Pular para o conteúdo principal

Configurando um servidor de autenticação LDAP externo

Lenovo XClarity Orchestrator inclui um servidor de autenticação local (incorporado). Você também pode optar por usar seu próprio servidor LDAP do Active Directory externo.

Antes de iniciar

Garanta que todas as portas necessárias para o servidor de autenticação externo estejam abertas na rede e nos firewalls. Para obter informações sobre os requisitos de porta, consulte Disponibilidade de porta – XClarity Orchestrator.

Somente o Microsoft Active Directory é suportado como um servidor LDAP externo.

O XClarity Orchestrator não clona automaticamente grupos de usuários definidos no servidor LDAP externo. Entretanto, é possível clonar manualmente o grupo de usuários LDAP (consulte Criando grupos de usuários).

Para que um usuário LDAP externo possa fazer login no XClarity Orchestrator, ele deve ser membro direto de um grupo de usuários LDAP clonado no XClarity Orchestrator (consulte Criando grupos de usuários). O XClarity Orchestrator não reconhece usuários membros de grupos de usuários aninhados no grupo de usuários LDAP clonado definido no servidor LDAP externo.

Sobre esta tarefa

Se um servidor LDAP externo não estiver configurado, o XClarity Orchestrator sempre autenticará um usuário utilizando o servidor de autenticação local.

Se um servidor LDAP externo não estiver configurado, o XClarity Orchestrator primeiro tentará autenticar um usuário utilizando o servidor de autenticação local. Se a autenticação falhar, o XClarity Orchestrator tentará autenticar usando o endereço IP do primeiro servidor LDAP. Se a autenticação falhar, o cliente LDAP tentará autenticar usando o endereço IP do próximo servidor LDAP.

Quando um usuário LDAP externo faz login no XClarity Orchestrator pela primeira vez, uma conta de usuário com o nome <username>@<domain> é clonada automaticamente no XClarity Orchestrator. É possível adicionar usuários LDAP externos clonados a grupos de usuários ou usar grupos LDAP para controle de acesso. Também é possível adicionar privilégios de supervisor a um usuário LDAP externo.

Procedimento

Para configurar o XClarity Orchestrator para usar um servidor de autenticação LDAP externo, conclua as etapas a seguir.

  1. Na barra de menus do XClarity Orchestrator, clique em Administração (Ícone de Administração) > Segurança e, em seguida, clique em Cliente LDAP na navegação esquerda para exibir a placa Cliente LDAP.

    Cartão Cliente LDAP
  2. Configure cada servidor LDAP externo usando as etapas a seguir.
    1. Clique no ícone Adicionar (Ícone de Adicionar) para adicionar um servidor LDAP.

    2. Especifique o nome do domínio, o endereço IP e a porta para o servidor LDAP externo.

      Se o número de porta não for explicitamente definido como 3268 ou 3269, o sistema assumirá que a entrada identifica um controlador de domínio.

      Quando o número da porta estiver definido como 3268 ou 3269, o sistema assumirá que a entrada identifica um catálogo global. O cliente LDAP tenta autenticar usando o controlador de domínio para o primeiro endereço IP do servidor configurado. Se isso falhar, o cliente LDAP tentará autenticar usando o controlador de domínio para o próximo endereço IP do servidor.

    3. Você também pode optar por ativar a personalização de configurações avançadas.

      Quando você optar por usar uma configuração personalizada, poderá especificar o filtro de pesquisa do usuário. Se você não especificar um filtro de pesquisa do usuário, o (&&(objectClass=user)(|(userPrincipalName={0})(sAMAccountName={0}))) será usado por padrão.

      Se a configuração avançada estiver desativada, a configuração padrão do Active Directory será usada.

    4. Especifique o nome distinto da base de LDAP totalmente qualificado a partir do qual o cliente LDAP inicia a pesquisa pela autenticação do usuário.
    5. Especifique o nome distinto da base de LDAP totalmente qualificado a partir do qual o cliente LDAP inicia a pesquisa por grupos de usuários (por exemplo, dc=company,dc=com).
    6. Opcionalmente, especifique credenciais para vincular o XClarity Orchestrator ao servidor de autenticação externo. É possível usar um dos dois métodos de vinculação.
      • Credenciais Configuradas Use esse método de vinculação para usar o nome do cliente e a senha específicos para vincular o XClarity Orchestrator ao servidor de autenticação externo. Se essa vinculação falhar, o processo de autenticação também falhará.

