Saltar al contenido principal

Configuración de LDAP

Utilice la información en este tema para visualizar o cambiar la configuración de LDAP de XClarity Controller.

El soporte LDAP incluye:
  • Soporte para la versión del protocolo LDAP 3 (RFC 2251)
  • Soporte para las APi de cliente LDAP estándar (RFC-1823)
  • Soporte para la sintaxis de filtros de búsqueda LDAP estándar (RFC-2254)
  • Compatibilidad con la extensión de Lightweight Directory Access Protocol (v3) para la Seguridad de capa de transporte (RFC-2830)
La implementación de LDAP admite los siguientes servidores LDAP:
  • Microsoft Active Directory ( Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Modo de aplicación de Microsoft Active Directory (servidor de Windows 2003)
  • Servicio Microsoft Lightweight Directory (Windows 2008, Windows 2012)
  • Novell eDirectory Server, versión 8.7, 8.8 y 9.4
  • OpenLDAP Server 2.1, 2.2, 2.3 y 2.4

Pulse la pestaña LDAP para ver o para modificar la configuración de LDAP de XClarity Controller.

XClarity Controller puede autenticar remotamente el acceso de un usuario en un servidor LDAP central en vez de, o además de las cuentas locales de usuario que se almacenan en el propio XClarity Controller. Los privilegios se pueden designar para cada cuenta de usuario utilizando la cadena IBMRBSPermissions. También puede utilizar el servidor LDAP para asignar usuarios en grupos y para realizar la autenticación de grupo, además de autenticación normal del usuario (comprobación mediante contraseña). Por ejemplo, un XClarity Controller se puede asociar con uno o varios grupos, el usuario pasará la autenticación de grupo solo si el usuario pertenece al menos a un grupo que esté asociado con el XClarity Controller.

Para configurar un servidor LDAP, lleve a cabo los pasos siguientes:
  1. En Información del servidor LDAP, las opciones siguientes están disponibles en la lista de elementos:
    • Usar el servidor LDAP únicamente para autenticación (con autorización local): esta selección indica al XClarity Controller utilizar las credenciales únicamente para autenticar con el servidor LDAP y para recuperar información de membresía de grupo. Los nombres y privilegios de grupo se pueden configurar en la sección de Configuración de Active Directory.
    • Usar el servidor LDAP para autenticación y autorización: esta selección indica al XClarity Controller utilizar las credenciales para autenticar con el servidor LDAP y para identificar el permiso del usuario.
    Nota
    Los servidores LDAP que se usan para autenticación se pueden configurar manualmente o se pueden descubrir dinámicamente mediante los registros de DNS SRV.
    • Usar servidores preconfigurados: puede configurar hasta cuatro servidores LDAP al ingresar la dirección IP de cada servidor o nombre de host, si DNS esté habilitado. El número de puerto para cada servidor es opcional. Si este campo se deja en blanco, se usa el valor predeterminado de 389 para conexiones LDAP no seguras. Para conexiones seguras, el valor predeterminado puerto es 636. Debe configurar al menos un servidor LDAP.
    • Usar DNS para encontrar servidores: puede optar por descubrir los servidores LDAP dinámicamente. Los mecanismos descritos en RFC2782 (A DNS RR para especificar la ubicación de los servicios) se utilizan para localizar los servidores LDAP. Esto se conoce como SRV DNS. Debe especificar un nombre de dominio completamente calificado (FQDN) que se usará como el nombre de dominio en la solicitud de DNS SRV.
      • Bosque de AD: en un entorno con grupos universales en varios dominios, el nombre de bosque (grupo de dominios) debe configurarse para detectar los catálogos globales requeridos (GC). En un entorno donde no se aplica la membresía de grupo entre dominios, este campo se puede dejar en blanco.
      • Dominio AD: deberá especificar un nombre de dominio completamente calificado (FQDN) que se usará como el nombre de dominio en la solicitud de DNS SRV.
    Si desea habilitar el LDAP seguro, pulse la casilla de verificación Habilitar LDAP seguro . Para poder admitir LDAP seguro, debe existir primero un certificado SSL válido y se debe importar al menos un certificado de confianza del cliente SSL en XClarity Controller. El servidor LDAP debe admitir la versión 1.2 de seguridad de la capa de transporte (TLS) para que sea compatible con el cliente LDAP seguro de XClarity Controller. Para obtener más información sobre la administración de certificados, consulte Gestión de certificado SSL.
  2. Complete la información en Parámetros adicionales. A continuación aparecen explicaciones de los parámetros.
    Método de vinculación
    Antes de que pueda buscar o consultar el servidor LDAP, debe enviar una solicitud de vinculación. Este campo controla cómo se realiza esta vinculación inicial con el servidor LDAP. Los siguientes métodos de vinculación están disponibles:
    • No se necesitan credenciales

      Utilice este método para vincular sin un nombre distinguido (DN) o una contraseña. Este método no se recomienda porque la mayoría de los servidores están configurados para rechazar solicitudes de búsqueda sobre registros de usuarios específicos.

