Aller au contenu principal

Configuration LDAP

Les informations de cette rubrique vous indiquent comment afficher ou modifier les paramètres LDAP de XClarity Controller.

La prise en charge LDAP contient :
  • Prise en charge pour la version de protocole LDAP 3 (RFC-2251)
  • Prise en charge pour le client LDAP standard API (RFC-1823)
  • Prise en charge pour la syntaxe de filtre recherche LDAP standard (RFC-2254)
  • Prise en charge pour l'extension de Lightweight Directory Access Protocol (v3) pour le Transport Layer Security (RFC-2830)
L’implémentation LDAP prend en charge les serveurs LDAP suivants :
  • Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Microsoft Active Directory Application Mode (Windows 2003 Server)
  • Microsoft Lightweight Directory Service (Windows 2008, Windows 2012)
  • Serveur Novell eDirectory, version 8.7, 8.8 et 9.4
  • Serveur OpenLDAP 2.1, 2.2, 2.3 et 2.4

Cliquez sur l'onglet LDAP pour afficher ou modifier les paramètres LDAP de XClarity Controller.

XClarity Controller peut authentifier à distance l'accès d'un utilisateur via un serveur LDAP central, ou en plus des comptes utilisateur locaux qui sont stockés dans XClarity Controller lui-même. Des privilèges peuvent être désignés pour chaque compte utilisateur à l'aide de la chaîne IBMRBSPermissions. Vous pouvez aussi utiliser le serveur LDAP pour affecter des utilisateurs à des groupes et effectuer une authentification de groupe, en plus de l'authentification utilisateur (vérification de mot de passe) normale. Par exemple, XClarity Controller peut être associé à un ou plusieurs groupes, l'utilisateur réussit l'authentification de groupe uniquement s'il appartient à au moins un groupe qui est associé à XClarity Controller.

Pour configurer un serveur LDAP, procédez comme suit :
  1. Sous Informations du serveur LDAP, les options suivantes sont disponibles dans la liste d'éléments :
    • Utiliser le serveur LDAP pour l'authentification uniquement (avec autorisation) : Cette sélection permet d'indiquer à XClarity Controller d'utiliser les données d'identification uniquement pour s'authentifier auprès du serveur LDAP et pour extraire les informations d'appartenance de membre au groupe. Les noms de groupe et les privilèges peuvent être configurés dans la section Paramètres d'Active Directory.
    • Utiliser le serveur LDAP pour l'authentification et l'autorisation : cette section permet d'indiquer à XClarity Controller d'utiliser les données d'identification à la fois pour s'authentifier auprès du serveur LDAP et pour identifier les autorisations de l'utilisateur.
    Remarque
    Les serveurs LDAP à utiliser pour l'authentification peuvent être configurés manuellement ou détectés de manière dynamique via des enregistrements SRV DNS.
    • Utiliser des serveurs préconfigurés : Vous pouvez configurer jusqu'à quatre serveurs LDAP en entrant l'adresse IP ou le nom d'hôte de chaque serveur IP si DNS est activé. Le numéro de port de chaque serveur est facultatif. Si cette zone est laissée vide, la valeur par défaut 389 est utilisée pour les connexions LDAP non sécurisées. Pour les connexions sécurisées, la valeur de port par défaut est 636. Vous devez configurer au moins un serveur LDAP.
    • Utiliser DNS pour rechercher des serveurs : Vous pouvez choisir de détecter le ou les serveurs LDAP de manière dynamique. Les mécanismes décrits dans RFC2782 (A DNS RR pour l'indication de l'emplacement des services) permettent de localiser le ou les serveurs LDAP. Il s’agit du SRV DNS. Vous devez spécifier un nom FQDN à utiliser comme nom de domaine dans la demande SRV DNS.
      • Forêt AD : dans un environnement avec des groupes universels communs à plusieurs domaines, le nom de la forêt (ensemble de domaines) doit être configuré pour reconnaître les catalogues globaux (GC) requis. Dans un environnement où l'appartenance à un groupe commun à plusieurs domaines ne s'applique pas, cette zone peut rester vide.
      • Domaine AD : vous devez spécifier un nom de domaine qualifié complet (FQDN) à utiliser comme nom de domaine dans la demande SRV DNS.
    Si vous souhaitez activer LDAP sécurisé, cliquez sur la case à cocher Activer le LDAP sécurisé. Pour permettre la prise en charge de LDAP sécurisé, il est nécessaire de mettre en place un certificat SSL valide et au moins un certificat sécurisé client SSL doit être importé dans XClarity Controller. Votre serveur LDAP doit prendre en charge Transport Layer Security (TLS) version 1.2 pour être compatible avec le client LDAP sécurisé de XClarity Controller. Pour plus d’information sur le traitement des certificats, voir Traitement des certificats SSL.
  2. Renseignez les information sous Paramètres supplémentaires. Les paramètres sont décrits ci-dessous.
    Méthode de liaison
    Avant d'effectuer une recherche ou d'interroger le serveur LDAP, vous devez envoyer une demande de liaison. Cette zone contrôle la façon dont cette liaison initiale au serveur LDAP est réalisée. Les méthodes de liaison suivantes sont disponibles :
    • Aucunes données d’identification requises