        Especifique o nome distinto LDAP totalmente qualificado (por exemplo, cn=somebody,dc=company,dc=com) ou o endereço de e-mail (por exemplo, somebody@company.com) da conta do usuário e a senha a ser usada para autenticação LDAP para vincular o XClarity Orchestrator ao servidor LDAP. Se essa vinculação falhar, o processo de autenticação também falhará.

        O nome distinto deve ser uma conta de usuário no domínio que tem pelo menos privilégios somente leitura.

        Se o servidor LDAP não tiver subdomínios, será possível especificar o nome do usuário sem o domínio (por exemplo, user1). No entanto, se o servidor LDAP tiver subdomínios (por exemplo, subdomínio new.company.com no domínio company.com), você deverá especificar o nome de usuário e o domínio (por exemplo, user1@company.com).

        Atenção
        Se você alterar a senha do cliente no servidor LDAP externo, também atualize a nova senha no XClarity Orchestrator (consulte Não é possível fazer login no XClarity Orchestrator).
      • Credenciais de Login. Use esse método de vinculação para usar o nome do XClarity Orchestrator LDAP e a senha para vincular o XClarity Orchestrator ao servidor de autenticação externo.

        Especifique o nome distinto LDAP totalmente qualificado de uma conta de usuário de teste e a senha a ser usada para autenticação LDAP para validar a conexão com o servidor de autenticação.

        Essas credenciais do usuário não são salvas. Se a operação for bem-sucedida, todas as vinculações futuras usarão o nome do usuário e a senha que você usou para fazer login no XClarity Orchestrator. Se essa vinculação falhar, o processo de autenticação também falhará.

        Nota
        Você deve estar conectado ao XClarity Orchestrator usando um ID de usuário totalmente qualificado (por exemplo, administrator@domain.com).
    7. Como opção, opte por usar LDAP seguro selecionando o botão de alternância LDAP sobre SSL e, em seguida, clicando em Buscar para recuperar e importar o certificado SSL confiável. Quando a caixa de diálogo Buscar certificado de servidor for exibida, clique em Aceitar para usar o certificado.

      Se você optar por usar LDAP sobre SSL, o XClarity Orchestrator usa o protocolo LDAPS para se conectar com segurança ao servidor de autenticação externo. Quando essa opção é selecionada, os certificados confiáveis são usados para habilitar o suporte a LDAP seguro.

      Atenção
      Se você optar por desabilitar LDAP sobre SSL, o XClarity Orchestrator usa um protocolo não seguro para se conectar ao servidor de autenticação externo. Se você escolher essa configuração, o hardware poderá ficar vulnerável a ataques à segurança.
    8. Também é possível reordenar os servidores LDAP usando os ícones Mover para Cima (Ícone Mover para Cima) e Mover para Baixo (Ícone Mover para Baixo).

      O cliente LDAP tenta autenticar usando o primeiro endereço IP do servidor. Se a autenticação falhar, o cliente LDAP tentará autenticar usando o próximo endereço IP do servidor.

      Importante
      Para autenticação LDAP segura, use o certificado para a autoridade de certificado raiz (CA) do servidor LDAP ou um dos certificados intermediários do servidor. É possível recuperar o certificado da CA raiz ou intermediário de um prompt de comandos executando o comando a seguir, em que {FullyQualifiedHostNameOrIpAddress} é o nome totalmente qualificado do servidor LDAP externo. O certificado CA raiz ou intermediário é normalmente o último certificado na saída, a última seção BEGIN--END.
      openssl s_client -showcerts -connect {FullyQualifiedHostNameOrIpAddress}:636
    9. Clique em Aplicar alterações.

      O XClarity Orchestrator tenta testar o endereço IP, a porta, os certificados SSL e as credenciais de vinculação e valida a conexão do servidor LDAP para detectar erros comuns. Se a validação passar, a autenticação do usuário ocorrerá no servidor de autenticação externo quando um usuário fizer login no XClarity Orchestrator. Se a validação falhar, mensagens de erro serão exibidas indicando a origem de erros.

      Nota
      Se a validação for bem-sucedida e as conexões com o servidor LDAP forem concluídas com êxito, a autenticação do usuário poderá falhar se o nome distinto raiz estiver incorreto.

Depois de concluir

É possível remover uma configuração do servidor LDAP clicando no ícone Excluir (Ícone de Excluir) ao lado da configuração. Quando você exclui uma configuração do servidor LDAP, se não houver outras configurações do servidor LDAP no mesmo domínio, os usuários de clone e os grupos de usuários de clone nesse domínio também serão removidos.