Passa al contenuto principale

Configurazione di un server di autenticazione LDAP esterno

Lenovo XClarity Orchestrator include un server di autenticazione locale (integrato). È inoltre possibile scegliere di utilizzare un server LDAP Active Directory esterno.

Prima di iniziare

Verificare che tutte le porte richieste per il server di autenticazione esterna siano aperte su rete e firewall. Per informazioni sui requisiti della porta, vedere Disponibilità della porta.

Solo Microsoft Active Directory è supportato come server LDAP esterno.

XClarity Orchestrator non clona automaticamente i gruppi di utenti definiti nel server LDAP esterno; tuttavia, è possibile clonare manualmente il gruppo di utenti LDAP (vedere Creazione di gruppi di utenti).

Prima che un utente LDAP esterno possa accedere a XClarity Orchestrator, l'utente deve essere un membro diretto di un gruppo di utenti LDAP clonato in XClarity Orchestrator (vedere Creazione di gruppi di utenti). XClarity Orchestrator non riconosce gli utenti membri di gruppi di utenti nidificati nel gruppo di utenti LDAP clonato, definito nel server LDAP esterno.

Informazioni su questa attività

Se un server LDAP esterno non è configurato, XClarity Orchestrator autentica sempre un utente utilizzando il server di autenticazione locale.

Se un server LDAP esterno non è configurato, XClarity Orchestrator tenta prima di autenticare un utente utilizzando il server di autenticazione locale. Se l'autenticazione non riesce, XClarity Orchestrator prova quindi a eseguire l'autenticazione utilizzando l'indirizzo IP del primo server LDAP. Se l'autenticazione non riesce, il client LDAP tenta di eseguire l'autenticazione utilizzando l'indirizzo IP del successivo server LDAP.

Quando un utente LDAP esterno accede a XClarity Orchestrator per la prima volta, un account utente con nome <nomeutente>@<dominio> viene clonato automaticamente in XClarity Orchestrator. È possibile aggiungere utenti LDAP esterni clonati ai gruppi di utenti oppure utilizzare i gruppi LDAP per il controllo degli accessi. È inoltre possibile aggiungere i privilegi di supervisore a un utente LDAP esterno.

Procedura

Per configurare XClarity Orchestrator affinché utilizzi un server di autenticazione LDAP, effettuare le operazioni che seguono.

  1. Sulla barra dei menu di XClarity Orchestrator fare clic su Amministrazione (Icona Amministrazione) > Sicurezza, quindi su Client LDAP nel riquadro di navigazione sinistro per visualizzare la scheda Client LDAP.

    Scheda Client LDAP
  2. Configurare ogni server LDAP esterno completando la procedura seguente.
    1. Fare clic sull'icona Aggiungi (Icona Aggiungi) per aggiungere un server LDAP.
    2. Specificare il nome di dominio, l'indirizzo IP e la porta per il server LDAP esterno.

      Se il numero di porta non è impostato in modo esplicito su 3268 o 3269, si presuppone che la voce identifichi un controller di dominio.

      Quando il numero di porta è impostato su 3268 o 3269, si presuppone che la voce identifichi un catalogo globale. Il client LDAP tenta di eseguire l'autenticazione utilizzando il controller di dominio per il primo indirizzo IP configurato del server. In caso di errore, il client LDAP tenta di eseguire l'autenticazione utilizzando il controller di dominio per l'indirizzo IP successivo del server.

    3. Facoltativamente, scegliere di abilitare la personalizzazione delle impostazioni di configurazione avanzate.

      Quando si sceglie di utilizzare una configurazione personalizzata, è possibile specificare il filtro di ricerca utente. Se non si specifica un filtro di ricerca utente, (&&(objectClass=user)(|(userPrincipalName={0})(sAMAccountName={0}))) viene utilizzato per impostazione predefinita.

      Se la configurazione avanzata è disabilitata, viene utilizzata la configurazione predefinita di Active Directory.

    4. Specificare il nome distinto di base LDAP completo da cui il client LDAP avvia la ricerca per l'autenticazione utente.
    5. Specificare il nome distinto di base LDAP completo da cui il client LDAP avvia la ricerca per i gruppi di utenti (ad esempio, dc=company,dc=com).
    6. È possibile specificare le credenziali per collegare XClarity Orchestrator al server di autenticazione esterno. È possibile utilizzare uno dei due metodi di collegamento.
      • Credenziali configurate. Selezionare questo metodo di collegamento per utilizzare un nome e una password specifici del client per collegare XClarity Orchestrator al server di autenticazione esterno. Se il collegamento non riesce, anche il processo di autenticazione fallisce.