      Utilisez cette méthode pour effectuer une liaison sans nom distinctif ou mot de passe. Cette méthode est fortement déconseillée car la plupart des serveurs sont configurés de sorte à ne pas autoriser les demandes de recherche sur des enregistrements d'utilisateurs spécifiques.

    • Utiliser les données d'identification configurées

      Utilisez cette méthode pour effectuer une liaison avec le DN et le mot de passe du client configuré.

    • Utiliser les données d'identification de connexion

      Utilisez cette méthode pour effectuer une liaison avec les données d'identification fournies au cours du processus de connexion. L'ID utilisateur peut être fourni via un nom distinctif (DN), un DN partiel, un nom de domaine qualifié complet ou via un ID utilisateur qui correspond à l'attribut de recherche UID qui est configuré dans XClarity Controller. Si les données d'identification présentées ressemblent à un nom distinctif partiel (par exemple, cn=joe), celui-ci sera apposé en préfixe au nom distinctif racine configuré afin de tenter de créer un nom distinctif correspondant à l'enregistrement de l'utilisateur. Si la tentative de liaison échoue, une tentative finale sera effectuée en ajoutant le préfixe cn= aux données d'identification de connexion, puis en ajoutant la chaîne résultante au nom distinctif racine configuré.

    Si la liaison initiale est réussie, une recherche a lieu pour trouver une entrée sur le serveur LDAP appartenant à l'utilisateur qui tente de se connecter. Si nécessaire, une seconde tentative de liaison a lieu, cette fois avec le nom distinctif récupéré de l'enregistrement LDAP de l'utilisateur et le mot de passe entré pendant le processus de connexion. Si la seconde tentative de liaison échoue, la demande d'accès de l'utilisateur est refusée. La seconde liaison n'est effectuée que lorsque les méthodes de liaison Aucune donnée d'identification requise ou Utiliser des données d'identification configurées sont utilisées.
    Nom distinctif racine
    Il s'agit du nom distinctif (DN) de l'entrée racine de l'arborescence de répertoires sur le serveur LDAP (par exemple, dn=mycompany,dc=com). Ce nom distinctif est utilisé comme objet de base pour toutes les demandes de recherche.
    Attribut de recherche UID
    Lorsque la méthode de liaison est définie sur Aucune donnée d'identification requise ou Utiliser des données d'identification configurées, la liaison initiale vers le serveur LDAP est suivie d'une demande de recherche qui extrait des informations spécifiques sur l'utilisateur, y compris son nom distinctif, ses droits de connexion et son appartenance à un groupe. Cette demande de recherche doit spécifier le nom d'attribut représentant les ID d'utilisateur sur ce serveur. Ce nom d'attribut est configuré dans cette zone. Sur les serveurs Active Directory, le nom d'attribut est normalement sAMAccountName. Sur les serveurs Novell eDirectory et OpenLDAP, le nom d'attribut est uid. Si cette zone est laissée vide, la valeur par défaut est uid.
    Filtre de groupe
    La zone Filtre de groupe est utilisée pour l'authentification des groupes. L'authentification de groupe est tentée une fois que la vérification des données d'identification de l'utilisateur a été réalisée avec succès. Si l'authentification de groupe échoue, la tentative de connexion de l'utilisateur est refusée. Lorsque le filtre de groupe est configuré, il est utilisé pour spécifier à quels groupes XClarity Controller appartient. Cela signifie que l'utilisateur doit appartenir au moins à l'un des groupes configurés pour que l'authentification de groupe réussisse. Si la zone Filtre de groupe est laissée vide, l'authentification de groupe réussit automatiquement. Si le filtre de groupe est configuré, le système vérifie si au moins un groupe de la liste correspond à l'un des groupes auxquels l'utilisateur appartient. S'il n'y a pas de groupe concordant, l'authentification de l'utilisateur échoue et l'accès est refusé. Si au moins une concordance est trouvée, l'authentification de groupe réussit.
