跳到主要内容

设置外部 LDAP 认证服务器

Lenovo XClarity Orchestrator 包括本地(嵌入式)认证服务器。您也可以选择使用自己的外部 Active Directory LDAP 服务器。

开始之前

确保网络和防火墙上打开了外部认证服务器所需的所有端口。有关端口要求的信息,请参阅端口可用性 - XClarity Orchestrator

只支持将 Microsoft Active Directory 作为外部 LDAP 服务器。

XClarity Orchestrator 不会自动克隆在外部 LDAP 服务器中定义的用户组;但是,您可以手动克隆 LDAP 用户组(请参阅创建用户组

为了使外部 LDAP 用户能够登录到 XClarity Orchestrator,该用户必须是 XClarity Orchestrator 中克隆的 LDAP 用户组的直接成员(请参阅创建用户组XClarity Orchestrator 无法识别属于以下用户组的成员的用户:这些用户组嵌套在外部 LDAP 服务器中定义的克隆 LDAP 用户组内。

关于本任务

如果未配置外部 LDAP 服务器,则 XClarity Orchestrator 始终使用本地认证服务器对用户进行认证。

如果配置了外部 LDAP 服务器,则 XClarity Orchestrator 会首先尝试使用本地认证服务器对用户进行认证。如果认证失败,XClarity Orchestrator 会继续尝试使用第一个 LDAP 服务器的 IP 地址进行认证。如果认证失败,则 LDAP 客户端尝试使用下一 LDAP 服务器的 IP 地址进行认证。

外部 LDAP 用户首次登录到 XClarity Orchestrator 时,名称为 <username>@<domain> 格式的用户帐户会自动克隆到 XClarity Orchestrator 中。可以将克隆的外部 LDAP 用户添加到用户组,或使用 LDAP 组进行访问控制。还可以为外部 LDAP 用户添加主管权限。

过程

要将 XClarity Orchestrator 配置为使用外部 LDAP 认证服务器,请完成以下步骤。

  1. XClarity Orchestrator 菜单栏中,单击管理(“管理”图标 > 安全,然后单击左侧导航栏中的 LDAP 客户端以显示 LDAP 客户端卡。

    “LDAP 客户端”卡
  2. 通过以下步骤配置外部 LDAP 服务器。
    1. 单击添加图标(“添加”图标)添加 LDAP 服务器。

    2. 为外部 LDAP 服务器指定域名、IP 地址和端口。

      如果 显式将端口号设置为 3268 或 3269,则假定该条目代表域控制器。

      将端口号设置为 3268 或 3269 时,假定该条目代表全局编录。LDAP 客户端尝试使用所配置的第一个服务器 IP 地址的域控制器进行认证。如果此次尝试失败,则 LDAP 客户端尝试使用下一服务器 IP 地址的域控制器进行认证。

    3. (可选)选择启用自定义高级配置设置。

      当您选择使用自定义配置时,您可以指定用户搜索筛选条件。如果不指定用户搜索筛选条件,则默认使用 (&&(objectClass=user)(|(userPrincipalName={0})(sAMAccountName={0})))

      如果禁用高级配置,则使用默认的 Active Directory 配置。

    4. 指定完全限定 LDAP 基础可分辨名称;LDAP 客户端将根据该名称发起用户认证搜索。
    5. 指定完全限定 LDAP 基础可分辨名称;LDAP 客户端将根据该名称发起用户组搜索(例如,dc=company,dc=com)。
    6. (可选)指定将 XClarity Orchestrator 绑定到外部认证服务器所使用的凭证。您可以使用以下两种绑定方法之一。
      • 已配置的凭证。此绑定方法使用特定的客户端名称和密码将 XClarity Orchestrator 绑定到外部认证服务器。如果绑定失败,则认证过程也将失败。

        指定用户帐户的完全限定 LDAP 可分辨名称(例如 cn=somebody,dc=company,dc=com)或电子邮件地址(例如 somebody@company.com)以及 LDAP 认证密码,以将 XClarity Orchestrator 绑定到 LDAP 服务器。如果绑定失败,则认证过程也将失败。

        可分辨名称必须是域中某个至少具有只读权限的用户帐户。

        如果 LDAP 服务器没有子域,您可以指定不带域的用户名(例如 user1)。但是,如果 LDAP 服务器带有子域(例如,域 company.com 中的子域 new.company.com),那么您必须指定用户名和域(例如 user1@company.com)。

        注意
        如果更改外部 LDAP 服务器中的客户端密码,则确保也更新了 XClarity Orchestrator 中的新密码(请参阅无法登录到 XClarity Orchestrator)。
      • 登录凭证。此绑定方法使用您的 LDAP XClarity Orchestrator 用户名和密码将 XClarity Orchestrator 绑定到外部认证服务器。

        指定 test 用户帐户的完全限定 LDAP 可分辨名称和 LDAP 认证密码,以验证与认证服务器之间的连接。

        这些用户凭证不会被保存。如果成功,以后的所有绑定均使用您用于登录到 XClarity Orchestrator 的用户名和密码。如果绑定失败,则认证过程也将失败。

        必须使用完全限定用户标识(例如 administrator@domain.com)登录 XClarity Orchestrator
    7. (可选)选择使用安全 LDAP,方法是选择 LDAP over SSL 切换开关并单击获取以检索和导入可信 SSL 证书。当显示“获取服务器证书”对话框时,单击接受以使用该证书。

      如果选择使用 LDAP over SSL,XClarity Orchestrator 将使用 LDAPS 协议安全地连接到外部认证服务器。选择此选项后,将使用可信证书来支持安全 LDAP。

      注意
      如果选择禁用 LDAP over SSL,XClarity Orchestrator 将使用非安全协议连接到外部认证服务器。选择此设置可能会使硬件容易遭受安全攻击。
    8. (可选)使用上移图标(“上移”图标)和下移图标(“下移”图标)对 LDAP 服务器进行重新排序。

      LDAP 客户端尝试使用第一个服务器 IP 地址进行认证。如果认证失败,则 LDAP 客户端尝试使用下一服务器 IP 地址进行认证。

      重要
      为了确保 LDAP 认证的安全,请使用 LDAP 服务器的根证书颁发机构(CA)的证书,或服务器的某个中间证书。您可以通过运行以下命令,从命令提示符获取根或中间 CA 证书,其中 {FullyQualifiedHostNameOrIpAddress} 是外部 LDAP 服务器的完全限定名称。根 CA 证书或中间 CA 证书通常是输出中的最后一个证书,在最后的 BEGIN--END 部分。
      openssl s_client -showcerts -connect {FullyQualifiedHostNameOrIpAddress}:636
    9. 单击应用更改

      XClarity Orchestrator 会尝试测试 IP 地址、端口、SSL 证书和绑定凭证并验证 LDAP 服务器连接,以检测常见错误。如果验证通过,则用户登录到 XClarity Orchestrator 时,将在该外部认证服务器上进行用户认证。如果该验证失败,则显示错误消息,指示错误的来源。

      如果验证成功且与该 LDAP 服务器的连接成功完成,但根可分辨名称不正确,用户认证可能会失败。

完成之后

可以通过单击某个 LDAP 服务器配置旁边的删除图标(“删除”图标)图标来删除该配置。删除 LDAP 服务器配置时,如果同一域中没有其他 LDAP 服务器配置,则该域中的克隆用户和克隆用户组也将被删除。