Перейти к основному содержимому

Настройка внешнего сервера аутентификации LDAP

Lenovo XClarity Orchestrator включает локальный (встроенный) сервер аутентификации. Также можно использовать собственный внешний сервер LDAP Active Directory.

Перед началом работы

Убедитесь, что все порты, которые требуются внешнему серверу аутентификации, открыты в сети и брандмауэрах. Сведения о требованиях к портам см. в разделе Доступность портов.

Только Microsoft Active Directory поддерживается как внешний сервер LDAP.

XClarity Orchestrator не клонирует автоматически группы пользователей, определенные на внешнем сервере LDAP; однако группу пользователей LDAP можно клонировать вручную (см. раздел Создание групп пользователей).

Чтобы внешний пользователь LDAP мог войти в XClarity Orchestrator, он должен являться непосредственным участником группы пользователей LDAP, клонируемой в XClarity Orchestrator (см. раздел Создание групп пользователей). XClarity Orchestrator не распознает пользователей, являющихся участниками групп пользователей, которые размещены в клонированной группе пользователей LDAP, определенной на внешнем сервере LDAP.

Об этой задаче

Если внешний сервер LDAP не настроен, XClarity Orchestrator всегда выполняет аутентификацию пользователя с помощью локального сервера аутентификации.

Если внешний сервер LDAP настроен, XClarity Orchestrator сначала пытается выполнить аутентификацию пользователя с помощью локального сервера аутентификации. Если выполнить аутентификацию не удается, XClarity Orchestrator пытается выполнить аутентификацию с использованием IP-адреса первого сервера LDAP. Если выполнить аутентификацию не удается, клиент LDAP пытается выполнить аутентификацию с использованием IP-адреса следующего сервера LDAP.

При первом входе внешнего пользователя LDAP в XClarity Orchestrator учетная запись пользователя с именем <username>@<domain> автоматически клонируется в XClarity Orchestrator. Можно добавить клонированных внешних пользователей LDAP в группы пользователей или использовать группы LDAP для управления доступом. Также можно назначить привилегии супервизора внешнему пользователю LDAP.

Процедура

Чтобы настроить XClarity Orchestrator для использования внешнего сервера аутентификации LDAP, выполните следующие действия.

  1. В строке меню XClarity Orchestrator нажмите Администрирование (Значок «Администрирование») > Безопасность, а затем выберите Клиент LDAP на левой панели навигации, чтобы открыть карту Клиент LDAP.

    Карта «Клиент LDAP»
  2. Настройте каждый внешний сервер LDAP, выполнив следующие действия.
    1. Нажмите значок Добавить (Значок «Добавить»), чтобы добавить сервер LDAP.
    2. Укажите доменное имя, IP-адрес и порт для внешнего сервера LDAP.

      Если номер порта не задан явным образом как 3268 или 3269, считается, что запись определяет контроллер домена.

      Если номер порта задан как 3268 или 3269, считается, что запись определяет глобальный каталог. Клиент LDAP пытается выполнить аутентификацию с помощью контроллера домена для первого настроенного IP-адреса сервера. В случае неудачи клиент LDAP пытается выполнить аутентификацию с помощью контроллера домена для следующего IP-адреса сервера.

    3. Если требуется, включите настройку параметров расширенной конфигурации.

      При использовании пользовательской конфигурации можно указать фильтр поиска пользователей. Если фильтр поиска пользователей не указан, по умолчанию используется (&&(objectClass=user)(|(userPrincipalName={0})(sAMAccountName={0}))).

      Если расширенная конфигурация отключена, используется конфигурация Active Directory по умолчанию.

    4. Укажите полное базовое различающееся имя LDAP, на котором клиент LDAP инициирует поиск аутентификации пользователей.
    5. Укажите полное базовое различающееся имя LDAP, на котором клиент LDAP инициирует поиск групп пользователей (например, dc=company,dc=com).
    6. Также можно указать учетные данные для привязки XClarity Orchestrator к внешнему серверу аутентификации. Можно использовать один из двух методов привязки.
      • Настроенные учетные данные. Воспользуйтесь этим методом привязки, чтобы использовать имя и пароль клиента для привязки XClarity Orchestrator к внешнему серверу аутентификации. При сбое привязки процесс аутентификации также завершается сбоем.