    Les comparaisons sont sensibles à la casse. Le filtre est limité à 511 caractères et peut comprendre un ou plusieurs noms de groupe. Le signe deux-points (:) doit être utilisé pour délimiter plusieurs noms de groupes. Les espaces de début et de fin sont ignorés. Tous les autres espaces sont traités comme faisant partie du nom du groupe.
    Remarque
    Le caractère générique (*) n'est plus traité comme un caractère générique. Le concept de caractère générique n'est plus utilisé en raison des risques qui peuvent affecter la sécurité. Un nom de groupe peut être spécifié en utilisant un nom distinctif complet ou seulement la portion cn. Par exemple, un groupe dont le nom distinctif est cn=adminGroup, dc=mycompany, dc=com peut être spécifié en utilisant ce nom distinctif ou adminGroup.
    L'appartenance à un groupe imbriqué est prise en charge uniquement dans les environnements Active Directory. Par exemple, si un utilisateur est membre de GroupA et GroupB, et que GroupA est également membre de GroupC, l'utilisateur est considéré comme étant également membre de GroupC. Les recherches imbriquées s'arrêtent lorsque 128 groupes ont été recherchés. Les groupes d'un niveau sont recherchés avant les groupes appartenant à un niveau inférieur. Les boucles ne sont pas détectées.
    Attribut de recherche de groupe
    Dans un environnement Active Directory ou Novell eDirectory, la zone Attribut de recherche de groupe spécifie le nom d'attribut utilisé pour identifier les groupes auxquels un utilisateur appartient. Dans un environnement Active Directory, le nom d'attribut est memberOf. Dans un environnement eDirectory, le nom d'attribut est groupMembership. Dans un environnement de serveur OpenLDAP, les utilisateurs sont généralement affectés aux groupes pour lesquels objectClass correspond à PosixGroup. Dans ce contexte, cette zone spécifie le nom d'attribut utilisé pour identifier les membres d'un groupe PosixGroup particulier. Ce nom d'attribut est memberUid. Si cette zone est laissée vide, le nom d'attribut du filtre correspond par défaut à memberOf.
    Attribut d'autorisation de connexion
    Lorsqu'un utilisateur s'authentifie avec succès à travers un serveur LDAP, les droits de connexion de l'utilisateur doivent être récupérés. Pour récupérer les droits de connexion, le filtre de recherche envoyé au serveur doit indiquer le nom d'attribut associé aux droits de connexion. La zone Attribut d'autorisation de connexion indique le nom d'attribut. Si cette zone est laissée vide, l'utilisateur obtient les droits de lecture seule par défaut, dans la mesure où l'authentification de groupe et d'utilisateur a réussi.
    La valeur d'attribut renvoyée par le serveur LDAP recherche la chaîne de mot clé IBMRBSPermissions=. Cette chaîne de mot clé doit être immédiatement suivie d'une chaîne de bits correspondant à 12 occurrences consécutives du chiffre 0 ou du chiffre 1. Chaque bit représente un ensemble de fonctions. Les bits sont numérotés selon leur position. Le bit le plus à gauche correspond à la position de bit 0 et le bit le plus à droite à la position de bit 11. La valeur 1 placé à une position de bit particulière active la fonction qui est associée à cette position de bit. Si une position de bit a la valeur 0, la fonction associée à cette position de bit est désactivée.
    La chaîne IBMRBSPermissions=010000000000 est un exemple valide. Le mot clé IBMRBSPermissions= est utilisé pour être placé à n'importe quel endroit dans cette zone. Ceci permet à l'administrateur LDAP de réutiliser un attribut existant, évitant ainsi une extension du schéma LDAP. Cela permet également d'utiliser l'attribut pour sa fonction initiale. Vous pouvez ajouter la chaîne de mot clé n'importe où dans cette zone. L'attribut utilisé permet une chaîne au format libre. Lorsque l'attribut est récupéré avec succès, la valeur renvoyée par le serveur LDAP est interprétée conformément à l'information du tableau suivant.
    Tableau 1. Bits d'autorisation.

