跳至主要内容

設定外部 LDAP 鑑別伺服器

Lenovo XClarity Orchestrator 包括本端(嵌入式)鑑別伺服器。您也可以選擇使用自己的外部 Active Directory LDAP 伺服器。

開始之前

確認已在網路和防火牆上開啟外部鑑別伺服器需要的所有埠。如需埠需求的相關資訊,請參閱埠可用性 – XClarity Orchestrator

僅支援使用 Microsoft Active Directory 作為外部 LDAP 伺服器。

XClarity Orchestrator 不會自動複製外部 LDAP 伺服器中定義的使用者群組;不過,您可以手動複製 LDAP 使用者群組(請參閱建立使用者群組

外部 LDAP 使用者可以登入 XClarity Orchestrator 之前,使用者必須是 XClarity Orchestrator 中複製的 LDAP 使用者群組的直接成員(請參閱建立使用者群組XClarity Orchestrator 無法辨識外部 LDAP 伺服器中所定義複製的 LDAP 使用者群組中巢狀的使用者群組的成員使用者。

關於此作業

如果未配置外部 LDAP 伺服器,XClarity Orchestrator 一律使用本端鑑別伺服器來鑑別使用者。

如果有配置外部 LDAP 伺服器,XClarity Orchestrator 會先嘗試使用本端鑑別伺服器來鑑別使用者。如果鑑別失敗,XClarity Orchestrator 會接著嘗試使用第一個 LDAP 伺服器的 IP 位址進行鑑別。如果鑑別失敗,LDAP 用戶端會嘗試使用下一個 LDAP 伺服器的 IP 位址進行鑑別。

當外部 LDAP 使用者第一次登入 XClarity Orchestrator 時,XClarity Orchestrator 中會自動建立名稱為 <username>@<domain> 的使用者帳戶複本。您可以將外部 LDAP 使用者的複本新增至使用者群組,或使用 LDAP 群組進行存取控制。您也可以將監督者權限新增至外部 LDAP 使用者。

程序

若要配置 XClarity Orchestrator 以使用外部 LDAP 鑑別伺服器,請完成下列步驟。

  1. XClarity Orchestrator 功能表列上,按一下管理 (管理圖示) > 安全性,然後按一下左側導覽窗格中的 LDAP 用戶端以顯示 LDAP 用戶端卡片。

    LDAP 用戶端卡
  2. 使用下列步驟配置每個外部 LDAP 伺服器。
    1. 按一下新增圖示 (新增圖示) 以新增 LDAP 伺服器。

    2. 為外部 LDAP 伺服器指定網域名稱、IP 位址和埠。

      如果埠號明確設定為 3268 或 3269,則會假設該項目用來識別網域控制站。

      若埠號設定為 3268 或 3269,則會假設該項目用來識別廣域型錄。LDAP 用戶端會嘗試使用配置的第一個伺服器 IP 位址的網域控制站進行鑑別。如果鑑別失敗,LDAP 用戶端會嘗試使用下一個伺服器 IP 位址的網域控制站進行鑑別。

    3. (選用)選擇啟用自訂進階配置設定。

      當您選擇使用自訂配置時,可以指定使用者搜尋過濾器。如果您不指定使用者搜尋過濾器,則依預設使用 (&&(objectClass=user)(|(userPrincipalName={0})(sAMAccountName={0})))

      如果停用進階配置,則使用預設的 Active Directory 配置。

    4. 指定完整 LDAP 基礎識別名稱,以供 LDAP 用戶端起始使用者鑑別的搜尋。
    5. 指定完整 LDAP 基礎識別名稱,以供 LDAP 用戶端起始使用者群組的搜尋(例如,dc=company,dc=com)。
    6. (選擇性)指定認證以將 XClarity Orchestrator 連結至外部鑑別伺服器。您可以使用下列兩種連結方法其中之一。
      • 配置的認證。使用此連結方法可利用特定用戶端名稱和密碼將 XClarity Orchestrator 連結至外部鑑別伺服器。如果連結失敗,鑑別程序也會失敗。

