跳到主要内容

设置外部 LDAP 认证服务器

可使用外部 LDAP 认证服务器代替管理节点上的本地 Lenovo XClarity Administrator 认证服务器。

开始之前

必须先完成 XClarity Administrator 的初始设置,然后才能设置外部认证服务器。

支持以下外部认证服务器:

  • OpenLDAP

  • Microsoft Active Directory。必须位于连接到管理网络、数据网络或二者的外侧 Microsoft Windows Server 上

确保网络和防火墙上打开了外部认证服务器所需的所有端口。有关端口要求的信息,请参阅 端口可用性

必须在本地认证服务器中创建或重命名角色组,使其与在外部认证服务器中定义的组匹配。

确保本地认证服务器中有一个或多个具备 lxc-recovery 权限的用户。在外部 LDAP 服务器发生通信错误时,可使用此本地用户帐户直接向 XClarity Administrator 进行认证。

XClarity Administrator 配置为使用外部认证服务器后,将禁用 XClarity Administrator Web 界面中的“用户管理”页面。
注意
要将 Active Directory 绑定方法配置为使用登录凭证,每个受管服务器的主板管理控制器必须运行 2016 年 9 月或更高版本的固件。

XClarity Administrator 每隔 5 分钟执行一次连接检查以保持与配置的外部 LDAP 服务器之间的连接。包含大量 LDAP 服务器的环境在此连接检查期间可能会遇到 CPU 使用率高的情况。要实现最佳性能,请确保域中大部分或所有 LDAP 服务器均可访问,或将认证服务器选择方法设置为使用预先配置的服务器并仅指定已知的可访问 LDAP 服务器。

过程

要将 XClarity Administrator 配置为使用外部认证服务器,请完成以下步骤。

  1. 设置 Microsoft Active Directory 或 OpenLDAP 的用户认证方法。

    如果决定使用非安全认证,则不需要进行额外配置。默认情况下,Windows Active Directory 或 OpenLDAP 域控制器使用非安全 LDAP 认证。

    如果决定使用安全 LDAP 认证,则必须设置域控制器以允许进行安全 LDAP 认证。更多有关在 Active Directory 中配置安全 LDAP 认证的设置信息,请参阅Microsoft TechNet 网站上的 LDAP over SSL(LDAPS) Certificate 一文

    确认已将 Active Directory 域控制器配置为使用安全 LDAP 认证:
    • 在域控制器的“事件查看器”窗口中查找通过安全套接字层(SSL)的 LDAP 现在有效事件。
    • 使用 ldp.exe Windows 工具测试与域控制器的安全 LDAP 连接。
  2. 导入 Active Directory 或 OpenLDAP 服务器证书或签署该服务器证书的证书颁发机构的根证书。
    1. XClarity Administrator 菜单栏中,单击管理 > 安全性
    2. 在“证书管理”部分中单击可信证书
    3. 单击创建图标(“创建”图标)以添加证书。
    4. 浏览文件或粘贴 PEM 格式的证书文本。
    5. 单击创建
  3. 配置 XClarity Administrator LDAP 客户端:
    1. XClarity Administrator 菜单栏中,单击管理 > 安全性
    2. 在“用户和组”部分下单击 LDAP 客户端以显示 LDAP 客户端设置对话框。

      显示“LDAP 客户端设置”页面。
    3. 根据以下条件填写对话框。
      1. 选择以下用户认证方法之一:
        • 允许本地用户登录。此情况使用本地认证来执行认证。选择此选项后,所有用户帐户均存在于管理节点上的本地认证服务器中。
        • 允许 LDAP 用户登录。此情况由外部 LDAP 服务器执行认证。使用此方法可对用户帐户进行远程管理。选择此选项后,所有用户帐户均存在于远程的外部 LDAP 服务器中。
        • 首先允许本地用户,然后允许 LDAP 用户。本地认证服务器首先执行认证。如果失败,则由外部 LDAP 服务器进行认证。
        • 首先允许 LDAP 用户,然后允许本地用户。外部 LDAP 服务器首先执行认证。如果失败,则由本地认证服务器执行认证。
      2. 选择要启用还是禁用安全 LDAP:
        • 启用安全 LDAPXClarity Administrator 使用 LDAPS 协议安全地连接到外部认证服务器。选择此选项时,还必须配置可信证书以支持安全 LDAP。
        • 禁用安全 LDAPXClarity Administrator 使用非安全协议连接到外部认证服务器。选择此设置可能会使硬件更容易遭受安全攻击。
      3. 选择以下某种服务器选择方法:

