鑑別
支援的鑑別伺服器
- 本端鑑別伺服器。依預設,XClarity Administrator配置為使用位於管理伺服器中的內嵌輕量型目錄存取通訊協定 (LDAP) 伺服器。
- 外部 LDAP 伺服器。目前僅支援 Microsoft Active Directory 和 OpenLDAP。此伺服器必須位於連線至管理網路的外接式 Microsoft Windows 伺服器。
使用外部 LDAP 伺服器時,會停用本端鑑別伺服器。
小心若要配置 Active Directory 連結方法以使用登入認證,每一部受管理伺服器的基板管理控制器都必須執行 2016 年 9 月或更新版本的韌體。 外部識別管理系統。目前只支援 CyberArk。
如果將 ThinkSystem 或 ThinkAgile 伺服器的使用者帳戶加入 CyberArk,則可以在初次設定管理伺服器時選擇讓 XClarity Administrator 從 CyberArk 擷取認證,以登入伺服器(使用受管理或本端鑑別)。在可以從 CyberArk 擷取認證之前,必須在 XClarity Administrator 中定義 CyberArk 路徑,而且必須使用 TLS 交互鑑別透過用戶端憑證在 CyberArk 和 XClarity Administrator 之間建立互信。
- 外部 SAML 識別提供者。目前只支援 Microsoft Active Directory Federation Services (AD FS)。除了輸入使用者名稱及密碼外,還可以設定多重要素鑑別,透過要求 PIN 碼、讀取智慧卡和用戶端憑證等方式提供額外的安全性。
使用 SAML 識別提供者時,不會停用本端鑑別伺服器。您需要有本端使用者帳戶,才能直接登入受管理機箱或伺服器(除非該裝置上已啟用 Encapsulation),進行 PowerShell 和 REST API 鑑別,以及回復(如果無法使用外部鑑別)。
您可以選擇同時使用外部 LDAP 伺服器和外部識別提供者。如果兩者都已啟用,則使用外部 LDAP 伺服器直接登入受管理的裝置,並使用識別提供者登入管理伺服器。
如需鑑別伺服器的相關資訊,請參閱 管理鑑別伺服器。
裝置鑑別
當本端鑑別用於機架式伺服器、Lenovo 機箱和 Lenovo 機架式交換器時,XClarity Administrator 會使用已儲存認證向裝置進行鑑別。已儲存認證可以是裝置上的作用中使用者帳戶,或是 Active Directory 伺服器中的使用者帳戶。
使用本端鑑別管理裝置之前,您應先在 XClarity Administrator 建立已儲存認證,其必須與裝置上的作用中使用者帳戶或 Active Directory 伺服器中的使用者帳戶相符(請參閱 XClarity Administrator 線上文件中的管理儲存的認證)。
註RackSwitch 裝置僅支援已儲存認證進行鑑別,不支援 XClarity Administrator 使用者認證。
使用受管理鑑別讓您能夠利用 XClarity Administrator 鑑別伺服器中的認證來管理及監視多個裝置,而不使用本端認證。當受管理鑑別用於裝置(非 ThinkServer 伺服器、System x M4 伺服器和交換器)時,XClarity Administrator 會配置裝置及其所安裝的元件,以使用 XClarity Administrator 鑑別伺服器進行集中管理。
啟用受管理鑑別時,您可以使用手動輸入或已儲存認證來管理裝置(請參閱 管理使用者帳戶 和 管理儲存的認證)。
要等到 XClarity Administrator 配置了裝置的 LDAP 設定後才會使用已儲存認證。之後,已儲存認證的任何變更都不會影響對該裝置的管理或監視。
註裝置的受管理鑑別啟用時,您無法使用XClarity Administrator 編輯該裝置的已儲存認證。 如果使用本端或外部 LDAP 伺服器做為 XClarity Administrator 鑑別伺服器,則會使用鑑別伺服器中定義的使用者帳戶登入 XClarity Administrator、CMM 和 XClarity Administrator 網域內的基板管理控制器。已停用本端 CMM 和管理控制器使用者帳戶。