        指定用於 LDAP 鑑別的使用者帳戶完整 LDAP 識別名稱(例如,cn=somebody,dc=company,dc=com)或電子郵件地址(例如,somebody@company.com)和密碼,以將 XClarity Orchestrator 連結到 LDAP 伺服器。如果連結失敗,鑑別程序也會失敗。

        識別名稱必須是網域內至少具有唯讀權限的使用者帳戶。

        如果 LDAP 伺服器沒有子網域,您可以指定不含網域的使用者名稱(例如,user1)。但是,如果 LDAP 伺服器有子網域(例如,網域 company.com 中的子網域 new.company.com),則您必須指定使用者名稱和網域(例如,user1@company.com)。

        小心
        如果您變更外部 LDAP 伺服器中的用戶端密碼,務必一併更新 XClarity Orchestrator 中的新密碼(請參閱無法登入 XClarity Orchestrator)。
      • 登入認證。使用此連結方法可利用您的 LDAP XClarity Orchestrator 使用者名稱和密碼將 XClarity Orchestrator 連結至外部鑑別伺服器。

        指定用於 LDAP 鑑別的Specify the fully-qualified LDAP distinguished name of a 測試使用者帳戶完整 LDAP 識別名稱和密碼,以驗證與鑑別伺服器的連線。

        不會儲存這些使用者認證。如果成功,未來所有連結都會使用您用來登入 XClarity Orchestrator 的使用者名稱和密碼。如果連結失敗,鑑別程序也會失敗。

        您必須使用完整的使用者 ID(例如 administrator@domain.com)登入 XClarity Orchestrator
    7. (選擇性)選擇使用安全 LDAP,方法是選取 LDAP over SSL 切換開關,然後按一下擷取以擷取並匯入受信任 SSL 憑證。顯示擷取伺服器憑證對話框時,按一下接受以使用憑證。

      如果您選擇使用 LDAP over SSL,XClarity Orchestrator 會使用 LDAPS 通訊協定安全地連線至外部鑑別伺服器。選取此選項時,會使用受信任憑證來啟用安全 LDAP 支援。

      小心
      如果您選擇停用 LDAP over SSL,XClarity Orchestrator 會使用非安全的通訊協定連線至外部鑑別伺服器。如果選擇此設定,您的硬體可能容易遭受安全性攻擊。
    8. 您可以選擇使用上移圖示 (上移圖示) 和下移圖示 (下移圖示) 來重新排序 LDAP 伺服器。

      LDAP 用戶端會嘗試使用第一個伺服器 IP 位址進行鑑別。如果鑑別失敗,LDAP 用戶端會嘗試使用下一個伺服器 IP 位址進行鑑別。

      重要
      對於安全 LDAP 鑑別,請使用 LDAP 伺服器的主要憑證管理中心 (CA) 的憑證,或伺服器的某一個中繼憑證。您可以執行下列指令(其中 {FullyQualifiedHostNameOrIpAddress} 是外部 LDAP 伺服器的完整名稱),從命令提示字元擷取主要或中繼 CA 憑證。主要 CA 憑證或中繼 CA 憑證通常是輸出中的最後一個憑證,即最後一個 BEGIN--END 區段。
      openssl s_client -showcerts -connect {FullyQualifiedHostNameOrIpAddress}:636
    9. 按一下套用變更

      XClarity Orchestrator 會嘗試測試 IP 位址、埠、SSL 憑證和連結認證,並驗證 LDAP 伺服器連線,以偵測常見錯誤。如果驗證通過,當使用者登入 XClarity Orchestrator 時,就會在外部鑑別伺服器上進行使用者鑑別。如果驗證失敗,則會顯示錯誤訊息,指出錯誤的來源。

      即使驗證成功並順利連線至 LDAP 伺服器,如果根識別名稱不正確仍可能造成使用者鑑別失敗。

在您完成之後

您可以藉由按一下配置旁邊的刪除圖示 (刪除圖示),移除 LDAP 伺服器配置。刪除 LDAP 伺服器配置時,如果同一個網域中沒有其他 LDAP 伺服器配置,則該網域中的複本使用者和複本使用者群組也會遭移除。