管理鑑別伺服器
根據預設,Lenovo XClarity Administrator 會使用本端「輕量型目錄存取通訊協定 (LDAP)」伺服器來鑑別使用者認證。
關於此作業
支援的鑑別伺服器
- 本端鑑別伺服器。依預設,XClarity Administrator配置為使用位於管理伺服器中的內嵌輕量型目錄存取通訊協定 (LDAP) 伺服器。
- 外部 LDAP 伺服器。目前僅支援 Microsoft Active Directory 和 OpenLDAP。此伺服器必須位於連線至管理網路的外接式 Microsoft Windows 伺服器。
使用外部 LDAP 伺服器時,會停用本端鑑別伺服器。
小心若要配置 Active Directory 連結方法以使用登入認證,每一部受管理伺服器的基板管理控制器都必須執行 2016 年 9 月或更新版本的韌體。 外部識別管理系統。目前只支援 CyberArk。
如果將 ThinkSystem 或 ThinkAgile 伺服器的使用者帳戶加入 CyberArk,則可以在初次設定管理伺服器時選擇讓 XClarity Administrator 從 CyberArk 擷取認證,以登入伺服器(使用受管理或本端鑑別)。在可以從 CyberArk 擷取認證之前,必須在 XClarity Administrator 中定義 CyberArk 路徑,而且必須使用 TLS 交互鑑別透過用戶端憑證在 CyberArk 和 XClarity Administrator 之間建立互信。
- 外部 SAML 識別提供者。目前支援 Microsoft Active Directory Federation Services (AD FS)。除了輸入使用者名稱及密碼外,還可以設定多重要素鑑別,透過要求 PIN 碼、讀取智慧卡和用戶端憑證等方式提供額外的安全性。
使用 SAML 識別提供者時,不會停用本端鑑別伺服器。您需要有本端使用者帳戶,才能直接登入受管理機箱或伺服器(除非該裝置上已啟用 Encapsulation),進行 PowerShell 和 REST API 鑑別,以及回復(如果無法使用外部鑑別)。
您可以選擇同時使用外部 LDAP 伺服器和外部識別提供者。如果兩者都已啟用,則使用外部 LDAP 伺服器直接登入受管理的裝置,並使用識別提供者登入管理伺服器。
裝置鑑別
當本端鑑別用於機架式伺服器、Lenovo 機箱和 Lenovo 機架式交換器時,XClarity Administrator 會使用已儲存認證向裝置進行鑑別。已儲存認證可以是裝置上的作用中使用者帳戶,或是 Active Directory 伺服器中的使用者帳戶。
使用本端鑑別管理裝置之前,您應先在 XClarity Administrator 建立已儲存認證,其必須與裝置上的作用中使用者帳戶或 Active Directory 伺服器中的使用者帳戶相符(請參閱 XClarity Administrator 線上文件中的管理儲存的認證)。
註- 裝置的本端鑑別啟用時,您無法使用 XClarity Administrator 編輯該裝置的已儲存認證。
- RackSwitch 裝置僅支援已儲存認證進行鑑別,不支援 XClarity Administrator 使用者認證。
使用受管理鑑別讓您能夠利用 XClarity Administrator 鑑別伺服器中的認證來管理及監視多個裝置,而不使用本端認證。當受管理鑑別用於裝置(非 ThinkServer 伺服器、System x M4 伺服器和交換器)時,XClarity Administrator 會配置裝置及其所安裝的元件,以使用 XClarity Administrator 鑑別伺服器進行集中管理。
- 啟用受管理鑑別時,您可以使用手動輸入或已儲存認證來管理裝置(請參閱 管理使用者帳戶 和 管理儲存的認證)。
要等到 XClarity Administrator 配置了裝置的 LDAP 設定後才會使用已儲存認證。之後,已儲存認證的任何變更都不會影響對該裝置的管理或監視。
- 如果使用本端或外部 LDAP 伺服器做為 XClarity Administrator 鑑別伺服器,則會使用鑑別伺服器中定義的使用者帳戶登入 XClarity Administrator、CMM 和 XClarity Administrator 網域內的基板管理控制器。已停用本端 CMM 和管理控制器使用者帳戶。註對於 Think Edge SE450、SE350 V2 和 SE360 V2 伺服器,預設本端使用者帳戶保持啟用,所有其他本端帳戶均為停用。
- 如果使用 SAML 2.0 識別提供者做為 XClarity Administrator 鑑別伺服器,受管理裝置將無法存取 SAML 帳戶。不過,當同時使用 SAML 識別提供者和 LDAP 伺服器時,如果識別提供者使用存在於 LDAP 伺服器的帳戶,則可以使用 LDAP 使用者帳戶登入受管理裝置;而 SAML 2.0 所提供更進階的鑑別方法(例如,多重要素鑑別和單一登入),則可以用來登入 XClarity Administrator。
