Configuración de LDAP
Utilice la información en este tema para visualizar o cambiar la configuración de LDAP de XClarity Controller.
- Soporte para la versión del protocolo LDAP 3 (RFC 2251)
- Soporte para las APi de cliente LDAP estándar (RFC-1823)
- Soporte para la sintaxis de filtros de búsqueda LDAP estándar (RFC-2254)
- Compatibilidad con la extensión de Lightweight Directory Access Protocol (v3) para la Seguridad de capa de transporte (RFC-2830)
- Microsoft Active Directory ( Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Modo de aplicación de Microsoft Active Directory (servidor de Windows 2003)
- Servicio Microsoft Lightweight Directory (Windows 2008, Windows 2012)
- Novell eDirectory Server, versión 8.7, 8.8 y 9.4
- OpenLDAP Server 2.1, 2.2, 2.3 y 2.4
Pulse la pestaña LDAP para ver o para modificar la configuración de LDAP de XClarity Controller.
XClarity Controller puede autenticar remotamente el acceso de un usuario en un servidor LDAP central en vez de, o además de las cuentas locales de usuario que se almacenan en el propio XClarity Controller. Los privilegios se pueden designar para cada cuenta de usuario utilizando la cadena IBMRBSPermissions. También puede utilizar el servidor LDAP para asignar usuarios en grupos y para realizar la autenticación de grupo, además de autenticación normal del usuario (comprobación mediante contraseña). Por ejemplo, un XClarity Controller se puede asociar con uno o varios grupos, el usuario pasará la autenticación de grupo solo si el usuario pertenece al menos a un grupo que esté asociado con el XClarity Controller.
- En Información del servidor LDAP, las opciones siguientes están disponibles en la lista de elementos:
- Usar el servidor LDAP únicamente para autenticación (con autorización local): esta selección indica al XClarity Controller utilizar las credenciales únicamente para autenticar con el servidor LDAP y para recuperar información de membresía de grupo. Los nombres y privilegios de grupo se pueden configurar en la sección de Configuración de Active Directory.
- Usar el servidor LDAP para autenticación y autorización: esta selección indica al XClarity Controller utilizar las credenciales para autenticar con el servidor LDAP y para identificar el permiso del usuario.
NotaLos servidores LDAP que se usan para autenticación se pueden configurar manualmente o se pueden descubrir dinámicamente mediante los registros de DNS SRV.- Usar servidores preconfigurados: puede configurar hasta cuatro servidores LDAP al ingresar la dirección IP de cada servidor o nombre de host, si DNS esté habilitado. El número de puerto para cada servidor es opcional. Si este campo se deja en blanco, se usa el valor predeterminado de 389 para conexiones LDAP no seguras. Para conexiones seguras, el valor predeterminado puerto es 636. Debe configurar al menos un servidor LDAP.
- Usar DNS para encontrar servidores: puede optar por descubrir los servidores LDAP dinámicamente. Los mecanismos descritos en RFC2782 (A DNS RR para especificar la ubicación de los servicios) se utilizan para localizar los servidores LDAP. Esto se conoce como SRV DNS. Debe especificar un nombre de dominio completamente calificado (FQDN) que se usará como el nombre de dominio en la solicitud de DNS SRV.
- Bosque de AD: en un entorno con grupos universales en varios dominios, el nombre de bosque (grupo de dominios) debe configurarse para detectar los catálogos globales requeridos (GC). En un entorno donde no se aplica la membresía de grupo entre dominios, este campo se puede dejar en blanco.
- Dominio AD: deberá especificar un nombre de dominio completamente calificado (FQDN) que se usará como el nombre de dominio en la solicitud de DNS SRV.
- Complete la información en Parámetros adicionales. A continuación aparecen explicaciones de los parámetros.
- Método de vinculación
- Antes de que pueda buscar o consultar el servidor LDAP, debe enviar una solicitud de vinculación. Este campo controla cómo se realiza esta vinculación inicial con el servidor LDAP. Los siguientes métodos de vinculación están disponibles:
- No se necesitan credenciales
Utilice este método para vincular sin un nombre distinguido (DN) o una contraseña. Este método no se recomienda porque la mayoría de los servidores están configurados para rechazar solicitudes de búsqueda sobre registros de usuarios específicos.
- Usar credenciales configuradas
Utilice este método para vincular con el cliente DN y la contraseña configurada.
- Usar credenciales de inicio de sesión
Use este método para vincular con las credenciales proporcionadas durante el proceso de inicio de sesión. El Id. de usuario se puede proporcionar usando un DN, un DN parcial, un nombre de dominio completamente calificado o mediante un Id. de usuario que coincida con el atributo de búsqueda de UID configurado en el XClarity Controller. Si las credenciales presentadas se asemejan a un nombre distinguido parcial (por ejemplo cn=joe), este nombre distinguido parcial se presentará al DN raíz configurado en un intento de crear un nombre distinguido que coincida con el registro del usuario. Si el intento de vinculación falla, se intentará realizar un último intento de vinculación al presentar cn= con la credencial de inicio de sesión y presentar la cadena resultante con el DN raíz configurado.