        Specificare il nome distinto LDAP completo (ad esempio, cn=somebody,dc=company,dc=com) o l'indirizzo e-mail (ad esempio, somebody@company.com) dell'account utente e la password da utilizzare per l'autenticazione LDAP per collegare XClarity Orchestrator al server LDAP. Se il collegamento non riesce, anche il processo di autenticazione fallisce.

        Il nome distinto deve essere un account utente del dominio che disponga almeno dei privilegi di sola lettura.

        Se il server LDAP non dispone di sottodomini, è possibile specificare il nome utente senza il dominio (ad esempio, user1). Tuttavia, se il server LDAP dispone di sottodomini (ad esempio, il sottodominio new.company.com nel dominio company.com), è necessario specificare il nome utente e il dominio (ad esempio, user1@company.com).

        Attenzione
        Se si cambia la password del client del server LDAP esterno, verificare che sia stata aggiornata anche la nuova password in XClarity Orchestrator (vedere Impossibile eseguire il login a XClarity Orchestrator).
      • Credenziali di login. Selezionare questo metodo di collegamento per utilizzare il nome utente e la password di XClarity Orchestrator per LDAP per collegare XClarity Orchestrator al server di autenticazione esterno.

        Specificare il nome distinto LDAP completo di un account utente di prova e la password da utilizzare per l'autenticazione LDAP per convalidare la connessione al server di autenticazione.

        Queste credenziali utente non vengono salvate. Se l'operazione riesce, tutti i futuri collegamenti utilizzeranno il nome utente e la password usati per eseguire il login a XClarity Orchestrator. Se il collegamento non riesce, anche il processo di autenticazione fallisce.

        Nota
        È necessario avere eseguito il login a XClarity Orchestrator utilizzando un ID utente completo (ad esempio, administrator@domain.com).
    7. Se si sceglie di utilizzare l'autenticazione LDAP sicura, selezionare l'interruttore LDAP su SSL e fare clic su Recupera per recuperare e importare il certificato SSL attendibile. Quando viene visualizzata la finestra di dialogo Recupera certificato server, fare clic su Accetta per usare il certificato.

      Se si sceglie di utilizzare LDAP su SSL, XClarity Orchestrator utilizza il protocollo LDAPS per connettersi in modo sicuro al server di autenticazione esterna. Quando questa opzione è selezionata, vengono utilizzati certificati attendibili per abilitare il supporto LDAP sicuro.

      Attenzione
      Se si sceglie di disabilitare LDAP su SSL, XClarity Orchestrator utilizza un protocollo non sicuro per connettersi al server di autenticazione esterna. Se si seleziona questa impostazione, l'hardware potrebbe essere vulnerabile agli attacchi di sicurezza.
    8. Facoltativamente ordinare di nuovo i server LDAP utilizzando le icone Sposta verso l'alto (Icona Sposta verso l'alto) e Sposta verso il basso (Icona Sposta verso il basso).

      Il client LDAP tenta di eseguire l'autenticazione utilizzando il primo indirizzo IP del server. Se l'autenticazione non riesce, il client LDAP tenta di eseguire l'autenticazione utilizzando l'indirizzo IP successivo.

      Importante
      Per l'autenticazione LDAP sicura, utilizzare il certificato per l'autorità di certificazione (CA) radice del server LDAP o uno dei certificati intermedi del server. È possibile recuperare il certificato CA radice o intermedio da un prompt dei comandi eseguendo il comando che segue, dove {FullyQualifiedHostNameOrIpAddress} è il nome completo del server LDAP esterno. Il certificato CA radice o intermedio è in genere l'ultimo certificato nell'output, l'ultima sezione BEGIN--END.
      openssl s_client -showcerts -connect {FullyQualifiedHostNameOrIpAddress}:636
    9. Fare clic su Applica modifiche.

      XClarity Orchestrator prova a verificare l'indirizzo IP, la porta, i certificati SSL e le credenziali di collegamento e convalida la connessione al server LDAP per rilevare gli errori comuni. Se la convalida riesce, l'autenticazione utente viene effettuata sul server di autenticazione esterna quando un utente esegue il login a XClarity Orchestrator. Se la convalida non riesce, vengono visualizzati i messaggi di errore che indicano l'origine degli errori.

      Nota
      Se la convalida riesce e le connessioni ai server LDAP vengono completate correttamente, l'autenticazione utente potrebbe avere esito negativo se il nome distinto della radice non è corretto.

Al termine

È possibile rimuovere una configurazione del server LDAP facendo clic sull'icona Elimina (Icona Elimina) accanto alla configurazione. Quando si elimina una configurazione del server LDAP, se non sono disponibili altre configurazioni del server LDAP nello stesso dominio, vengono rimossi anche gli utenti clone e i gruppi di utenti clone del dominio.