    • Usar credenciales configuradas

      Utilice este método para vincular con el cliente DN y la contraseña configurada.

    • Usar credenciales de inicio de sesión

      Use este método para vincular con las credenciales proporcionadas durante el proceso de inicio de sesión. El Id. de usuario se puede proporcionar usando un DN, un DN parcial, un nombre de dominio completamente calificado o mediante un Id. de usuario que coincida con el atributo de búsqueda de UID configurado en el XClarity Controller. Si las credenciales presentadas se asemejan a un nombre distinguido parcial (por ejemplo cn=joe), este nombre distinguido parcial se presentará al DN raíz configurado en un intento de crear un nombre distinguido que coincida con el registro del usuario. Si el intento de vinculación falla, se intentará realizar un último intento de vinculación al presentar cn= con la credencial de inicio de sesión y presentar la cadena resultante con el DN raíz configurado.

    Si el enlace inicial se realiza correctamente, se realiza una búsqueda para buscar una entrada en el servidor LDAP que pertenezca al usuario que está iniciando sesión. De ser necesario, se realiza un segundo intento de enlace, esta vez con el DN que se recupera del registro LDAP del usuario y la contraseña que se ingresó durante el proceso de inicio de sesión. Si falla un segundo intento de vinculación, se rechaza el acceso al usuario. El segundo intento de vinculación solo se realiza cuando se utilizan los métodos de vinculación No se requieren credenciales o Credenciales configuradas por el usuario.
    Nombre distinguido (DN) raíz
    Este es el nombre distinguido (DN) de la entrada raíz de árbol de directorio en el servidor LDAP (por ejemplo, dn=mycompany,dc=com). Este DN se utiliza como el objeto base para todas las solicitudes de búsqueda.
    Atributo de búsqueda UID
    Cuando el método de vinculación está configurado como No se requieren credenciales o Credenciales configuradas por el usuario, una solicitud de búsqueda sigue el enlace inicial al servidor LDAP al recuperar la información específica acerca del usuario, incluyendo el DN de usuario, permisos de inicio y membresía de grupo. Esta solicitud de búsqueda debe especificar el nombre del atributo que representa a las Id. de usuario en ese servidor. Este nombre de atributo se configura en este campo. En los servidores de Active Directory, el nombre de atributo generalmente es sAMAccountName. En los servidores Novell eDirectory y OpenLDAP, el nombre del atributo es uid. Si este campo se deja en blanco, el valor predeterminado es uid.
    Filtro del grupo
    El campo Filtro de grupo se usa para la autenticación de grupos. Después de verificar las credenciales de usuario correctamente, se intentará la autenticación del grupo. Si falla una autenticación de grupo, se rechaza el intento de inicio de sesión del usuario. Cuando se configura el filtro de grupo, se utiliza para especificar a qué grupos pertenece XClarity Controller. Esto significa que el usuario deben pertenecer a, al menos, uno de los grupos configurados para que la autenticación de grupo se realice correctamente. Si el campo Filtro de grupo se deja en blanco, la autenticación de grupo se realiza correctamente de forma automática. Si el filtro de grupo está configurado, se realiza un intento de hacer coincidir al menos un grupo en la lista con un grupos al que el usuario pertenezca. Si no hay ninguna coincidencia, la autenticación de usuario falla y se niega el acceso. Si existe al menos una coincidencia, la autenticación de grupo se realiza correctamente.
    Las comparaciones distinguen entre mayúsculas y minúsculas. El filtro tiene un límite de 511 caracteres y consiste en uno o más nombres de grupo. El carácter de dos puntos (:) debe utilizarse para delimitar nombres de grupo múltiples. Los espacios antes y después se omiten, pero cualquier otro espacio se trata como parte del nombre del grupo.
    Nota
    El carácter comodín (*) ya no se considera como comodín. El concepto de comodín se ha interrumpido para impedir que se produzcan exposiciones de seguridad. Un nombre de grupo se puede especificar como un DN completo o utilizando la parte del cn. Por ejemplo, un grupo con un DN de cn=adminGroup, dc=mycompany, dc=com se puede especificar utilizando el DN real o al utilizar adminGroup.
    Únicamente en los entornos de Active Directory, se admite la membresía de grupo jerarquizada. Por ejemplo, si un usuario es un miembro del GroupoA y de GroupoB, y GroupoA también hay un miembro de GroupoC, el usuario se considera miembro de GroupoC también. Las búsquedas jerarquizadas se detienen si se han buscado 128 grupos. Los grupos en un nivel se buscan antes que los grupos en un nivel inferior. No se detectan los bucles.
    Atributo de búsqueda de grupos
    En un entorno Active Directory o Novell eDirectory, el campo Atributo de búsqueda de grupos especifica el nombre de atributo usado para identificar los grupos al que pertenece un usuario. En un entorno Active Directory, el nombre de atributo es memberOf. En un entorno eDirectory, el nombre de atributo es groupMembership. En un entorno de servidor OpenLDAP, los usuarios generalmente se asignan a grupos cuyo objectClass equivale a PosixGroup. En ese contexto, este campo especifica el nombre de atributo usado para identificar los miembros de un PosixGroup en particular. Este nombre de atributo es memberUid. Si este campo se deja en blanco, el nombre del atributo en el filtro usa memberOf de forma predeterminada.
    Atributo de permiso de inicio de sesión
    Cuando un usuario se autentica a través de un servidor LDAP satisfactoriamente, deben recuperarse los permisos de inicio de sesión para el usuario. Para poder recuperar los permisos de inicio de sesión, el filtro de búsqueda enviado al servidor debe especificar el nombre de atributo asociado con los permisos de inicio de sesión. El campo Atributo de permiso de inicio de sesión especifica el nombre de atributo. Si este campo se deja en blanco, al usuario se le asignan permisos predeterminados de solo lectura y se supone que el usuario pasa la autenticación de usuario y de grupo.
    El valor del atributo que el servidor LDAP devuelve busca la cadena de palabra clave IBMRBSPermissions=. A esta cadena de palabra clave le debe seguir inmediatamente una cadena de bit ingresada como 12 0 o 1 consecutivos. Cada bit representa un conjunto de funciones. Los bits reciben una numeración de acuerdo con su posición. El bit más a la izquierda es la posición de bit 0 y el bit de más a la derecha es la posición de bit 11. Un valor de 1 en una posición en particular habilita esa función en especial que se asocia con la posición del bit. Un valor de 0 en una posición de bit deshabilita la función asociada a esa posición de bit.
    La cadena IBMRBSPermissions=010000000000 es un ejemplo válido. La palabra clave IBMRBSPermissions= se utiliza para permitir que esté colocado en cualquier lugar en este campo. Esto le permite al administrador LDAP reutilizar un atributo existente y así evitar una extensión del esquema LDAP. Además, esto permite que se pueda usar el atributo para su propósito original. Puede añadir la cadena de palabras clave en cualquier lugar en este campo. El atributo utilizado puede permitir una cadena de formato libre. Cuando el atributo se recupera satisfactoriamente, el valor que el servidor LDAP devuelve se interpreta de acuerdo con la información en la tabla siguiente.
    Tabla 1. Bits de permiso.