- No se necesitan credenciales
- Nombre distinguido (DN) raíz
- Este es el nombre distinguido (DN) de la entrada raíz de árbol de directorio en el servidor LDAP (por ejemplo, dn=mycompany,dc=com). Este DN se utiliza como el objeto base para todas las solicitudes de búsqueda.
- Atributo de búsqueda UID
- Cuando el método de vinculación está configurado como No se requieren credenciales o Credenciales configuradas por el usuario, una solicitud de búsqueda sigue el enlace inicial al servidor LDAP al recuperar la información específica acerca del usuario, incluyendo el DN de usuario, permisos de inicio y membresía de grupo. Esta solicitud de búsqueda debe especificar el nombre del atributo que representa a las Id. de usuario en ese servidor. Este nombre de atributo se configura en este campo. En los servidores de Active Directory, el nombre de atributo generalmente es sAMAccountName. En los servidores Novell eDirectory y OpenLDAP, el nombre del atributo es uid. Si este campo se deja en blanco, el valor predeterminado es uid.
- Filtro del grupo
- El campo Filtro de grupo se usa para la autenticación de grupos. Después de verificar las credenciales de usuario correctamente, se intentará la autenticación del grupo. Si falla una autenticación de grupo, se rechaza el intento de inicio de sesión del usuario. Cuando se configura el filtro de grupo, se utiliza para especificar a qué grupos pertenece XClarity Controller. Esto significa que el usuario deben pertenecer a, al menos, uno de los grupos configurados para que la autenticación de grupo se realice correctamente. Si el campo Filtro de grupo se deja en blanco, la autenticación de grupo se realiza correctamente de forma automática. Si el filtro de grupo está configurado, se realiza un intento de hacer coincidir al menos un grupo en la lista con un grupos al que el usuario pertenezca. Si no hay ninguna coincidencia, la autenticación de usuario falla y se niega el acceso. Si existe al menos una coincidencia, la autenticación de grupo se realiza correctamente.
- Atributo de búsqueda de grupos
- En un entorno Active Directory o Novell eDirectory, el campo Atributo de búsqueda de grupos especifica el nombre de atributo usado para identificar los grupos al que pertenece un usuario. En un entorno Active Directory, el nombre de atributo es memberOf. En un entorno eDirectory, el nombre de atributo es groupMembership. En un entorno de servidor OpenLDAP, los usuarios generalmente se asignan a grupos cuyo objectClass equivale a PosixGroup. En ese contexto, este campo especifica el nombre de atributo usado para identificar los miembros de un PosixGroup en particular. Este nombre de atributo es memberUid. Si este campo se deja en blanco, el nombre del atributo en el filtro usa memberOf de forma predeterminada.
- Atributo de permiso de inicio de sesión
- Cuando un usuario se autentica a través de un servidor LDAP satisfactoriamente, deben recuperarse los permisos de inicio de sesión para el usuario. Para poder recuperar los permisos de inicio de sesión, el filtro de búsqueda enviado al servidor debe especificar el nombre de atributo asociado con los permisos de inicio de sesión. El campo Atributo de permiso de inicio de sesión especifica el nombre de atributo. Si este campo se deja en blanco, al usuario se le asignan permisos predeterminados de solo lectura y se supone que el usuario pasa la autenticación de usuario y de grupo.
Si no se establece ninguno de estos bits, el valor predeterminado se establece como Solo lectura para el usuario.Tabla 1. Bits de permiso. Tabla de tres columnas que contiene las explicaciones de la posición de bit.
Posición de bit Función Explicación 0 Rechazar siempre Un usuario siempre fallará la autenticación. Esta función puede utilizarse para bloquear a un usuario o usuarios asociados a un grupo específico. 1 Acceso de supervisor Se le asignan privilegios de administrador a un usuario. El usuario tiene acceso de lectura/escritura a todas las funciones. Cuando establece este bit, no es necesario configurar individualmente los otros bits. 2 Acceso de solo lectura El usuario posee acceso de solo lectura y no puede realizar ningún procedimiento de mantenimiento (por ejemplo, reiniciar, acciones remotas, actualizaciones de firmware) y nada se puede modificar (mediante las funciones de guardar, borrar o restaurar). La posición de bit 2 y todos los otros bits son mutuamente exclusivos y la posición de bit 2 posee la precedencia más baja. Cuando se establece cualquier otro bit, se ignorará este bit. 3 Redes y seguridad Un usuario puede modificar la configuración en Seguridad, Protocolos de red, Interfaz de red, Asignaciones de puertos y Puerto de serie. 4 Gestión de cuenta de usuario Un usuario puede añadir, modificar o eliminar usuarios y cambiar la configuración de inicio de sesión global en la ventana de perfiles de inicio de sesión. 5 Acceso a consola remota Un usuario puede acceder a la consola remota del servidor. 6 Acceso a la consola remota y al disco remoto Un usuario puede acceder a la consola remota del servidor y a las funciones del disco remoto para el servidor remoto. 7 Acceso al encendido/reinicio del servidor remoto Un usuario puede acceder a las funciones de encendido y reinicio del servidor remoto. 8 Configuración de adaptador básico Un usuario puede modificar los parámetros de configuración en las ventanas de configuración del sistema y alertas. 9 Capacidad de borrar registros de sucesos Un usuario puede borrar los registros de sucesos. NotaTodos los usuarios pueden ver los registros de sucesos; pero para borrar los registros de sucesos se pedirá al usuario tener este nivel de permiso.10 Configuración de adaptador avanzado Un usuario no tiene restricciones al configurar el XClarity Controller. Además, el usuario tiene acceso administrativo al XClarity Controller. El usuario también puede realizar las siguientes funciones avanzadas: actualizaciones de firmware, arranque de la red PXE, restaurar el XClarity Controller a los valores de fábrica, modificar y restaurar la configuración del adaptador desde un archivo de configuración y reiniciar o restablecer el XClarity Controller. 11 Reservado Esta posición de bit está reservada para un uso futuro. Si ninguno de los bits está establecido, el usuario tiene autoridad de solo lectura. Se le da prioridad a los permisos de inicio de sesión recuperados directamente desde el registro del usuario.
