管理认证服务器

当使用外部 LDAP 服务器时，将禁用本地认证服务器。

外部标识管理系统。目前仅支持 CyberArk。

如果在 CyberArk 上为 ThinkSystem 或 ThinkAgile 服务器注册了用户帐户，则可以在首次设置管理服务器时选择让 XClarity Administrator 从 CyberArk 检索凭证，从而登录服务器（使用受管或本地认证）。在从 CyberArk 检索凭证之前，必须在 XClarity Administrator 中定义 CyberArk 路径，并且必须使用 TLS 相互认证通过客户端证书在 CyberArk 和 XClarity Administrator 之间建立相互信任。

当使用 SAML 身份提供商 时，不会禁用本地认证服务器。必须使用本地用户帐户直接登录到受管机箱或服务器（除非在该设备上启用 Encapsulation）进行 PowerShell 和 REST API 认证，如果外部认证不可用，还要以此方式进行恢复。

可决定同时使用外部 LDAP 服务器和外部 身份提供商。如果两者均启用，则应使用外部 LDAP 服务器直接登录到受管设备，并使用 身份提供商 登录到管理软件。

对机架服务器、Lenovo 机箱及 Lenovo 机架交换机使用本地认证 时，XClarity Administrator 使用存储的凭证对设备进行认证。存储的凭证 可以是设备上的活动用户帐户或 Active Directory 服务器中的用户帐户。

使用本地认证管理设备之前必须在 XClarity Administrator 中创建中存储的凭证，且凭证须匹配设备上的活动用户帐户或者 Active Directory 服务器中的用户帐户（请参阅 XClarity Administrator 在线文档中的管理存储的凭证）。

借助受管认证，可使用 XClarity Administrator 认证服务器中的凭证（而非本地凭证）来管理和监控多个设备。对设备（而不是 ThinkServer 服务器、System x M4 服务器和交换机）使用受管认证时，XClarity Administrator 将设备及其安装的组件配置为使用 XClarity Administrator 认证服务器进行集中管理。

• 启用受管认证后，可使用手动输入的凭证或存储的凭证管理设备（请参阅 XClarity Administrator 在线文档中的管理用户帐户和管理存储的凭证）。

  仅当 XClarity Administrator 在设备上配置了 LDAP 设置，才会使用存储的凭证。此后，存储的凭证发生的任何更改都不会影响该设备的管理或监控。

• 如果使用本地或外部 LDAP 服务器作为 XClarity Administrator 认证服务器，则应使用在该认证服务器中定义的用户帐户登录到 XClarity Administrator 域中的 XClarity Administrator、CMM 和主板管理控制器。而本地 CMM 和管理控制器用户帐户被禁用。
  注

  对于 Think Edge SE450、SE350 V2 和 SE360 V2 服务器，默认的本地用户帐户保持启用状态，所有其他本地帐户均被禁用。
• 如果使用 SAML 2.0 身份供应商作为 XClarity Administrator 认证服务器，则 SAML 帐户无法访问受管设备。但是，当 SAML 身份供应商与 LDAP 服务器一起使用时，如果该身份供应商使用存在于 LDAP 服务器中的 LDAP 帐户，则可使用 LDAP 用户帐户登录受管设备，而 SAML 2.0 提供的更高级认证方法（例如多重认证和单点登录）可用于登录 XClarity Administrator。
• 借助单点登录功能，已登录 XClarity Administrator 的用户将可以自动登录到主板管理控制器。默认情况下，将 ThinkSystem 或 ThinkAgile 服务器设置为受 XClarity Administrator 管理的服务器后，即可启用单点登录（使用 CyberArk 密码管理服务器的情况除外）。可以通过配置全局设置来对所有受管 ThinkSystem 和 ThinkAgile 服务器启用或禁用单点登录。对特定 ThinkSystem 和 ThinkAgile 服务器启用单点登录会覆盖适用于所有 ThinkSystem 和 ThinkAgile 服务器的全局设置（请参阅管理服务器）。
  注

  使用 CyberArk 标识管理系统进行认证时会自动禁用单点登录。
• 为 ThinkSystem SR635 和 SR655 服务器启用受管认证时：
  • 主板管理控制器固件最多支持五个 LDAP 用户角色。XClarity Administrator 在管理期间将这些 LDAP 用户角色添加到服务器中：lxc-supervisor、lxc-sysmgr、lxc-admin、lxc-fw-admin 和 lxc-os-admin。

    必须至少为用户分配一个指定的 LDAP 用户角色，用户才能与 ThinkSystem SR635 和 SR655 服务器进行通信。

  • 管理控制器固件不支持与服务器本地用户具有相同用户名的 LDAP 用户。

• 对于 ThinkServer 和 System x M4 服务器，不使用 XClarity Administrator 认证服务器。而是在设备上创建以“LXCA_”为前缀并后接随机字符串的 IPMI 帐户。（不会禁用现有的本地 IPMI 用户帐户。）终止管理 ThinkServer 服务器时，将禁用该LXCA_用户帐户，并将前缀LXCA_替换为前缀DISABLED_。为了确定 ThinkServer 服务器是否受另一实例管理，XClarity Administrator 检查是否存在以LXCA_为前缀的 IPMI 帐户。如果决定强制管理某个受管的 ThinkServer 服务器，则将禁用并重命名该设备上所有以LXCA_为前缀的 IPMI 帐户。请考虑手动清除不再使用的 IPMI 帐户。

  如果您使用手动输入的凭证，XClarity Administrator 将会自动创建存储的凭证，并使用该存储的凭证来管理设备。

  注

  如果为设备启用了受管认证，则不能使用 XClarity Administrator 编辑该设备的存储的凭证。

  • 每次使用手动输入的凭证管理设备时，将为该设备新建一个存储的凭证，即使在之前的管理过程中已为该设备创建过存储的凭证。
  • 终止管理设备时，XClarity Administrator 不会删除管理过程中自动为该设备创建的存储的凭证。