        • 使用预先配置的服务器XClarity Administrator 使用指定的 IP 地址和端口发现外部认证服务器。

          如果选择此选项,则最多指定四个预先配置的服务器 IP 地址和端口。LDAP 客户端尝试使用第一个服务器地址进行认证。如果认证失败,则 LDAP 客户端尝试使用下一服务器 IP 地址进行认证。

          如果 显式将某个条目的端口号设置为 32683269,则假定该条目代表域控制器。

          将端口号设置为 32683269 时,假定该条目代表全局编录。LDAP 客户端尝试使用所配置的第一个服务器 IP 地址的域控制器进行认证。如果此次尝试失败,则 LDAP 客户端尝试使用下一服务器 IP 地址的域控制器进行认证。

          重要
          必须指定至少一个域控制器,即使指定了全局编录也是如此。仅指定全局目录看似成功,但并非有效配置。

          将加密模式设置为 NIST-800-131A 后,如果 LDAP 服务器无法与 XClarity Administrator 中的 LDAP 客户端建立传输层安全性(TLS)版本 1.2 连接,XClarity Administrator 可能无法使用安全端口连接到该外部 LDAP 服务器(例如,在默认端口 636 上使用 LDAPS)。

        • 使用 DNS 查找 LDAP 服务器XClarity Administrator 使用指定的域名或林名称动态地发现外部认证服务器。域名和林名称用于获取域控制器的列表,此外,林名称还用于获取全局编录服务器的列表。

          注意
          在使用 DNS 查找 LDAP 服务器时,务必在指定的域控制器上托管将用于向外部认证服务器进行认证的用户帐户。如果在子域控制器上托管该用户帐户,则在服务请求列表中加入该子域控制器。

      4. 选择以下绑定方法之一:

        • 已配置的凭证。此绑定方法使用客户端名称和密码将 XClarity Administrator 绑定到外部认证服务器。如果绑定失败,则认证过程也将失败

          客户端名称可以是 LDAP 服务器支持的任何名称,包括可分辨名称、AMAccountName、NetBIOS 名称或 UserPrincipalName。客户端名称必须是域中某个至少具有只读权限的用户帐户。例如:
          cn=username,cn=users,dc=example,dc=com
          domain\username
          username@domain.com
          username

          注意
          如果更改外部认证服务器中的客户端密码,则确保也更新了 XClarity Administrator 中的新密码。有关详细信息,请参阅 XClarity Administrator 在线文档中的无法登录到 Lenovo XClarity Administrator

        • 登录凭证。此绑定方法使用 Active Directory 或 OpenLDAP 用户名和密码将 XClarity Administrator 绑定到外部认证服务器。

          指定的用户标识和密码仅用于测试与认证服务器的连接。如果成功,则会保存 LDAP 客户端设置,但是不会保存您指定的测试登录凭证。以后的所有绑定均使用您用于登录到 XClarity Administrator 的用户名和密码。

          • 您必须使用完全限定 用户名登录 XClarity Administrator。不允许使用短名称。例如:

            domain\username
            username@domain.com

          • 绑定方法必须使用完全限定 测试客户端名称。

          注意
          要将绑定方法配置为使用登录凭证,每个受管服务器的管理控制器必须运行 2016 年 9 月或更高版本的固件。
      5. 建议不要在根 DN 字段中指定根可分辨名称,尤其是有多个域的环境。当此字段为空时,XClarity Administrator 向外部认证服务器查询命名上下文。

