认证
支持的认证服务器
- 本地认证服务器。默认情况下,XClarity Administrator 配置为使用管理软件中驻留的嵌入式轻型目录访问协议(LDAP)服务器。
- 外部 LDAP 服务器。目前仅支持 Microsoft Active Directory 和 OpenLDAP。此服务器必须位于连接到管理网络的外侧 Microsoft Windows Server 上。
当使用外部 LDAP 服务器时,将禁用本地认证服务器。
注意要将 Active Directory 绑定方法配置为使用登录凭证,每个受管服务器的主板管理控制器必须运行 2016 年 9 月或更高版本的固件。 外部标识管理系统。目前仅支持 CyberArk。
如果在 CyberArk 上为 ThinkSystem 或 ThinkAgile 服务器注册了用户帐户,则可以在首次设置管理服务器时选择让 XClarity Administrator 从 CyberArk 检索凭证,从而登录服务器(使用受管或本地认证)。在从 CyberArk 检索凭证之前,必须在 XClarity Administrator 中定义 CyberArk 路径,并且必须使用 TLS 相互认证通过客户端证书在 CyberArk 和 XClarity Administrator 之间建立相互信任。
- 外部 SAML 身份提供商。目前,仅支持 Microsoft Active Directory 联合身份验证服务(AD FS)。除了输入用户名和密码之外,还可设置多重认证,通过要求输入 PIN 码、读取智能卡和客户端证书而增强安全性。
当使用 SAML 身份提供商 时,不会禁用本地认证服务器。必须使用本地用户帐户直接登录到受管机箱或服务器(除非在该设备上启用 Encapsulation)进行 PowerShell 和 REST API 认证,如果外部认证不可用,还要以此方式进行恢复。
可决定同时使用外部 LDAP 服务器和外部 身份提供商。如果两者均启用,则应使用外部 LDAP 服务器直接登录到受管设备,并使用 身份提供商 登录到管理软件。
有关认证服务器的更多信息,请参阅 XClarity Administrator 在线文档中的管理认证服务器。
设备认证
对机架服务器、Lenovo 机箱及 Lenovo 机架交换机使用本地认证 时,XClarity Administrator 使用存储的凭证对设备进行认证。存储的凭证 可以是设备上的活动用户帐户或 Active Directory 服务器中的用户帐户。
使用本地认证管理设备之前必须在 XClarity Administrator 中创建中存储的凭证,且凭证须匹配设备上的活动用户帐户或者 Active Directory 服务器中的用户帐户(请参阅 XClarity Administrator 在线文档中的管理存储的凭证)。
注RackSwitch 设备仅支持使用存储的凭证进行认证。XClarity Administrator 用户凭证不受支持。
借助受管认证,可使用 XClarity Administrator 认证服务器中的凭证(而非本地凭证)来管理和监控多个设备。对设备(而不是 ThinkServer 服务器、System x M4 服务器和交换机)使用受管认证时,XClarity Administrator 将设备及其安装的组件配置为使用 XClarity Administrator 认证服务器进行集中管理。
启用受管认证后,可使用手动输入的凭证或存储的凭证管理设备(请参阅 XClarity Administrator 在线文档中的管理用户帐户和管理存储的凭证)。
仅当 XClarity Administrator 在设备上配置了 LDAP 设置,才会使用存储的凭证。此后,存储的凭证发生的任何更改都不会影响该设备的管理或监控。
注如果为设备启用了受管认证,则不能使用XClarity Administrator 编辑该设备的存储的凭证。 如果使用本地或外部 LDAP 服务器作为 XClarity Administrator 认证服务器,则应使用在该认证服务器中定义的用户帐户登录到 XClarity Administrator 域中的 XClarity Administrator、CMM 和主板管理控制器。而本地 CMM 和管理控制器用户帐户被禁用。