Si el atributo de permiso de inicio de sesión no está en el registro del usuario, se realiza un intento por recuperar los permisos de los grupos a los que el usuario pertenece. Esto se ejecuta como parte de la fase de la autenticación de grupo. Al usuario se le asigna el OR inclusivo para todos los bits para todos los grupos.
El bit de acceso de solo lectura (posición 2) se establece si todos los demás bits están establecidos en cero. Si se establece el bit Rechazar siempre (posición 0) para cualquier de los grupos, el usuario no tendrá acceso. El bit Rechazar siempre (posición 0) posee precedencia siempre sobre cualquier otro bit.
Tenga en cuenta que se le da prioridad a los permisos de inicio de sesión recuperados directamente desde el registro del usuario. Si el usuario no tiene el atributo de permiso de inicio de sesión en el registro, se intentará recuperar los permisos de los grupos a los que pertenece el usuario y, si está configurado, que coincidan con el filtro de grupo. En este caso, al usuario se le asignará el OR inclusivo para todos los bits para todos los grupos. Del mismo modo, el bit Acceso solo de lectura solo se establece si todo el resto de los bits son cero. Además, tenga presente que si se establece el bit Rechazar siempre para cualquier de los grupos, el usuario no tendrá acceso. El bit Rechazar siempre posee precedencia siempre sobre cualquier otro bit.NotaSi le otorga a un usuario la capacidad de modificar parámetros de configuración del adaptador básicos, de red o relacionados con la seguridad, debe considerar otorgar a este mismo usuario la capacidad de reiniciar el XClarity Controller (posición de bit 10). De lo contrario, sin esta capacidad, el usuario puede ser capaz de cambiar los parámetros (por ejemplo la dirección IP del adaptador), pero no podrá hacer que surtan efecto. - Elija Habilitar seguridad basada en roles mejorada para usuarios de Active Directory o no en Configuración de Active Directory (si se usa el modo Usar servidores LDAP para autenticación y autorización), o configure Grupos para autorización local (si se usa el modo Usar servidores LDAP únicamente para autenticación (con autorización local)).
Habilitación de seguridad basada en roles mejorada para usuarios de Active Directory
Si está habilitada la configuración de seguridad avanzada basada en roles, se debe configurar un nombre de servidor libre de formato para que actúe como el nombre de destino para este XClarity Controller en particular. Se puede asociar el nombre de destino con uno o más roles en el servidor de Active Directory mediante el complemento de seguridad basada en roles (RBS). Esto se consigue al crear destinos gestionados y al otorgarles nombres específicos y luego asociarlos a los roles apropiados. Si se configura un nombre en este campo, proporciona la capacidad de definir roles específicos para usuarios y XClarity Controller (destinos) que pertenezcan al mismo rol. Cuando un usuario inicia sesión en el XClarity Controller y se autentica mediante Active Directory, los roles a los que pertenece el usuario se recuperan del directorio. Los permisos asignados al usuario se extraen de los roles que también tienen como miembro un destino cuyo nombre de destino coincida con el nombre de servidor que está configurado aquí, o con un destino que coincida con cualquier XClarity Controller. Múltiples XClarity Controller pueden compartir el mismo nombre de destino. Esto se puede utilizar para agrupar varios XClarity Controller y asignarles el mismo rol (o roles) al usar un destino gestionado único. Cada XClarity Controller puede recibir un nombre exclusivo.
Grupos para autorización local
Se configuran nombres de grupos para proporcionar especificaciones de autorización local para grupos de usuarios. A cada nombre de grupo se le pueden asignar permisos (roles) que son iguales como se describe en la tabla arriba. El servidor LDAP asocia usuarios en un nombre de grupo. Cuando el usuario inicia la sesión, se asignan permisos que están asociados a la agrupación al que el usuario pertenece. Los grupos adicionales pueden configurarse al pulsar el icono “+” o se pueden eliminar al pulsar icono “x”.