Configurazione di LDAP
Utilizzare le informazioni in questo argomento per visualizzare o modificare le impostazioni LDAP di XClarity Controller.
- Supporto della versione 3 del protocollo LDAP (RFC-2251)
- Supporto delle API del client LDAP standard (RFC-1823)
- Supporto della sintassi del filtro di ricerca LDAP standard (RFC-2254)
- Supporto dell'estensione Lightweight Directory Access Protocol (v3) per Transport Layer Security (RFC-2830)
- Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Microsoft Active Directory Application Mode (Windows 2003 Server)
- Microsoft Lightweight Directory Service (Windows 2008, Windows 2012)
- Novell eDirectory Server, versione 8.7, 8.8 e 9.4
- OpenLDAP Server 2.1, 2.2, 2.3 e 2.4
Selezionare la scheda LDAP per visualizzare o modificare le impostazioni LDAP di XClarity Controller.
XClarity Controller permette di autenticare da remoto l'accesso di un utente tramite un server LDAP centrale, in sostituzione o in aggiunta agli account degli utenti locali memorizzati in XClarity Controller. I privilegi possono essere definiti per ogni account utente utilizzando la stringa IBMRBSPermissions. È inoltre possibile utilizzare il server LDAP per assegnare gli utenti ai gruppi ed eseguire l'autenticazione del gruppo, oltre alla normale autenticazione utente (controllo della password). Ad esempio, un XClarity Controller può essere associato a uno o più gruppi, l'utente supererà l'autenticazione del gruppo solo se appartiene almeno a un gruppo associato a XClarity Controller.
- In Informazioni sul server LDAP, sono disponibili le seguenti opzioni all'elenco degli elementi:
- Utilizza il server LDAP solo per l'autenticazione (con autorizzazione locale): se si seleziona questa opzione, XClarity Controller utilizzerà le credenziali soltanto per l'autenticazione presso il server LDAP e per recuperare informazioni sull'appartenenza ai gruppi. I nomi dei gruppi e i privilegi possono essere configurati nella sezione Impostazioni Active Directory.
- Utilizza il server LDAP per autenticazione e autorizzazione: se si seleziona questa opzione, XClarity Controller utilizzerà le credenziali sia per l'autenticazione presso il server LDAP che per identificare l'autorizzazione di un utente.
NotaI server LDAP da utilizzare per l'autenticazione possono essere configurati manualmente o rilevati in modo dinamico tramite i record SRV del DNS.- Usa server preconfigurati: è possibile configurare fino a quattro server LDAP immettendo l'indirizzo IP o il nome host di ciascun server, se DNS è abilitato. Il numero di porta per ciascun server è facoltativo. Se questo campo è lasciato vuoto, per le connessioni LDAP non sicure sarà utilizzato il valore predefinito 389. Per le connessioni sicure, il valore predefinito della porta è 636. È necessario configurare almeno un server LDAP.
- Usa DNS per trovare i server: è possibile scegliere di rilevare i server LDAP in modo dinamico. I meccanismi descritti in RFC2782 (A DNS RR per specificare l'ubicazione dei servizi) vengono utilizzati per localizzare i server LDAP. Questo metodo è noto come DNS SRV. È necessario specificare un FQDN (Fully Qualified Domain Name, nome di dominio completo) da utilizzare come nome di dominio nella richiesta SRV del DNS.
- Foresta di AD: in un ambiente con gruppi universali in domini incrociati, il nome della foresta (set di domini) deve essere configurato per rilevare i cataloghi globali richiesti (GC). In un ambiente in cui l'appartenenza al gruppo tra domini non si applica, questo campo può essere lasciato vuoto.
- Dominio di AD: sarà necessario specificare un FQDN (Fully Qualified Domain Name, nome di dominio completo) da utilizzare come nome di dominio nella richiesta SRV del DNS.
- Immettere le informazioni in Parametri aggiuntivi. Di seguito sono riportate le spiegazioni dei parametri.
- Metodo di collegamento
- Prima di poter ricercare o interrogare il server LDAP è necessario inviare una richiesta di collegamento. Questo campo controlla il modo in cui viene eseguito il collegamento iniziale al server LDAP. Sono disponibili i seguenti metodi di collegamento:
- Nessuna credenziale richiesta
Utilizzare questo metodo per eseguire il collegamento senza un nome distinto o una password. Questo metodo è fortemente sconsigliato perché la maggior parte dei server sono configurati per non consentire richieste di ricerca sui record di utenti specifici.