        Укажите полное различающееся имя LDAP (например, cn=somebody,dc=company,dc=com) или адрес электронной почты (например, somebody@company.com) учетной записи пользователя и пароль для использования при аутентификации LDAP для привязки XClarity Orchestrator к серверу LDAP. При сбое привязки процесс аутентификации также завершается сбоем.

        Различающееся имя должно быть учетной записью пользователя в домене, имеющей по крайней мере привилегии только для чтения.

        Если на сервере LDAP нет поддоменов, можно указать имя пользователя без домена (например, user1). Однако если на сервере LDAP нет поддоменов (например, поддомена new.company.com в домене company.com), необходимо указать имя пользователя и домен (например, user1@company.com).

        Внимание
        В случае замены пароля клиента на внешнем сервере LDAP обязательно обновите пароль в XClarity Orchestrator (см. раздел Не удается войти в XClarity Orchestrator).
      • Учетные данные для входа. Используйте этот метод привязки, чтобы использовать имя пользователя и пароль XClarity Orchestrator LDAP для привязки XClarity Orchestrator к внешнему серверу аутентификации.

        Укажите полное различающееся имя LDAP тестовой учетной записи пользователя и пароль, которые необходимо использовать для аутентификации LDAP с целью проверки подключения к серверу аутентификации.

        Эти учетные данные пользователя не сохраняются. Если операция выполнена успешно, все будущие привязки будут использовать имя пользователя и пароль, которые вы указали для входа в XClarity Orchestrator. При сбое привязки процесс аутентификации также завершается сбоем.

        Прим.
        Вам необходимо войти в XClarity Orchestrator, используя полный идентификатор пользователя (например, administrator@domain.com).
    7. При необходимости используйте защищенный LDAP, выбрав переключатель LDAP через SSL и нажав Искать для извлечения и импорта доверенного сертификата SSL. Когда отобразится диалоговое окно Искать сертификат сервера, нажмите Принять, чтобы использовать этот сертификат.

      Если вы решили использовать LDAP over SSL, XClarity Orchestrator использует протокол LDAPS для безопасного подключения к внешнему серверу аутентификации. Если этот параметр выбран, доверенные сертификаты используются для обеспечения поддержки защищенного LDAP.

      Внимание
      Если вы решили отключить LDAP over SSL, XClarity Orchestrator использует незащищенный протокол для подключения к внешнему серверу аутентификации. При выборе этого параметра оборудование может быть уязвимым к атакам.
    8. Дополнительно можно изменить порядок серверов LDAP с помощью значков Вверх (Значок «Вверх») и Вниз (Значок «Вниз»).

      Клиент LDAP пытается выполнить аутентификацию с использованием IP-адреса первого сервера. Если выполнить аутентификацию не удается, клиент LDAP пытается выполнить аутентификацию с использованием IP-адреса следующего сервера.

      Важное замечание
      Для безопасной аутентификации LDAP используйте сертификат центра сертификации корневых сертификатов (ЦС) сервера LDAP или один из промежуточных сертификатов сервера. Корневой или промежуточный сертификат ЦС можно получить из командной строки, выполнив следующую команду , где {FullyQualifiedHostNameOrIpAddress} — это полное имя внешнего сервера LDAP. Корневой или промежуточный сертификат ЦС обычно является последним сертификатом в выходных данных (последний раздел BEGIN--END).
      openssl s_client -showcerts -connect {FullyQualifiedHostNameOrIpAddress}:636
    9. Нажмите Применить изменения.

      XClarity Orchestrator попытается протестировать IP-адрес, порт, сертификаты SSL и учетные данные привязки и проверит подключение сервера LDAP для обнаружения распространенных ошибок. Если проверка проходит успешно, аутентификация пользователей выполняется на внешнем сервере аутентификации при входе пользователя в XClarity Orchestrator. Если проверка завершается ошибкой, отображаются сообщения об ошибках, которые указывают источник ошибок.

      Прим.
      Если проверка выполняется успешно и успешно устанавливается подключение к серверу LDAP, аутентификация пользователей может завершиться ошибкой из-за неправильного различающегося имени корня.

После завершения

Чтобы удалить конфигурацию сервера LDAP, щелкните значок Удалить (Значок «Удалить») рядом с конфигурацией. При удалении конфигурации сервера LDAP, если в этом домене нет других конфигураций серверов LDAP, также удаляются клонированные пользователи и клонированные группы пользователей в этом домене.