跳到主要内容

管理认证服务器

默认情况下,Lenovo XClarity Administrator 使用本地的轻型目录访问协议(LDAP)服务器认证用户凭证。

关于本任务

支持的认证服务器

认证服务器 是用于认证用户凭证的用户注册表。Lenovo XClarity Administrator 支持以下类型的认证服务器。
  • 本地认证服务器。默认情况下,XClarity Administrator 配置为使用管理软件中驻留的嵌入式轻型目录访问协议(LDAP)服务器。
  • 外部 LDAP 服务器。目前仅支持 Microsoft Active Directory 和 OpenLDAP。此服务器必须位于连接到管理网络的外侧 Microsoft Windows Server 上。

    当使用外部 LDAP 服务器时,将禁用本地认证服务器。

    注意
    要将 Active Directory 绑定方法配置为使用登录凭证,每个受管服务器的主板管理控制器必须运行 2016 年 9 月或更高版本的固件。
  • 外部标识管理系统。目前仅支持 CyberArk。

    如果在 CyberArk 上为 ThinkSystem 或 ThinkAgile 服务器注册了用户帐户,则可以在首次设置管理服务器时选择让 XClarity Administrator 从 CyberArk 检索凭证,从而登录服务器(使用受管或本地认证)。在从 CyberArk 检索凭证之前,必须在 XClarity Administrator 中定义 CyberArk 路径,并且必须使用 TLS 相互认证通过客户端证书在 CyberArk 和 XClarity Administrator 之间建立相互信任。

  • 外部 SAML 身份提供商。目前,支持 Microsoft Active Directory 联合身份验证服务(AD FS)。除了输入用户名和密码之外,还可设置多重认证,通过要求输入 PIN 码、读取智能卡和客户端证书而增强安全性。

    当使用 SAML 身份提供商 时,不会禁用本地认证服务器。必须使用本地用户帐户直接登录到受管机箱或服务器(除非在该设备上启用 Encapsulation)进行 PowerShell 和 REST API 认证,如果外部认证不可用,还要以此方式进行恢复。

    可决定同时使用外部 LDAP 服务器和外部 身份提供商。如果两者均启用,则应使用外部 LDAP 服务器直接登录到受管设备,并使用 身份提供商 登录到管理软件。

设备认证

默认情况下,设备的管理方式是使用 XClarity Administrator 受管认证登录。管理机架服务器和 Lenovo 机箱时,可选择使用本地认证或受管认证登录设备。
  • 对机架服务器、Lenovo 机箱及 Lenovo 机架交换机使用本地认证 时,XClarity Administrator 使用存储的凭证对设备进行认证。存储的凭证 可以是设备上的活动用户帐户或 Active Directory 服务器中的用户帐户。

    使用本地认证管理设备之前必须在 XClarity Administrator 中创建中存储的凭证,且凭证须匹配设备上的活动用户帐户或者 Active Directory 服务器中的用户帐户(请参阅 XClarity Administrator 在线文档中的管理存储的凭证)。

    • 如果为设备启用了本地认证,则不能使用 XClarity Administrator 编辑该设备的存储的凭证。
    • RackSwitch 设备仅支持使用存储的凭证进行认证。XClarity Administrator 用户凭证不受支持。
  • 借助受管认证,可使用 XClarity Administrator 认证服务器中的凭证(而非本地凭证)来管理和监控多个设备。对设备(而不是 ThinkServer 服务器、System x M4 服务器和交换机)使用受管认证时,XClarity Administrator 将设备及其安装的组件配置为使用 XClarity Administrator 认证服务器进行集中管理。

    • 启用受管认证后,可使用手动输入的凭证或存储的凭证管理设备(请参阅 XClarity Administrator 在线文档中的管理用户帐户管理存储的凭证)。

      仅当 XClarity Administrator 在设备上配置了 LDAP 设置,才会使用存储的凭证。此后,存储的凭证发生的任何更改都不会影响该设备的管理或监控。

