Zum Hauptinhalt springen

Externen LDAP-Authentifizierungsserver konfigurieren

Lenovo XClarity Orchestrator umfasst einen lokalen (integrierten) Authentifizierungsserver. Sie können auch einen eigenen externen Active Directory LDAP-Server verwenden.

Vorbereitende Schritte

Stellen Sie sicher, dass alle für den externen Authentifizierungsserver erforderlichen Ports im Netzwerk und in den Firewalls geöffnet sind. Weitere Informationen zu den Portanforderungen finden Sie unter Portverfügbarkeit – XClarity Orchestrator.

Es wird nur Microsoft Active Directory als externer LDAP-Server unterstützt.

XClarity Orchestrator klont nicht automatisch Benutzergruppen, die auf dem externen LDAP-Server definiert sind. Sie können die LDAP-Benutzergruppe jedoch manuell klonen (siehe Benutzergruppen erstellen).

Bevor sich ein externer LDAP-Benutzer bei XClarity Orchestrator anmelden kann, muss der Benutzer ein direktes Mitglied einer LDAP-Benutzergruppe sein, die in XClarity Orchestrator geklont wird (siehe Benutzergruppen erstellen). XClarity Orchestrator erkennt keine Benutzer, die Mitglieder von Benutzergruppen sind, die in der geklonten LDAP-Benutzergruppe verschachtelt sind, die auf dem externen LDAP-Server definiert ist.

Zu dieser Aufgabe

Wenn kein externer LDAP-Server konfiguriert ist, authentifiziert XClarity Orchestrator einen Benutzer immer über den lokalen Authentifizierungsserver.

Wenn ein externer LDAP-Server konfiguriert ist, versucht XClarity Orchestrator zunächst, einen Benutzer über den lokalen Authentifizierungsserver zu authentifizieren. Wenn die Authentifizierung fehlschlägt, verwendet XClarity Orchestrator die IP-Adresse des ersten LDAP-Servers für die Authentifizierung. Wenn die Authentifizierung fehlschlägt, verwendet der LDAP-Client die IP-Adresse des nächsten LDAP-Servers für die Authentifizierung.

Wenn ein externer LDAP-Benutzer sich zum ersten Mal bei XClarity Orchestrator anmeldet, wird automatisch ein Benutzeraccount mit dem Namen <Benutzername>@<Domäne> in XClarity Orchestrator geklont. Sie können geklonte externe LDAP-Benutzer zu Benutzergruppen hinzufügen oder LDAP-Gruppen für die Zugriffssteuerung verwenden. Sie können einem externen LDAP-Benutzer auch Supervisor-Berechtigungen zuordnen.

Vorgehensweise

Gehen Sie wie folgt vor, um XClarity Orchestrator für die Verwendung eines externen LDAP-Authentifizierungsservers zu konfigurieren.

  1. Klicken Sie in der Menüleiste von XClarity Orchestrator auf Verwaltung (Symbol „Verwaltung“) > Sicherheit und dann im linken Navigationsbereich auf LDAP-Client, um die Übersicht LDAP-Client anzuzeigen.

    Übersicht „LDAP-Client“
  2. Konfigurieren Sie jeden externen LDAP-Server mithilfe der folgenden Schritte.
    1. Klicken Sie auf das Symbol Hinzufügen (Symbol „Hinzufügen“), um einen LDAP-Server hinzuzufügen.

    2. Geben Sie den Domänennamen, die IP-Adresse und den Port für den externen LDAP-Server an.

      Wenn die Portnummer für einen Eintrag nicht explizit auf 3268 oder 3269 festgelegt wurde, geht das System davon aus, dass dieser Eintrag einen Domänencontroller identifiziert.

      Wenn die Portnummer auf 3268 oder 3269 festgelegt wurde, wird davon ausgegangen, dass der Eintrag einen globalen Katalog identifiziert. Der LDAP-Client versucht, die Authentifizierung mithilfe des Domänencontrollers für die erste konfigurierte Server-IP-Adresse durchzuführen. Schlägt dieser Versuch fehl, versucht der LDAP-Client, den Domänencontroller der nächsten konfigurierten Server-IP-Adresse für die Authentifizierung zu verwenden.