        如果使用 DNS 发现外部认证服务器或指定多个服务器(例如,dc=example,dc=com),则还可指定 LDAP 目录树中的最顶端条目。在这种情况下,使用指定的根可分辨名称作为搜索基础执行搜索。

      6. 指定用于搜索用户名的属性。

        当绑定方法设置为已配置的凭证时,在初始绑定到 LDAP 服务器后将跟随一个搜索请求,该请求将检索有关用户的特定信息,其中包括用户的 DN、登录权限和组成员资格。此搜索请求必须指定代表该服务器上用户标识的属性名称。此属性名称在该字段中配置。如果该字段留空,则默认值为 cn

      7. 指定用于标识用户所属组的属性名称。如果该字段留空,则筛选条件中的属性名称默认设置为 memberOf

      8. 指定属性名称,用于标识由 LDAP 服务器配置的组名称。如果该字段留空,则默认名称使用 uid

    4. (可选)为用户和组配置筛选条件。

      • 使用外部 LDAP 服务器配置 XClarity Administrator 时,通过指定用户和组搜索筛选条件来自定义认证过程。有关搜索筛选条件语法的信息,请参阅如何编写 LDAP 搜索筛选条件。有关搜索筛选条件示例,请参阅常见 LDAP 搜索的示例

      • 指定在 LDAP 搜索操作中使用用户和组筛选条件可以检索到的最大搜索结果数。该值可以是 05000。默认值为 0,表示无限制。

        指定完成 LDAP 搜索操作的时间(以秒为单位),超过此时间将会超时。该值可以是 0300 秒(5 分钟)。默认值为 0,表示操作不会超时。

    5. 单击应用

      XClarity Administrator 尝试测试配置以检测常见错误。如果该测试失败,则显示错误消息,指示错误的来源。如果测试成功且与指定服务器的连接成功完成,在以下情况下,用户认证可能仍然失败:

      • 不存在具有 lxc-recovery 权限的本地用户。

      • 根可分辨名称不正确。

      • 用户不隶属于外部认证服务器中任意一个与 XClarity Administrator 认证服务器上某个角色组的名称匹配的组,则用户认证仍可能会失败。XClarity Administrator 无法检测根 DN 是否正确;但是,它可检测用户是否隶属于至少一个组。如果用户不隶属于任何一个组,则在该用户尝试登录到 XClarity Administrator 时将显示一条错误消息。有关解决外部认证服务器问题的详细信息,请参阅连接问题

  4. 创建可访问 XClarity Administrator 的外部用户帐户:
    1. 从外部认证服务器中创新用户帐户。有关说明,请参阅 Active Directory 或 OpenLDAP 文档。
    2. 创建一个 Active Directory 或 OpenLDAP 全局组,其中包含某个预定义并经过授权的组的名称。在 LDAP 客户端中定义的根可分辨名称的上下文中必须存在该组。
    3. 添加该 Active Directory 或 OpenLDAP 用户作为先前创建的安全组的成员。
    4. 使用该 Active Directory 或 OpenLDAP 用户名登录到 XClarity Administrator
    5. 可选: 定义和创建其他组。可从“用户和组”页面中向这些组授权并向其分配角色。
    6. 如果启用了安全 LDAP,则将可信证书导入到该外部 LDAP 服务器中(请参阅安装定制的外部签署的服务器证书)。

结果

XClarity Administrator 验证 LDAP 服务器连接。如果验证通过,则登录到 XClarity Administrator、CMM 和管理控制器时,将在该外部认证服务器上进行用户认证。

如果验证失败,则认证模式自动恢复允许本地用户登录设置,并显示一条消息,其中解释失败的原因。

必须在 XClarity Administrator 中配置正确的角色组,并且必须在 Active Directory 服务器上将用户帐户定义为隶属于其中某个角色组。否则,用户认证将失败。