如果使用 SAML 2.0 身份供应商作为 XClarity Administrator 认证服务器,则 SAML 帐户无法访问受管设备。但是,当 SAML 身份供应商与 LDAP 服务器一起使用时,如果该身份供应商使用存在于 LDAP 服务器中的 LDAP 帐户,则可使用 LDAP 用户帐户登录受管设备,而 SAML 2.0 提供的更高级认证方法(例如多重认证和单点登录)可用于登录 XClarity Administrator。
借助单点登录功能,已登录 XClarity Administrator 的用户将可以自动登录到主板管理控制器。默认情况下,将 ThinkSystem 或 ThinkAgile 服务器设置为受 XClarity Administrator 管理的服务器后,即可启用单点登录(使用 CyberArk 密码管理服务器的情况除外)。可以通过配置全局设置来对所有受管 ThinkSystem 和 ThinkAgile 服务器启用或禁用单点登录。对特定 ThinkSystem 和 ThinkAgile 服务器启用单点登录会覆盖适用于所有 ThinkSystem 和 ThinkAgile 服务器的全局设置(请参阅管理服务器)。
注使用 CyberArk 标识管理系统进行认证时会自动禁用单点登录。为 ThinkSystem SR635 和 SR655 服务器启用受管认证时:
主板管理控制器固件最多支持五个 LDAP 用户角色。XClarity Administrator 在管理期间将这些 LDAP 用户角色添加到服务器中:lxc-supervisor、lxc-sysmgr、lxc-admin、lxc-fw-admin 和 lxc-os-admin。
必须至少为用户分配一个指定的 LDAP 用户角色,用户才能与 ThinkSystem SR635 和 SR655 服务器进行通信。
管理控制器固件不支持与服务器本地用户具有相同用户名的 LDAP 用户。
对于 ThinkServer 和 System x M4 服务器,不使用 XClarity Administrator 认证服务器。而是在设备上创建以“LXCA_”为前缀并后接随机字符串的 IPMI 帐户。(不会禁用现有的本地 IPMI 用户帐户。)终止管理 ThinkServer 服务器时,将禁用该“LXCA_”用户帐户,并将前缀“LXCA_”替换为前缀“DISABLED_”。为了确定 ThinkServer 服务器是否受另一实例管理,XClarity Administrator 检查是否存在以“LXCA_”为前缀的 IPMI 帐户。如果决定强制管理某个受管的 ThinkServer 服务器,则将禁用并重命名该设备上所有以“LXCA_”为前缀的 IPMI 帐户。请考虑手动清除不再使用的 IPMI 帐户。
如果您使用手动输入的凭证,XClarity Administrator 将会自动创建存储的凭证,并使用该存储的凭证来管理设备。
注如果为设备启用了受管认证,则不能使用XClarity Administrator 编辑该设备的存储的凭证。 每次使用手动输入的凭证管理设备时,将为该设备新建一个存储的凭证,即使在之前的管理过程中已为该设备创建过存储的凭证。
终止管理设备时,XClarity Administrator 不会删除管理过程中自动为该设备创建的存储的凭证。
恢复用户帐户
如果指定了恢复密码,XClarity Administrator 将禁用本地 CMM 或管理控制器用户帐户,并在设备上创建一个新的恢复用户帐户(RECOVERY_ID),以待将来用于认证。如果管理软件发生故障,则可使用 RECOVERY_ID 帐户登录到该设备,执行恢复操作以恢复设备上的帐户管理功能,直至恢复或替换管理节点为止。
如果终止管理具有 RECOVERY_ID 用户帐户的设备,则将启用所有本地用户帐户并删除 RECOVERY_ID 帐户。
- 如果更改已禁用的本地用户帐户(例如更改密码),则这些更改对该 RECOVERY_ID 帐户无任何影响。在受管认证模式下,RECOVERY_ID 帐户是唯一一个激活且可操作的用户帐户。
- 只有在紧急情况下,例如管理软件发生故障,或网络问题使得设备无法与 XClarity Administrator 通信以对用户进行认证,才能使用 RECOVERY_ID 帐户。
- 发现设备时,将指定 RECOVERY_ID密码。请务必记录密码以备将来使用。
有关恢复管理设备的信息,请参阅在发生管理软件故障后用 CMM 恢复管理和在发生管理软件故障后恢复管理机架或立式服务器。