อใช้ทั้งผู้ให้บริการข้อมูลประจำตัว SAML และเซิร์ฟเวอร์ LDAP ร่วมกัน หากผู้ให้บริการข้อมูลประจำตัวใช้บัญชีที่มีอยู่ในเซิร์ฟเวอร์ LDAP บัญชีผู้ใช้ LDAP สามารถใช้ในการเข้าสู่ระบบอุปกรณ์ที่ได้รับการจัดการ ขณะที่วิธีการตรวจสอบความถูกต้องขั้นสูงเพิ่มเติมที่มีให้โดย SAML 2.0 (เช่น การตรวจสอบความถูกต้องแบบหลายปัจจัยและการลงชื่อเข้าใช้ครั้งเดียว) สามารถใช้ในการเข้าสู่ระบบ XClarity Administrator
- การเข้าสู่ระบบแบบครั้งเดียวอนุญาตให้ผู้ใช้ที่เข้าสู่ระบบ XClarity Administrator อยู่แล้ว เข้าสู่ระบบตัวควบคุมการจัดการแผงวงจรโดยอัตโนมัติ การเข้าสู่ระบบแบบครั้งเดียวจะเปิดใช้งานตามค่าเริ่มต้นเมื่อเซิร์ฟเวอร์ ThinkSystem หรือ ThinkAgile ถูกนำเข้าสู่การจัดการโดย XClarity Administrator (เว้นแต่เซิร์ฟเวอร์จะจัดการด้วยรหัสผ่าน CyberArk) คุณสามารถกําหนดค่าการตั้งค่าส่วนกลางเพื่อเปิดใช้งานหรือปิดใช้งานการเข้าสู่ระบบแบบครั้งเดียวกับเซิร์ฟเวอร์ ThinkSystem และ ThinkAgile ที่มีการจัดการทั้งหมดได้ การเปิดใช้งานการเข้าสู่ระบบแบบครั้งเดียวสำหรับเซิร์ฟเวอร์ ThinkSystem และ ThinkAgile บางเครื่องจะแทนที่การตั้งค่าส่วนกลางของเซิร์ฟเวอร์ ThinkSystem และ ThinkAgile ทั้งหมด (ดู การจัดการเซิร์ฟเวอร์)หมายเหตุการเข้าสู่ระบบแบบครั้งเดียวจะถูกปิดใช้งานโดยอัตโนมัติเมื่อใช้ระบบการจัดการข้อมูลประจำตัวของ CyberArk สำหรับการตรวจสอบความถูกต้อง
- เมื่อเปิดใช้งานการตรวจสอบความถูกต้องที่ได้รับการจัดการสำหรับเซิร์ฟเวอร์ ThinkSystem SR635 และ SR655:
- เฟิร์มแวร์ของตัวควบคุมการจัดการแผงวงจรรองรับบทบาทผู้ใช้ LDAP สูงสุดห้าบทบาท XClarity Administrator เพิ่มบทบาทผู้ใช้ LDAP เหล่านี้ไปยังเซิร์ฟเวอร์ระหว่างการจัดการ: lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin และ lxc-os-admin
ผู้ใช้ต้องได้รับการกำหนดบทบาทผู้ใช้ LDAP ที่ระบุอย่างน้อยหนึ่งบทบาทเพื่อสื่อสารกับเซิร์ฟเวอร์ ThinkSystem SR635 และ SR655
- เฟิร์มแวร์ของตัวควบคุมการจัดการไม่รองรับผู้ใช้ LDAP ที่มีชื่อผู้ใช้เดียวกันกับผู้ใช้ภายในของเซิร์ฟเวอร์
- เฟิร์มแวร์ของตัวควบคุมการจัดการแผงวงจรรองรับบทบาทผู้ใช้ LDAP สูงสุดห้าบทบาท XClarity Administrator เพิ่มบทบาทผู้ใช้ LDAP เหล่านี้ไปยังเซิร์ฟเวอร์ระหว่างการจัดการ: lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin และ lxc-os-admin
สำหรับเซิร์ฟเวอร์ ThinkServer และ System x M4 จะไม่ใช้เซิร์ฟเวอร์ตรวจสอบความถูกต้องของ XClarity Administrator แต่บัญชี IPMI จะถูกสร้างขึ้นบนอุปกรณ์ที่มีคำนำหน้า
LXCA_
ตามด้วยสตริงแบบสุ่ม (บัญชีผู้ใช้ IPMI ในระบบที่มีอยู่ไม่ถูกปิดใช้งาน) เมื่อคุณถอนการจัดการเซิร์ฟเวอร์ ThinkServer ระบบจะปิดการใช้งานบัญชีผู้ใช้LXCA_
และคำนำหน้าLXCA_
จะถูกแทนที่ด้วยDISABLED_
ในการระบุว่าเซิร์ฟเวอร์ ThinkServer ได้รับการจัดการโดยอินสแตนซ์อื่นหรือไม่ XClarity Administrator จะตรวจหาบัญชี IPMI ที่มีคำนำหน้าLXCA_