    3. Optional können Sie die Anpassung erweiterter Konfigurationseinstellungen aktivieren.

      Wenn Sie eine angepasste Konfiguration verwenden, können Sie den Filter für die Benutzersuche angeben. Wenn Sie keinen Filter für die Benutzersuche angeben, wird standardmäßig (&&(objectClass=user)(|(userPrincipalName={0})(sAMAccountName={0}))) verwendet.

      Wenn die erweiterte Konfiguration deaktiviert ist, wird die Active Directory-Standardkonfiguration verwendet.

    4. Geben Sie den vollständig qualifizierten LDAP-basierten definierten Namen an, von dem der LDAP-Client die Suche für die Benutzerauthentifizierung initiiert.
    5. Geben Sie den vollständig qualifizierten LDAP-basierten definierten Namen an, von dem der LDAP-Client die Suche nach Benutzergruppen initiiert (z. B. dc=company,dc=com).
    6. Sie können optional auch Anmeldeinformationen angeben, um XClarity Orchestrator an den externen Authentifizierungsserver anzubinden. Zwei Bindungsmethoden stehen zur Verfügung.
      • Konfigurierte Anmeldeinformationen. Verwenden Sie diese Bindungsmethode, um einen bestimmten Clientnamen und das Kennwort für die Bindung von XClarity Orchestrator an den externen Authentifizierungsserver zu verwenden. Wenn diese Verbindung nicht hergestellt werden kann, kann auch der Authentifizierungsprozess nicht durchgeführt werden.

        Geben Sie den vollständig qualifizierten LDAP Distinguished Name (z. B. cn=somebody,dc=company,dc=com) oder die E‑Mail-Adresse (z. B. somebody@company.com) des Benutzeraccounts und das Kennwort an, das für die LDAP-Authentifizierung zur Bindung von XClarity Orchestrator an den LDAP-Server verwendet werden soll. Wenn diese Verbindung nicht hergestellt werden kann, kann auch der Authentifizierungsprozess nicht durchgeführt werden.

        Der definierte Name muss ein Benutzeraccount innerhalb der Domäne sein, der mindestens über Leserechte verfügt.

        Wenn der LDAP-Server nicht über Subdomänen verfügt, können Sie den Benutzernamen ohne die Domäne angeben (z. B. user1). Wenn der LDAP-Server jedoch über Subdomänen verfügt (z. B. Subdomäne new.company.com in Domäne company.com), müssen Sie den Benutzernamen und die Domäne angeben (z. B. user1@company.com).

        Achtung
        Wenn Sie das Clientkennwort auf dem externen LDAP-Server ändern, müssen Sie das neue Kennwort auch in XClarity Orchestrator ändern (siehe Anmelden bei XClarity Orchestrator nicht möglich).
      • Anmeldeinformationen. Verwenden Sie diese Bindungsmethode, um Ihren LDAP XClarity Orchestrator Benutzernamen und das Kennwort für die Bindung von XClarity Orchestrator an den externen Authentifizierungsserver zu verwenden.

        Geben Sie den vollständig qualifizierten LDAP Distinguished Name eines Test-Benutzeraccounts und das Kennwort an, das für die LDAP-Authentifizierung verwendet werden soll, um die Verbindung mit dem Authentifizierungsserver zu überprüfen.

        Diese Benutzeranmeldeinformationen werden nicht gespeichert. Bei Erfolg verwenden alle zukünftigen Verbindungen den Benutzernamen und das Kennwort, die Sie für die Anmeldung bei XClarity Orchestrator verwendet haben. Wenn diese Verbindung nicht hergestellt werden kann, kann auch der Authentifizierungsprozess nicht durchgeführt werden.

