跳到主要内容

确定 Lenovo XClarity Administrator 使用的认证方法的类型

可从“安全性”页面上的 LDAP 客户端SAML 设置选项卡确定当前使用的认证方法的类型。

关于本任务

认证服务器 是用于认证用户凭证的用户注册表。Lenovo XClarity Administrator 支持以下类型的认证服务器。
  • 本地认证服务器。默认情况下,XClarity Administrator 配置为使用管理软件中驻留的嵌入式轻型目录访问协议(LDAP)服务器。
  • 外部 LDAP 服务器。目前仅支持 Microsoft Active Directory 和 OpenLDAP。此服务器必须位于连接到管理网络的外侧 Microsoft Windows Server 上。

    当使用外部 LDAP 服务器时,将禁用本地认证服务器。

    注意
    要将 Active Directory 绑定方法配置为使用登录凭证,每个受管服务器的主板管理控制器必须运行 2016 年 9 月或更高版本的固件。
  • 外部标识管理系统。目前仅支持 CyberArk。

    如果在 CyberArk 上为 ThinkSystem 或 ThinkAgile 服务器注册了用户帐户,则可以在首次设置管理服务器时选择让 XClarity Administrator 从 CyberArk 检索凭证,从而登录服务器(使用受管或本地认证)。在从 CyberArk 检索凭证之前,必须在 XClarity Administrator 中定义 CyberArk 路径,并且必须使用 TLS 相互认证通过客户端证书在 CyberArk 和 XClarity Administrator 之间建立相互信任。

  • 外部 SAML 身份提供商。目前,支持 Microsoft Active Directory 联合身份验证服务(AD FS)。除了输入用户名和密码之外,还可设置多重认证,通过要求输入 PIN 码、读取智能卡和客户端证书而增强安全性。

    当使用 SAML 身份提供商 时,不会禁用本地认证服务器。必须使用本地用户帐户直接登录到受管机箱或服务器(除非在该设备上启用 Encapsulation)进行 PowerShell 和 REST API 认证,如果外部认证不可用,还要以此方式进行恢复。

    可决定同时使用外部 LDAP 服务器和外部 身份提供商。如果两者均启用,则应使用外部 LDAP 服务器直接登录到受管设备,并使用 身份提供商 登录到管理软件。

过程

要确定管理软件使用的认证服务器的类型,请完成以下步骤。

  1. XClarity Administrator 菜单栏中,单击管理 > 安全性
  2. 在“用户和组”部分下单击 LDAP 客户端以显示 LDAP 客户端设置对话框。
    验证已选择何种用户认证方法:
    • 允许本地用户登录。此情况使用本地认证来执行认证。选择此选项后,所有用户帐户均存在于管理节点上的本地认证服务器中。
    • 允许 LDAP 用户登录。此情况由外部 LDAP 服务器执行认证。使用此方法可对用户帐户进行远程管理。选择此选项后,所有用户帐户均存在于远程的外部 LDAP 服务器中。
    • 首先允许本地用户,然后允许 LDAP 用户。本地认证服务器首先执行认证。如果失败,则由外部 LDAP 服务器进行认证。
    • 首先允许 LDAP 用户,然后允许本地用户。外部 LDAP 服务器首先执行认证。如果失败,则由本地认证服务器执行认证。
  3. 在“用户和组”部分下单击 SAML 设置以显示“SAML 设置”页面。

    如果选择了已启用 SAML,则将使用 身份提供商