หากคุณเลือกบังคับการจัดการของเซิร์ฟเวอร์ ThinkServer ที่ได้รับการจัดการ ระบบจะปิดการใช้งานและเปลี่ยนชื่อบัญชี IPMI ทั้งหมดบนอุปกรณ์ที่มีคำนำหน้าLXCA_
พิจารณาล้างข้อมูลบัญชี IPMI ที่ไม่ได้ใช้งานอีกต่อไปด้วยตนเองหากคุณใช้ข้อมูลประจำตัวที่ป้อนเอง XClarity Administrator จะสร้างข้อมูลประจำตัวสำหรับที่จัดเก็บไว้โดยอัตโนมัติ และใช้ข้อมูลประจำตัวที่จัดเก็บไว้นั้นเพื่อจัดการอุปกรณ์
หมายเหตุเมื่อเปิดใช้งานการตรวจสอบความถูกต้องที่ได้รับการจัดการสำหรับอุปกรณ์ คุณจะไม่สามารถแก้ไขข้อมูลประจำตัวที่จัดเก็บไว้สำหรับอุปกรณ์นั้นโดยใช้XClarity Administrator - ทุกครั้งที่คุณจัดการอุปกรณ์โดยใช้ข้อมูลประจำตัวที่ป้อนด้วยตนเอง ข้อมูลประจำตัวสำหรับจัดเก็บใหม่จะถูกสร้างขึ้นสำหรับอุปกรณ์นั้น แม้ว่าได้สร้างข้อมูลประจำตัวสำหรับจัดเก็บสำหรับอุปกรณ์นั้นแล้วระหว่างกระบวนการจัดการก่อนหน้า
- เมื่อคุณถอนการจัดการอุปกรณ์ XClarity Administrator จะไม่ลบข้อมูลประจำตัวที่จัดเก็บไว้ซึ่งถูกสร้างขึ้นโดยอัตโนมัติสำหรับอุปกรณ์นั้นในระหว่างกระบวนการจัดการ
- เมื่อเปิดใช้งานการตรวจสอบความถูกต้องที่ได้รับการจัดการ คุณจะสามารถจัดการอุปกรณ์โดยใช้ข้อมูลประจำตัวที่ป้อนเองหรือข้อมูลประจำตัวที่จัดเก็บไว้ก็ได้ (โปรดดู การจัดการบัญชีผู้ใช้ และ การจัดการข้อมูลประจำตัวที่จัดเก็บไว้)
บัญชีการกู้คืน
หากคุณระบุรหัสผ่านในการกู้คืน XClarity Administrator จะปิดการใช้งานบัญชีผู้ใช้ CMM ภายในหรือบัญชีผู้ใช้ตัวควบคุมการจัดการ และสร้างบัญชีผู้ใช้ในการกู้คืนใหม่ (RECOVERY_ID) บนอุปกรณ์สำหรับการตรวจสอบความถูกต้องในอนาคต หากเซิร์ฟเวอร์การจัดการล้มเหลว คุณสามารถใช้บัญชี RECOVERY_ID ในการเข้าสู่ระบบอุปกรณ์สำหรับดำเนินการกู้คืนเพื่อคืนค่าฟังก์ชันการจัดการบัญชีบนอุปกรณ์ได้ จนกว่าโหนดการจัดการจะได้รับการจัดการหรือแทนที่
หากคุณถอนการจัดการอุปกรณ์ที่มีบัญชีผู้ใช้ RECOVERY_ID ระบบจะเปิดใช้งานบัญชีผู้ใช้ภายในทั้งหมด และบัญชี RECOVERY_ID จะถูกลบ
- หากคุณเปลี่ยนบัญชีผู้ใช้ภายในที่ปิดใช้งานอยู่ (เช่น เปลี่ยนรหัสผ่าน) การเปลี่ยนแปลงเหล่านั้นจะไม่มีผลต่อบัญชี RECOVERY_ID ในโหมดการตรวจสอบความถูกต้องที่ได้รับการจัดการ บัญชี RECOVERY_ID เป็นเพียงบัญชีผู้ใช้เดียวที่เปิดใช้งานและทำงานได้
- ใช้บัญชี RECOVERY_ID เฉพาะในกรณีฉุกเฉินเท่านั้น ตัวอย่างเช่น หากเซิร์ฟเวอร์การจัดการล้มเหลว หรือหากปัญหาด้านเครือข่ายป้องกันไม่ให้อุปกรณ์สื่อสารกับ XClarity Administrator เพื่อตรวจสอบความถูกต้องของผู้ใช้
- มีการระบุรหัสผ่าน RECOVERY_ID เมื่อคุณค้นหาอุปกรณ์ ตรวจสอบว่าคุณบันทึกรหัสผ่านสำหรับการใช้งานในภายหลัง
- อุปกรณ์ RackSwitch รองรับเฉพาะข้อมูลประจำตัวที่จัดเก็บไว้สำหรับการตรวจสอบความถูกต้อง ทั้งนี้ ข้อมูลประจำตัวผู้ใช้ของ XClarity Administrator จะไม่ได้รับการสนับสนุน
สำหรับข้อมูลเกี่ยวกับการกู้คืนการจัดการอุปกรณ์ โปรดดู การกู้คืนการจัดการด้วย CMM หลังจากเซิร์ฟเวอร์การจัดการล้มเหลว และ การกู้คืนการจัดการเซิร์ฟเวอร์ในแร็คหรือเซิร์ฟเวอร์แบบทาวเวอร์หลังจากเซิร์ฟเวอร์การจัดการล้มเหลว