    Tabla de tres columnas que contiene las explicaciones de la posición de bit.

    Posición de bitFunciónExplicación
    0Rechazar siempreUn usuario siempre fallará la autenticación. Esta función puede utilizarse para bloquear a un usuario o usuarios asociados a un grupo específico.
    1Acceso de supervisorSe le asignan privilegios de administrador a un usuario. El usuario tiene acceso de lectura/escritura a todas las funciones. Cuando establece este bit, no es necesario configurar individualmente los otros bits.
    2Acceso de solo lecturaEl usuario posee acceso de solo lectura y no puede realizar ningún procedimiento de mantenimiento (por ejemplo, reiniciar, acciones remotas, actualizaciones de firmware) y nada se puede modificar (mediante las funciones de guardar, borrar o restaurar). La posición de bit 2 y todos los otros bits son mutuamente exclusivos y la posición de bit 2 posee la precedencia más baja. Cuando se establece cualquier otro bit, se ignorará este bit.
    3Redes y seguridadUn usuario puede modificar la configuración en Seguridad, Protocolos de red, Interfaz de red, Asignaciones de puertos y Puerto de serie.
    4Gestión de cuenta de usuarioUn usuario puede añadir, modificar o eliminar usuarios y cambiar la configuración de inicio de sesión global en la ventana de perfiles de inicio de sesión.
    5Acceso a consola remotaUn usuario puede acceder a la consola remota del servidor.
    6Acceso a la consola remota y al disco remotoUn usuario puede acceder a la consola remota del servidor y a las funciones del disco remoto para el servidor remoto.
    7Acceso al encendido/reinicio del servidor remotoUn usuario puede acceder a las funciones de encendido y reinicio del servidor remoto.
    8Configuración de adaptador básicoUn usuario puede modificar los parámetros de configuración en las ventanas de configuración del sistema y alertas.
    9Capacidad de borrar registros de sucesosUn usuario puede borrar los registros de sucesos.
    Nota
    Todos los usuarios pueden ver los registros de sucesos; pero para borrar los registros de sucesos se pedirá al usuario tener este nivel de permiso.
    10Configuración de adaptador avanzadoUn usuario no tiene restricciones al configurar el XClarity Controller. Además, el usuario tiene acceso administrativo al XClarity Controller. El usuario también puede realizar las siguientes funciones avanzadas: actualizaciones de firmware, arranque de la red PXE, restaurar el XClarity Controller a los valores de fábrica, modificar y restaurar la configuración del adaptador desde un archivo de configuración y reiniciar o restablecer el XClarity Controller.
    11Reservado