    Tableau à trois colonnes contenant des explications sur les positions de bit.

    Position de bitFonctionExplication
    0Refuser toujoursL'authentification de l'utilisateur échoue toujours. Cette fonction peut être utilisée pour bloquer un ou plusieurs utilisateurs associés à un groupe spécifique.
    1Accès superviseurL'utilisateur obtient les privilèges d'administrateur. L'utilisateur dispose d'un accès en lecture et écriture à chaque fonction. Si vous définissez ce bit, vous n'avez pas à définir individuellement les autres.
    2Accès en lecture seuleL'utilisateur dispose d'un accès en lecture seule et ne peut pas exécuter de procédures de maintenance (par exemple, un redémarrage, des actions à distance ou des mises à jour de microprogramme) ni effectuer de modifications (par exemple, les fonctions de sauvegarde, suppression ou restauration). La position de bit 2 et tous les autres bits s'excluent mutuellement, la position de bit 2 étant celle avec la plus faible priorité. Si un autre bit est défini, ce bit sera ignoré.
    3Réseaux et sécuritéL'utilisateur peut modifier la configuration des pages Sécurité, Protocoles réseau, Interface réseau, Affectations des ports et Port série.
    4Gestion de compte utilisateurL'utilisateur peut ajouter, modifier ou supprimer des utilisateurs et modifier les paramètres de connexion globaux (Paramètres de connexion globaux) dans la fenêtre Profils de connexion.
    5Accès console distanteL'utilisateur peut accéder à la console du serveur distant.
    6Accès console distante et disques distantsL'utilisateur peut accéder à la console du serveur distant et aux fonctions de disque distant du serveur distant.
    7Démarrage serveur distant/Accès redémarrageL'utilisateur peut accéder aux fonctions de mise sous tension et de redémarrage du serveur distant.
    8Configuration de base de l'adaptateurL'utilisateur peut modifier les paramètres de configuration dans les fenêtres Paramètres système et Alertes.
    9Possibilité d'effacer les journaux d'événementsL'utilisateur peut effacer les journaux d'événements.
    Remarque
    Tous les utilisateurs peuvent afficher les journaux des événements mais ce niveau d'autorisation est requis pour pouvoir effacer leur contenu.
    10Configuration avancée de l'adaptateurL'utilisateur n'est soumis à aucune restriction lorsqu'il configure XClarity Controller. De plus, il possède les droits d'accès administrateur à XClarity Controller. L'utilisateur peut exécuter les fonctions avancées suivantes : mises à jour de microprogramme, amorçage réseau PXE, restauration des paramètres usine par défaut de XClarity Controller, modification et restauration de la configuration de l'adaptateur depuis un fichier de configuration et redémarrage/réinitialisation de XClarity Controller.
    11Réservé

    Cette position de bit est réservée pour un usage ultérieur. Si aucun bit n'est défini, l'utilisateur obtient les droits de lecture seule. Le système donne la priorité aux droits de connexion récupérés directement de l'enregistrement utilisateur.

    Si l'attribut d'autorisation de connexion ne figure pas dans l'enregistrement utilisateur, le système tente de récupérer les droits des groupes auxquels l'utilisateur appartient. Ceci fait partie de la phase d'authentification de groupe. L'utilisateur reçoit l'opérateur inclusif OR de tous les bits pour tous les groupes.