    • 如果使用本地或外部 LDAP 服务器作为 XClarity Administrator 认证服务器,则应使用在该认证服务器中定义的用户帐户登录到 XClarity Administrator 域中的 XClarity Administrator、CMM 和主板管理控制器。而本地 CMM 和管理控制器用户帐户被禁用。
      对于 Think Edge SE450、SE350 V2 和 SE360 V2 服务器,默认的本地用户帐户保持启用状态,所有其他本地帐户均被禁用。
    • 如果使用 SAML 2.0 身份供应商作为 XClarity Administrator 认证服务器,则 SAML 帐户无法访问受管设备。但是,当 SAML 身份供应商与 LDAP 服务器一起使用时,如果该身份供应商使用存在于 LDAP 服务器中的 LDAP 帐户,则可使用 LDAP 用户帐户登录受管设备,而 SAML 2.0 提供的更高级认证方法(例如多重认证和单点登录)可用于登录 XClarity Administrator
    • 借助单点登录功能,已登录 XClarity Administrator 的用户将可以自动登录到主板管理控制器。默认情况下,将 ThinkSystem 或 ThinkAgile 服务器设置为受 XClarity Administrator 管理的服务器后,即可启用单点登录(使用 CyberArk 密码管理服务器的情况除外)。可以通过配置全局设置来对所有受管 ThinkSystem 和 ThinkAgile 服务器启用或禁用单点登录。对特定 ThinkSystem 和 ThinkAgile 服务器启用单点登录会覆盖适用于所有 ThinkSystem 和 ThinkAgile 服务器的全局设置(请参阅管理服务器)。
      使用 CyberArk 标识管理系统进行认证时会自动禁用单点登录。
    • 为 ThinkSystem SR635 和 SR655 服务器启用受管认证时:
      • 主板管理控制器固件最多支持五个 LDAP 用户角色。XClarity Administrator 在管理期间将这些 LDAP 用户角色添加到服务器中:lxc-supervisorlxc-sysmgrlxc-adminlxc-fw-adminlxc-os-admin

        必须至少为用户分配一个指定的 LDAP 用户角色,用户才能与 ThinkSystem SR635 和 SR655 服务器进行通信。

      • 管理控制器固件不支持与服务器本地用户具有相同用户名的 LDAP 用户。
    • 对于 ThinkServer 和 System x M4 服务器,不使用 XClarity Administrator 认证服务器。而是在设备上创建以“LXCA_”为前缀并后接随机字符串的 IPMI 帐户。(不会禁用现有的本地 IPMI 用户帐户。)终止管理 ThinkServer 服务器时,将禁用该LXCA_用户帐户,并将前缀LXCA_替换为前缀DISABLED_。为了确定 ThinkServer 服务器是否受另一实例管理,XClarity Administrator 检查是否存在以LXCA_为前缀的 IPMI 帐户。如果决定强制管理某个受管的 ThinkServer 服务器,则将禁用并重命名该设备上所有以LXCA_为前缀的 IPMI 帐户。请考虑手动清除不再使用的 IPMI 帐户。

      如果您使用手动输入的凭证,XClarity Administrator 将会自动创建存储的凭证,并使用该存储的凭证来管理设备。

      如果为设备启用了受管认证,则不能使用 XClarity Administrator 编辑该设备的存储的凭证。
      • 每次使用手动输入的凭证管理设备时,将为该设备新建一个存储的凭证,即使在之前的管理过程中已为该设备创建过存储的凭证。
      • 终止管理设备时,XClarity Administrator 不会删除管理过程中自动为该设备创建的存储的凭证。

恢复帐户

如果指定了恢复密码,XClarity Administrator 将禁用本地 CMM 或管理控制器用户帐户,并在设备上创建一个新的恢复用户帐户(RECOVERY_ID),以待将来用于认证。如果管理软件发生故障,则可使用 RECOVERY_ID 帐户登录到该设备,执行恢复操作以恢复设备上的帐户管理功能,直至恢复或替换管理节点为止。

如果终止管理具有 RECOVERY_ID 用户帐户的设备,则将启用所有本地用户帐户并删除 RECOVERY_ID 帐户。

注释
  • 如果更改已禁用的本地用户帐户(例如更改密码),则这些更改对该 RECOVERY_ID 帐户无任何影响。在受管认证模式下,RECOVERY_ID 帐户是唯一一个激活且可操作的用户帐户。
  • 只有在紧急情况下,例如管理软件发生故障,或网络问题使得设备无法与 XClarity Administrator 通信以对用户进行认证,才能使用 RECOVERY_ID 帐户。
  • 发现设备时,将指定 RECOVERY_ID密码。请务必记录密码以备将来使用。
  • RackSwitch 设备仅支持使用存储的凭证进行认证。XClarity Administrator 用户凭证不受支持。

有关恢复管理设备的信息,请参阅在发生管理软件故障后用 CMM 恢复管理在发生管理软件故障后恢复管理机架或立式服务器