Saltar al contenido principal

Configuración de un servidor de autenticación LDAP externo

Lenovo XClarity Orchestrator incluye un servidor de autenticación local (integrado). También puede elegir utilizar su propio servidor LDAP externo de Active Directory.

Antes de empezar

Asegúrese de que todos los puertos requeridos para el servidor de autenticación externo estén abiertos en la red y en los firewalls. Para obtener información sobre los requisitos de puerto, consulte Disponibilidad de puertos.

Solo Microsoft Active Directory se admite como servidor LDAP externo.

XClarity Orchestrator no clona automáticamente los grupos de usuarios que se definen en el servidor LDAP externo. Sin embargo, puede clonar el grupo de usuarios LDAP de forma manual (consulte Creación de grupos de usuario).

Antes de que un usuario LDAP externo pueda iniciar sesión en XClarity Orchestrator, el usuario debe ser miembro directo de un grupo de usuarios LDAP que se haya clonado en XClarity Orchestrator (consulte Creación de grupos de usuario). XClarity Orchestrator no reconoce los usuarios que son miembros de grupos de usuarios que están anidados en el grupo de usuarios LDAP clonado definido en el servidor LDAP externo.

Acerca de esta tarea

Si no se configura un servidor LDAP externo, XClarity Orchestrator siempre autentica a un usuario utilizando el servidor de autenticación local.

Si no se configura un servidor LDAP externo, XClarity Orchestrator primero intenta autenticar a un usuario utilizando el servidor de autenticación local. Si la autenticación produce un error, XClarity Orchestrator intenta autenticarse utilizando la dirección IP del servidor LDAP. Si la autenticación produce un error, el cliente LDAP intenta autenticarse mediante la dirección IP del siguiente servidor LDAP.

Cuando un usuario LDAP externo inicia sesión en XClarity Orchestrator por primera vez, una cuenta de usuario con el nombre <nombreusuario>@<dominio> se clona automáticamente en XClarity Orchestrator. Puede añadir usuarios de LDAP externos clonados a grupos de usuario o utilizar grupos LDAP para el control de acceso. También puede añadir privilegios de supervisor a un usuario de LDAP externo.

Procedimiento

Para configurar XClarity Orchestrator para que use un servidor de autenticación LDAP externo, lleve a cabo los pasos siguientes.

  1. En la barra de menú de XClarity Orchestrator, haga clic en Administración (Icono de Administración) > Seguridad y luego haga clic en Cliente LDAP en el panel de navegación izquierdo para mostrar la tarjeta Cliente LDAP.

    Tarjeta de cliente LDAP
  2. Siga estos pasos para configurar cada servidor LDAP externo.
    1. Haga clic en el icono de Añadir (Icono de Añadir) para agregar un servidor LDAP.
    2. Especifique el nombre de dominio, la dirección IP y el puerto para el servidor LDAP externo.

      Si el número de puerto no se ha establecido explícitamente en 3268 o 3269, se da por hecho que la entrada identifica un controlador de dominio.

      Cuando el número de puerto se establece en 3268 o 3269, se da por hecho que la entrada identifica un catálogo global. El cliente LDAP intenta autenticarse usando el controlador de dominio de la primera dirección IP de servidor configurada. Si esto falla, el cliente LDAP intenta autenticarse usando el controlador de dominio de la siguiente dirección IP de servidor.

    3. Opcionalmente, elija activar la personalización de la configuración avanzada.

      Cuando elige usar una configuración personalizada, puede especificar el filtro de búsqueda del usuario. Si no especifica un filtro de búsqueda del usuario, se utiliza (&&(objectClass=user)(|(userPrincipalName={0})(sAMAccountName={0}))) de forma predeterminada.

      Si la configuración avanzada está deshabilitada, se utiliza la configuración predeterminada de Active Directory.

    4. Especifique el nombre distinguido base de LDAP completamente calificado desde el que el cliente LDAP inicia la búsqueda para la autenticación del usuario.
    5. Especifique el nombre distinguido base de LDAP completamente calificado desde el que el cliente LDAP inicia la búsqueda de grupos de usuario (por ejemplo, dc=company,dc=com).
    6. Opcionalmente, especifique las credenciales para vincular XClarity Orchestrator con el servidor de autenticación externo. Puede utilizar uno de los dos métodos de vinculación.
      • Credenciales configuradas. Use este método de vinculación para utilizar un nombre y una contraseña de cliente específicos que se deberán utilizar para vincular XClarity Orchestrator con el servidor de autenticación externo. Si el enlace falla, también fallará el proceso de autenticación.