    Le bit Accès en lecture seule (position 2) est uniquement défini si tous les autres bits sont définis sur zéro. Si le bit Refuser toujours (position 0) est défini pour l'un des groupes, l'accès est refusé à l'utilisateur. Le bit Refuser toujours (position 0) prévaut toujours sur les autres.

    Si aucun des bits n'est défini, la valeur par défaut est définie sur Lecture seule pour l'utilisateur.
    Veuillez noter que le système donne la priorité aux droits de connexion récupérés directement de l'enregistrement utilisateur. Si l'utilisateur ne dispose pas de la permission de connexion dans son enregistrement, le système tente d'extraire les autorisations du(des) groupe(s) au(x)quel(s) appartient l'utilisateur et, si configuré, qui corresponde(nt) au filtre de groupe. Dans ce cas, l'utilisateur recevra l'opérateur inclusif OR de tous les bits pour tous ceux des groupes. De même, le bit Accès en lecture seule sera défini uniquement si tous les autres bits correspondent à 0. Notez également que si le bit Refuser toujours est défini pour l'un des groupes, l'accès sera refusé à l'utilisateur. Le bit Refuser toujours a toujours priorité sur les autres bits.
    Remarque
    Si l'autorisation de modifier les paramètres de configuration de base, de réseau et/ou de sécurité de l'adaptateur est accordée à l'utilisateur, vous devriez envisager d'autoriser ce même utilisateur à redémarrer XClarity Controller (bit de position 10). Sans cette autorisation, l'utilisateur pourra modifier des paramètres (par exemple, l'adresse IP de l'adaptateur), mais sans qu'ils ne prennent effet.
  3. Indiquez s'il est nécessaire ou non d'Activer la sécurité étendue basée sur les rôles pour les utilisateurs Active Directory sous Paramètres d'Active Directory (si le mode Utiliser le serveur LDAP pour l'authentification et l'autorisation est utilisé), ou configurez les Groupes pour autorisation locale : (si le mode Utiliser le serveur LDAP pour l'authentification uniquement (avec autorisation locale) est utilisé).
    • Activer la sécurité étendue basée sur les rôles pour les utilisateurs Active Directory :

      Si le paramètre de sécurité étendue basée sur les rôles est activé, un nom de serveur au format libre doit être configuré pour agir en tant que nom cible pour ce XClarity Controller en particulier. Le nom cible peut être associé à un ou plusieurs rôles sur le serveur Active Directory via un composant logiciel enfichable RBS (Role Based Security). Cette opération peut être effectuée en créant des cibles gérées et en leur attribuant des noms spécifiques, puis en les associant aux rôles appropriés. Si un nom est configuré dans ce champ, il octroie l'autorisation de définir des rôles spécifiques pour les utilisateurs et contrôleurs XClarity Controller (cibles) membres du même rôle. Lorsqu'un utilisateur se connecte à XClarity Controller et est authentifié via Active Directory, les rôles dont l'utilisateur est membre sont extraits de l'annuaire. Les autorisations qui sont attribuées à l'utilisateur sont extraites des rôles ayant également en tant que membre une cible dont le nom de serveur correspond à celui configuré ici, ou à une cible correspondant à XClarity Controller. Plusieurs contrôleurs XClarity Controller peuvent partager un même nom de cible. Ceci peut être utilisé, par exemple, pour regrouper plusieurs XClarity Controller et les affecter au(x) même(s) rôle(s) en utilisant une cible gérée unique (identifiée via un nom de cible unique). Inversement, chaque XClarity Controller peut avoir un nom unique.

    • Groupes pour autorisation locale

      Les noms de groupe sont configurés afin de fournir des spécifications d'autorisation locale pour des groupes d'utilisateurs. Des droits (rôles) peuvent être affectés à chaque nom de groupe, qui sont identiques à ceux décrits dans le tableau ci-dessous. Le serveur LDAP associe les utilisateurs à un nom de groupe. Lorsque l'utilisateur se connecte, des droits lui sont affectés qui sont associés au groupe auquel appartient l'utilisateur. Des groupes supplémentaires peuvent être configurés en cliquant sur l'icône « + » ou supprimés en cliquant sur l'icône « x ».