Lenovo XClarity Orchestrator incluye un servidor de autenticación local (integrado). También puede elegir utilizar su propio servidor LDAP externo de Active Directory.
Acerca de esta tarea
Si no se configura un servidor LDAP externo, XClarity Orchestrator siempre autentica a un usuario utilizando el servidor de autenticación local.
Si no se configura un servidor LDAP externo, XClarity Orchestrator primero intenta autenticar a un usuario utilizando el servidor de autenticación local. Si la autenticación produce un error, XClarity Orchestrator intenta autenticarse utilizando la dirección IP del servidor LDAP. Si la autenticación produce un error, el cliente LDAP intenta autenticarse mediante la dirección IP del siguiente servidor LDAP.
Cuando un usuario LDAP externo inicia sesión en XClarity Orchestrator por primera vez, una cuenta de usuario con el nombre <nombreusuario>@<dominio> se clona automáticamente en XClarity Orchestrator. Puede añadir usuarios de LDAP externos clonados a grupos de usuario o utilizar grupos LDAP para el control de acceso. También puede añadir privilegios de supervisor a un usuario de LDAP externo.
Procedimiento
Para configurar XClarity Orchestrator para que use un servidor de autenticación LDAP externo, lleve a cabo los pasos siguientes.
- En la barra de menú de XClarity Orchestrator, haga clic en y luego haga clic en Cliente LDAP en el panel de navegación izquierdo para mostrar la tarjeta Cliente LDAP.
- Siga estos pasos para configurar cada servidor LDAP externo.
- Haga clic en el icono de Añadir () para agregar un servidor LDAP.
Especifique el nombre de dominio, la dirección IP y el puerto para el servidor LDAP externo.
Si el número de puerto no se ha establecido explícitamente en 3268 o 3269, se da por hecho que la entrada identifica un controlador de dominio.
Cuando el número de puerto se establece en 3268 o 3269, se da por hecho que la entrada identifica un catálogo global. El cliente LDAP intenta autenticarse usando el controlador de dominio de la primera dirección IP de servidor configurada. Si esto falla, el cliente LDAP intenta autenticarse usando el controlador de dominio de la siguiente dirección IP de servidor.
- Opcionalmente, elija activar la personalización de la configuración avanzada.
Cuando elige usar una configuración personalizada, puede especificar el filtro de búsqueda del usuario. Si no especifica un filtro de búsqueda del usuario, se utiliza (&&(objectClass=user)(|(userPrincipalName={0})(sAMAccountName={0}))) de forma predeterminada.
Si la configuración avanzada está deshabilitada, se utiliza la configuración predeterminada de Active Directory.
- Especifique el nombre distinguido base de LDAP completamente calificado desde el que el cliente LDAP inicia la búsqueda para la autenticación del usuario.
- Especifique el nombre distinguido base de LDAP completamente calificado desde el que el cliente LDAP inicia la búsqueda de grupos de usuario (por ejemplo, dc=company,dc=com).
- Opcionalmente, especifique las credenciales para vincular XClarity Orchestrator con el servidor de autenticación externo. Puede utilizar uno de los dos métodos de vinculación.
- Credenciales configuradas. Use este método de vinculación para utilizar un nombre y una contraseña de cliente específicos que se deberán utilizar para vincular XClarity Orchestrator con el servidor de autenticación externo. Si el enlace falla, también fallará el proceso de autenticación.
Especifique el nombre distinguido de LDAP (por ejemplo, cn=somebody,dc=company,dc=com) o la dirección de correo electrónico (por ejemplo, somebody@company.com) de la cuenta de usuario, además de la contraseña que se va a utilizar para la autenticación LDAP a fin de vincular XClarity Orchestrator con el servidor LDAP. Si el enlace falla, también fallará el proceso de autenticación.
El nombre distinguido debe ser una cuenta de usuario con el dominio que tiene al menos privilegios de solo lectura.
Si el servidor LDAP no tiene subdominios, puede especificar el nombre de usuario sin el dominio (por ejemplo, user1). Sin embargo, si el servidor LDAP no tiene subdominios (por ejemplo, subdominio new.company.com en dominio company.com), entonces debe especificar el nombre de usuario y el dominio (por ejemplo, user1@company.com).
- Credenciales de inicio de sesión. Use este método de vinculación para utilizar el nombre de usuario y la contraseña de XClarity Orchestrator de LDAP para vincular XClarity Orchestrator con el servidor de autenticación externo.
Especifique el nombre distinguido de LDAP completamente calificado de una cuenta de usuario de prueba y la contraseña que se utilizará para la autenticación LDAP a fin de validar la conexión con el servidor de autenticación.
Estas credenciales de usuario no se guardan. Si se realiza correctamente, todos los vínculos futuros utilizan el nombre de usuario y la contraseña que usó para iniciar sesión en XClarity Orchestrator. Si el enlace falla, también fallará el proceso de autenticación.
Debe haber iniciado sesión en XClarity Orchestrator, utilizando un Id. de usuario completamente calificado (por ejemplo, administrator@domain.com).
- Si lo desea, puede elegir usar LDAP seguro. Para ello, seleccione el conmutador de LDAP sobre SSL y luego haga clic en Captar para recuperar e importar el certificado SSL de confianza. Cuando se muestre el cuadro de diálogo Captar certificado de servidor, haga clic en Aceptar para usar el certificado.
Si elige utilizar LDAP sobre SSL, XClarity Orchestrator utiliza el protocolo LDAPS para conectarse de forma segura al servidor de autenticación externo. Cuando se selecciona esta opción, los certificados de confianza se utilizan para habilitar la compatibilidad de LDAP seguro.
Si elige deshabilitar LDAP sobre SSL, XClarity Orchestrator utiliza un protocolo no seguro para conectarse al servidor de autenticación externo. Si elige esta configuración, el hardware puede quedar vulnerable a los ataques contra la seguridad.
- Opcionalmente, puede volver a ordenar los servidores LDAP mediante los iconos de Subir () y Bajar ().
El cliente LDAP intenta autenticarse mediante la primera dirección IP de servidor. Si la autenticación produce un error, el cliente LDAP intenta autenticarse mediante la siguiente dirección IP de servidor.
Para la autenticación LDAP segura, use el certificado para la entidad de certificación (CA) raíz del servidor LDAP o uno de los certificados intermedios del servidor. Puede recuperar el certificado raíz o intermedio de la CA de un indicador de comando ejecutando el siguiente comando, donde
{FullyQualifiedHostNameOrIpAddress} es el nombre completamente calificado del servidor LDAP externo. El certificado de CA raíz o intermedio es típicamente el último certificado en la salida, la última sección BEGIN--END.openssl s_client -showcerts -connect {FullyQualifiedHostNameOrIpAddress}:636
- Haga clic en Aplicar los cambios.
XClarity Orchestrator intenta probar la dirección IP, el puerto, los certificados SSL y las credenciales de enlace, y valida la conexión del servidor LDAP para detectar errores comunes. Si la validación se realiza correctamente, la autenticación del usuario en el servidor de autenticación externo se lleva a cabo cuando un usuario inicia sesión en XClarity Orchestrator. Si la validación falla, se muestran mensajes de error que indican el origen de los errores.
Si la validación tiene éxito y las conexiones al servidor LDAP se realizan correctamente, la autenticación del usuario puede fallar si el nombre distinguido raíz es incorrecto.
Después de finalizar
Continúe la configuración inicial visitando Configuración de valores de seguridad adicionales.