如果使用 SAML 2.0 識別提供者做為 XClarity Administrator 鑑別伺服器,受管理裝置將無法存取 SAML 帳戶。不過,當同時使用 SAML 識別提供者和 LDAP 伺服器時,如果識別提供者使用存在於 LDAP 伺服器的帳戶,則可以使用 LDAP 使用者帳戶登入受管理裝置;而 SAML 2.0 所提供更進階的鑑別方法(例如,多重要素鑑別和單一登入),則可以用來登入 XClarity Administrator。
單一登入可以讓已登入 XClarity Administrator 的使用者自動登入基板管理控制器。依預設,將 ThinkSystem 或 ThinkAgile 伺服器設定為受 XClarity Administrator 管理後,會啟用單一登入(使用 CyberArk 密碼管理伺服器的情況除外)。您可以配置廣域設定來啟用或停用所有受管理 ThinkSystem 和 ThinkAgile 伺服器的單一登入。為特定 ThinkSystem 和 ThinkAgile 伺服器啟用單一登入會置換所有 ThinkSystem 和 ThinkAgile 伺服器的廣域設定 (請參閱 XClarity Administrator 線上文件中的 管理伺服器)。
註使用 CyberArk 識別管理系統進行鑑別時,單一登入會自動停用。為 ThinkSystem SR635 和 SR655 伺服器啟用受管理鑑別時:
基板管理控制器韌體支援最多五個 LDAP 使用者角色。XClarity Administrator 會在管理期間,將這些 LDAP 使用者角色新增至伺服器:lxc-supervisor、lxc-sysmgr、lxc-admin、lxc-fw-admin 和 lxc-os-admin。
使用者必須獲指派至少其中一個指定的 LDAP 使用者角色,才能與 ThinkSystem SR635 和 SR655 通訊。
管理控制器韌體不支援與伺服器本端使用者具有相同使用者名稱的 LDAP 使用者。
若是 ThinkServer 和 System x M4 伺服器,則不會使用 XClarity Administrator 鑑別伺服器。但是會在裝置上建立字首為「LXCA_」,後面緊接著隨機字串的 IPMI 帳戶(現有的本端 IPMI 使用者帳戶不會遭到停用)。當您解除管理 ThinkServer 伺服器時,會停用「LXCA_」使用者帳戶,並將字首「LXCA_」取代為字首「DISABLED_」。若要判斷 ThinkServer 伺服器是否受另一個實例管理,XClarity Administrator 會檢查字首為「LXCA_」的 IPMI 帳戶。如果您選擇強制管理受管理的 ThinkServer 伺服器,則會停用並重新命名裝置上字首為「LXCA_」的所有 IPMI 帳戶。請考慮手動清除不再使用的 IPMI 帳戶。
如果您使用手動輸入的認證,XClarity Administrator 會自動建立已儲存認證,並且使用該份已儲存認證來管理裝置。
註裝置的受管理鑑別啟用時,您無法使用XClarity Administrator 編輯該裝置的已儲存認證。 每次使用手動輸入的認證來管理裝置時,都將為該裝置建立一份新的已儲存認證,即使前次管理程序期間已為該裝置建立了另一份已儲存認證亦同。
當您解除管理裝置時,XClarity Administrator 不會刪除在管理程序期間為該裝置自動建立的已儲存認證。
回復使用者帳戶
如果您指定回復密碼,XClarity Administrator 會停用本端 CMM 或管理控制器使用者帳戶,並在裝置上建立新的回復使用者帳戶 (RECOVERY_ID) 以供日後鑑別之用。如果管理伺服器發生故障,您可以使用 RECOVERY_ID 帳戶登入裝置採取回復動作,以還原裝置上的帳戶管理功能,直到還原或更換管理節點為止。
如果您解除管理具有 RECOVERY_ID 使用者帳戶的裝置,則會啟用所有本端使用者帳戶,並刪除 RECOVERY_ID 帳戶。
- 如果您變更已停用的本端使用者帳戶(例如,如果您變更密碼),則這些變更對於 RECOVERY_ID 帳戶沒有任何影響。在受管理鑑別模式下,RECOVERY_ID 帳戶是已啟動並可運作的唯一使用者帳戶。
- 請僅在緊急狀況下使用 RECOVERY_ID 帳戶,例如,管理伺服器發生故障時,或是網路問題使裝置無法與 XClarity Administrator 進行通訊以鑑別使用者時。
- 當您探索裝置時,會指定 RECOVERY_ID 密碼。請務必記下密碼以供日後使用。
如需回復裝置管理的相關資訊,請參閱在管理伺服器失敗之後,使用 CMM 回復管理和在管理伺服器失敗之後,回復機架式或直立式伺服器管理。