        Especifique el nombre distinguido de LDAP (por ejemplo, cn=somebody,dc=company,dc=com) o la dirección de correo electrónico (por ejemplo, somebody@company.com) de la cuenta de usuario, además de la contraseña que se va a utilizar para la autenticación LDAP a fin de vincular XClarity Orchestrator con el servidor LDAP. Si el enlace falla, también fallará el proceso de autenticación.

        El nombre distinguido debe ser una cuenta de usuario con el dominio que tiene al menos privilegios de solo lectura.

        Si el servidor LDAP no tiene subdominios, puede especificar el nombre de usuario sin el dominio (por ejemplo, user1). Sin embargo, si el servidor LDAP no tiene subdominios (por ejemplo, subdominio new.company.com en dominio company.com), entonces debe especificar el nombre de usuario y el dominio (por ejemplo, user1@company.com).

        Atención
        Si cambia la contraseña del cliente en el servidor LDAP externo, asegúrese de actualizar también la nueva contraseña en XClarity Orchestrator (consulte No se puede iniciar sesión en XClarity Orchestrator).
      • Credenciales de inicio de sesión. Use este método de vinculación para utilizar el nombre de usuario y la contraseña de XClarity Orchestrator de LDAP para vincular XClarity Orchestrator con el servidor de autenticación externo.

        Especifique el nombre distinguido de LDAP completamente calificado de una cuenta de usuario de prueba y la contraseña que se utilizará para la autenticación LDAP a fin de validar la conexión con el servidor de autenticación.

        Estas credenciales de usuario no se guardan. Si se realiza correctamente, todos los vínculos futuros utilizan el nombre de usuario y la contraseña que usó para iniciar sesión en XClarity Orchestrator. Si el enlace falla, también fallará el proceso de autenticación.

        Nota
        Debe haber iniciado sesión en XClarity Orchestrator, utilizando un Id. de usuario completamente calificado (por ejemplo, administrator@domain.com).
    7. Si lo desea, puede elegir usar LDAP seguro. Para ello, seleccione el conmutador de LDAP sobre SSL y luego haga clic en Captar para recuperar e importar el certificado SSL de confianza. Cuando se muestre el cuadro de diálogo Captar certificado de servidor, haga clic en Aceptar para usar el certificado.

      Si elige utilizar LDAP sobre SSL, XClarity Orchestrator utiliza el protocolo LDAPS para conectarse de forma segura al servidor de autenticación externo. Cuando se selecciona esta opción, los certificados de confianza se utilizan para habilitar la compatibilidad de LDAP seguro.

      Atención
      Si elige deshabilitar LDAP sobre SSL, XClarity Orchestrator utiliza un protocolo no seguro para conectarse al servidor de autenticación externo. Si elige esta configuración, el hardware puede quedar vulnerable a los ataques contra la seguridad.
    8. Opcionalmente, puede volver a ordenar los servidores LDAP mediante los iconos de Subir (Icono de Subir) y Bajar (Icono de Bajar).

      El cliente LDAP intenta autenticarse mediante la primera dirección IP de servidor. Si la autenticación produce un error, el cliente LDAP intenta autenticarse mediante la siguiente dirección IP de servidor.

      Importante
      Para la autenticación LDAP segura, use el certificado para la entidad de certificación (CA) raíz del servidor LDAP o uno de los certificados intermedios del servidor. Puede recuperar el certificado raíz o intermedio de la CA de un indicador de comando ejecutando el siguiente comando, donde {FullyQualifiedHostNameOrIpAddress} es el nombre completamente calificado del servidor LDAP externo. El certificado de CA raíz o intermedio es típicamente el último certificado en la salida, la última sección BEGIN--END.
      openssl s_client -showcerts -connect {FullyQualifiedHostNameOrIpAddress}:636
    9. Haga clic en Aplicar los cambios.

      XClarity Orchestrator intenta probar la dirección IP, el puerto, los certificados SSL y las credenciales de enlace, y valida la conexión del servidor LDAP para detectar errores comunes. Si la validación se realiza correctamente, la autenticación del usuario en el servidor de autenticación externo se lleva a cabo cuando un usuario inicia sesión en XClarity Orchestrator. Si la validación falla, se muestran mensajes de error que indican el origen de los errores.

      Nota
      Si la validación tiene éxito y las conexiones al servidor LDAP se realizan correctamente, la autenticación del usuario puede fallar si el nombre distinguido raíz es incorrecto.

Después de finalizar

Puede quitar una configuración del servidor LDAP pulsando el icono Eliminar (Icono Eliminar) que se encuentra situado junto a la configuración. Cuando se elimina una configuración de servidor LDAP, si no hay otras configuraciones de servidor LDAP en el mismo dominio, también se quitan los clones de usuarios y los grupos de clones de usuario de dicho dominio.