    Esta posición de bit está reservada para un uso futuro. Si ninguno de los bits está establecido, el usuario tiene autoridad de solo lectura. Se le da prioridad a los permisos de inicio de sesión recuperados directamente desde el registro del usuario.

    Si el atributo de permiso de inicio de sesión no está en el registro del usuario, se realiza un intento por recuperar los permisos de los grupos a los que el usuario pertenece. Esto se ejecuta como parte de la fase de la autenticación de grupo. Al usuario se le asigna el OR inclusivo para todos los bits para todos los grupos.

    El bit de acceso de solo lectura (posición 2) se establece si todos los demás bits están establecidos en cero. Si se establece el bit Rechazar siempre (posición 0) para cualquier de los grupos, el usuario no tendrá acceso. El bit Rechazar siempre (posición 0) posee precedencia siempre sobre cualquier otro bit.

    Si no se establece ninguno de estos bits, el valor predeterminado se establece como Solo lectura para el usuario.
    Tenga en cuenta que se le da prioridad a los permisos de inicio de sesión recuperados directamente desde el registro del usuario. Si el usuario no tiene el atributo de permiso de inicio de sesión en el registro, se intentará recuperar los permisos de los grupos a los que pertenece el usuario y, si está configurado, que coincidan con el filtro de grupo. En este caso, al usuario se le asignará el OR inclusivo para todos los bits para todos los grupos. Del mismo modo, el bit Acceso solo de lectura solo se establece si todo el resto de los bits son cero. Además, tenga presente que si se establece el bit Rechazar siempre para cualquier de los grupos, el usuario no tendrá acceso. El bit Rechazar siempre posee precedencia siempre sobre cualquier otro bit.
    Nota
    Si le otorga a un usuario la capacidad de modificar parámetros de configuración del adaptador básicos, de red o relacionados con la seguridad, debe considerar otorgar a este mismo usuario la capacidad de reiniciar el XClarity Controller (posición de bit 10). De lo contrario, sin esta capacidad, el usuario puede ser capaz de cambiar los parámetros (por ejemplo la dirección IP del adaptador), pero no podrá hacer que surtan efecto.
  3. Elija Habilitar seguridad basada en roles mejorada para usuarios de Active Directory o no en Configuración de Active Directory (si se usa el modo Usar servidores LDAP para autenticación y autorización), o configure Grupos para autorización local (si se usa el modo Usar servidores LDAP únicamente para autenticación (con autorización local)).

    • Habilitación de seguridad basada en roles mejorada para usuarios de Active Directory

      Si está habilitada la configuración de seguridad avanzada basada en roles, se debe configurar un nombre de servidor libre de formato para que actúe como el nombre de destino para este XClarity Controller en particular. Se puede asociar el nombre de destino con uno o más roles en el servidor de Active Directory mediante el complemento de seguridad basada en roles (RBS). Esto se consigue al crear destinos gestionados y al otorgarles nombres específicos y luego asociarlos a los roles apropiados. Si se configura un nombre en este campo, proporciona la capacidad de definir roles específicos para usuarios y XClarity Controller (destinos) que pertenezcan al mismo rol. Cuando un usuario inicia sesión en el XClarity Controller y se autentica mediante Active Directory, los roles a los que pertenece el usuario se recuperan del directorio. Los permisos asignados al usuario se extraen de los roles que también tienen como miembro un destino cuyo nombre de destino coincida con el nombre de servidor que está configurado aquí, o con un destino que coincida con cualquier XClarity Controller. Múltiples XClarity Controller pueden compartir el mismo nombre de destino. Esto se puede utilizar para agrupar varios XClarity Controller y asignarles el mismo rol (o roles) al usar un destino gestionado único. Cada XClarity Controller puede recibir un nombre exclusivo.

    • Grupos para autorización local

      Se configuran nombres de grupos para proporcionar especificaciones de autorización local para grupos de usuarios. A cada nombre de grupo se le pueden asignar permisos (roles) que son iguales como se describe en la tabla arriba. El servidor LDAP asocia usuarios en un nombre de grupo. Cuando el usuario inicia la sesión, se asignan permisos que están asociados a la agrupación al que el usuario pertenece. Los grupos adicionales pueden configurarse al pulsar el icono “+” o se pueden eliminar al pulsar icono “x”.