        Anmerkung
        Sie müssen bei XClarity Orchestrator mit einer vollständig qualifizierten Benutzer-ID angemeldet sein (z. B. administrator@domain.com).
    7. Wählen Sie optional eine sichere LDAP-Verbindung aus, indem Sie die Umschalt-Schaltfläche LDAP over SSL aktivieren und dann auf Abrufen klicken, um das vertrauenswürdige SSL-Zertifikat abzurufen und zu importieren. Wenn das Dialogfenster Serverzertifikat abrufen angezeigt wird, klicken Sie auf Akzeptieren, um das Zertifikat zu verwenden.

      Wenn Sie „LDAP über SSL” verwenden, verwendet XClarity Orchestrator das LDAPS-Protokoll, um eine sichere Verbindung mit dem externen Authentifizierungsserver herzustellen. Wenn diese Option ausgewählt ist, werden vertrauenswürdige Zertifikate verwendet, um die sichere LDAP-Unterstützung zu aktivieren.

      Achtung
      Wenn Sie „LDAP über SSL” deaktivieren, verwendet XClarity Orchestrator ein unsicheres Protokoll, um eine sichere Verbindung mit dem externen Authentifizierungsserver herzustellen. Diese Einstellung macht Ihre Hardware eventuell anfälliger für potenzielle Sicherheitsrisiken.
    8. Optional können Sie die LDAP-Server mithilfe des Symbols Nach oben verschieben (Symbol „Nach oben verschieben“) und Nach unten verschieben (Symbol „Nach unten verschieben“) neu anordnen.

      Der LDAP-Client versucht, die Authentifizierung mithilfe der ersten Server-IP-Adresse durchzuführen. Wenn die Authentifizierung fehlschlägt, verwendet der LDAP-Client die nächste Server-IP-Adresse für die Authentifizierung.

      Wichtig
      Verwenden Sie für die sichere LDAP-Authentifizierung das Zertifikat für die Stammzertifizierungsstelle des LDAP-Servers oder eines der Zwischenzertifikate des Servers. Sie können das Stamm‑ oder Zwischen-Zertifizierungsstellenzertifikat über eine Eingabeaufforderung abrufen, indem Sie den folgenden Befehl ausführen, wobei {FullyQualifiedHostNameOrIpAddress} der vollständig qualifizierte Name des externen LDAP-Servers ist. Das Stamm‑ oder Zwischen-Zertifizierungsstellenzertifikat ist in der Regel das letzte Zertifikat in der Ausgabe (der letzte BEGIN--END-Abschnitt).
      openssl s_client -showcerts -connect {FullyQualifiedHostNameOrIpAddress}:636
    9. Klicken Sie auf Änderungen übernehmen.

      XClarity Orchestrator versucht, die IP-Adresse, den Port, die SSL-Zertifikate und die Anmeldeinformationen für die Bindung zu testen und überprüft die Verbindung zum LDAP-Server, um allgemeine Fehler zu erkennen. Wenn die Überprüfung erfolgreich war, wird bei der Anmeldung eines Benutzers bei XClarity Orchestrator eine Benutzerauthentifizierung auf dem externen Authentifizierungsserver durchgeführt. Wenn die Validierung fehlschlägt, werden Fehlermeldungen mit der Fehlerquelle angezeigt.

      Anmerkung
      Wenn die Überprüfung erfolgreich war und Verbindungen zum LDAP-Server hergestellt wurden, können trotzdem Fehler bei der Benutzerauthentifizierung auftreten, wenn der Root-DN falsch ist.

Nach dieser Aufgabe

Sie können eine LDAP-Serverkonfiguration entfernen, indem Sie auf das Symbol Löschen (Symbol "Löschen") neben der Konfiguration klicken. Wenn Sie eine LDAP-Serverkonfiguration löschen und keine anderen LDAP-Serverkonfigurationen in derselben Domäne vorhanden sind, werden auch die geklonten Benutzer und geklonten Benutzergruppen in dieser Domäne entfernt.