- 單一登入可以讓已登入 XClarity Administrator 的使用者自動登入基板管理控制器。依預設,將 ThinkSystem 或 ThinkAgile 伺服器設定為受 XClarity Administrator 管理後,會啟用單一登入(使用 CyberArk 密碼管理伺服器的情況除外)。您可以配置廣域設定來啟用或停用所有受管理 ThinkSystem 和 ThinkAgile 伺服器的單一登入。為特定 ThinkSystem 和 ThinkAgile 伺服器啟用單一登入會置換所有 ThinkSystem 和 ThinkAgile 伺服器的廣域設定 (請參閱 XClarity Administrator 線上文件中的 管理伺服器)。註使用 CyberArk 識別管理系統進行鑑別時,單一登入會自動停用。
- 為 ThinkSystem SR635 和 SR655 伺服器啟用受管理鑑別時:
- 基板管理控制器韌體支援最多五個 LDAP 使用者角色。XClarity Administrator 會在管理期間,將這些 LDAP 使用者角色新增至伺服器:lxc-supervisor、lxc-sysmgr、lxc-admin、lxc-fw-admin 和 lxc-os-admin。
使用者必須獲指派至少其中一個指定的 LDAP 使用者角色,才能與 ThinkSystem SR635 和 SR655 通訊。
- 管理控制器韌體不支援與伺服器本端使用者具有相同使用者名稱的 LDAP 使用者。
- 基板管理控制器韌體支援最多五個 LDAP 使用者角色。XClarity Administrator 會在管理期間,將這些 LDAP 使用者角色新增至伺服器:lxc-supervisor、lxc-sysmgr、lxc-admin、lxc-fw-admin 和 lxc-os-admin。
若是 ThinkServer 和 System x M4 伺服器,則不會使用 XClarity Administrator 鑑別伺服器。但是會在裝置上建立字首為「LXCA_」,後面緊接著隨機字串的 IPMI 帳戶(現有的本端 IPMI 使用者帳戶不會遭到停用)。當您解除管理 ThinkServer 伺服器時,會停用「LXCA_」使用者帳戶,並將字首「LXCA_」取代為字首「DISABLED_」。若要判斷 ThinkServer 伺服器是否受另一個實例管理,XClarity Administrator 會檢查字首為「LXCA_」的 IPMI 帳戶。如果您選擇強制管理受管理的 ThinkServer 伺服器,則會停用並重新命名裝置上字首為「LXCA_」的所有 IPMI 帳戶。請考慮手動清除不再使用的 IPMI 帳戶。
如果您使用手動輸入的認證,XClarity Administrator 會自動建立已儲存認證,並且使用該份已儲存認證來管理裝置。
註裝置的受管理鑑別啟用時,您無法使用XClarity Administrator 編輯該裝置的已儲存認證。 - 每次使用手動輸入的認證來管理裝置時,都將為該裝置建立一份新的已儲存認證,即使前次管理程序期間已為該裝置建立了另一份已儲存認證亦同。
- 當您解除管理裝置時,XClarity Administrator 不會刪除在管理程序期間為該裝置自動建立的已儲存認證。
- 啟用受管理鑑別時,您可以使用手動輸入或已儲存認證來管理裝置(請參閱 管理使用者帳戶 和 管理儲存的認證)。
回復帳戶
如果您指定回復密碼,XClarity Administrator 會停用本端 CMM 或管理控制器使用者帳戶,並在裝置上建立新的回復使用者帳戶 (RECOVERY_ID) 以供日後鑑別之用。如果管理伺服器發生故障,您可以使用 RECOVERY_ID 帳戶登入裝置採取回復動作,以還原裝置上的帳戶管理功能,直到還原或更換管理節點為止。
如果您解除管理具有 RECOVERY_ID 使用者帳戶的裝置,則會啟用所有本端使用者帳戶,並刪除 RECOVERY_ID 帳戶。
- 如果您變更已停用的本端使用者帳戶(例如,如果您變更密碼),則這些變更對於 RECOVERY_ID 帳戶沒有任何影響。在受管理鑑別模式下,RECOVERY_ID 帳戶是已啟動並可運作的唯一使用者帳戶。
- 請僅在緊急狀況下使用 RECOVERY_ID 帳戶,例如,管理伺服器發生故障時,或是網路問題使裝置無法與 XClarity Administrator 進行通訊以鑑別使用者時。
- 當您探索裝置時,會指定 RECOVERY_ID 密碼。請務必記下密碼以供日後使用。
- RackSwitch 裝置僅支援已儲存認證進行鑑別,不支援 XClarity Administrator 使用者認證。
如需回復裝置管理的相關資訊,請參閱在管理伺服器失敗之後,使用 CMM 回復管理和在管理伺服器失敗之後,回復機架式或直立式伺服器管理。