- Usa credenziali configurate
Utilizzare questo metodo per collegarsi con il DN e la password del client configurati.
- Usa credenziali di login
Utilizzare questo metodo per collegarsi con le credenziali fornite durante il processo di login. L'ID utente può essere fornito mediante un nome distinto (DN, Distinguished Name), un DN parziale, un nome di dominio completo o tramite un ID utente che corrisponde all'attributo di ricerca UID configurato su XClarity Controller. Se le credenziali presentate assomigliano a un DN parziale (ad esempio cn=joe), questo DN parziale verrà presentato al DN radice configurato nel tentativo di creare un DN che corrisponda al record dell'utente. Se il tentativo di collegamento non riesce, verrà effettuato un ultimo tentativo anteponendo cn= alle credenziali di login e la stringa risultante al DN radice configurato.
- Nessuna credenziale richiesta
- Nome distinto (DN) radice
- Questo è il nome distinto (DN) della voce root della struttura di directory sul server LDAP (ad esempio, dn=società,dc=com). Questo DN viene utilizzato come oggetto di base per tutte le richieste di ricerca.
- Attributo di ricerca UID
- Quando il metodo di collegamento è impostato su Credenziali non richieste o su Utilizza credenziali configurate, il collegamento iniziale al server LDAP è seguito da una richiesta di ricerca che recupera informazioni specifiche sull'utente, compreso il DN utente, le autorizzazioni di login e l'appartenenza al gruppo. Questa richiesta di ricerca deve specificare il nome dell'attributo che rappresenta gli ID utente su tale server. Il nome attributo è configurato in questo campo. Su server Active Directory, il nome dell'attributo è di solito sAMAccountName. Su server Novell eDirectory e OpenLDAP, il nome dell'attributo è uid. Se questo campo è lasciato vuoto, il valore predefinito sarà uid.
- Filtro di gruppi
- Il campo Filtro di gruppi è utilizzato per l'autenticazione dei gruppi. L'autenticazione dei gruppi viene tentata una volta verificate le credenziali dell'utente. Se l'autenticazione di un gruppo non riesce, l'accesso dell'utente verrà negato. Se si configura il filtro di un gruppo, questo sarà utilizzato per specificare a quali gruppi appartiene XClarity Controller. Ciò significa che, affinché l'autenticazione del gruppo riesca correttamente, l'utente deve appartenere almeno a uno dei gruppi configurati. Se il campo Filtro di gruppo viene lasciato vuoto, l'autenticazione del gruppo riuscirà automaticamente. Se il filtro di gruppo è configurato, verrà effettuato un tentativo di corrispondenza di almeno un gruppo nell'elenco a un gruppo a cui appartiene l'utente. Se non c'è alcuna corrispondenza, l'autenticazione dell'utente non riesce e viene negato l'accesso. Se invece esiste almeno una corrispondenza, l'autenticazione del gruppo riesce correttamente.
- Attributo di ricerca gruppi
- In un ambiente Active Directory o Novell eDirectory, il campo Attributo di ricerca gruppi specifica il nome dell'attributo utilizzato per identificare i gruppi ai quali appartiene un utente. In un ambiente Active Directory il nome dell'attributo è memberOf. In un ambiente eDirectory, il nome dell'attributo è groupMembership. In un ambiente server OpenLDAP, gli utenti sono di solito assegnati a gruppi in cui objectClass è uguale a PosixGroup. In questo contesto, questo campo specifica il nome dell'attributo utilizzato per identificare i membri di un determinato PosixGroup. Il nome di questo attributo è memberUid. Se questo campo è lasciato vuoto, il nome dell'attributo nel filtro sarà memberOf.
- Attributo di autorizzazione di login
- Quando un utente viene correttamente autenticato mediante un server LDAP, dovranno essere recuperate le autorizzazioni di login per l'utente. Per recuperare le autorizzazioni di login, il filtro di ricerca inviato al server dovrà specificare il nome dell'attributo associato alle autorizzazioni stesse. Il campo Attributo autorizzazioni di login specifica il nome dell'attributo. Se questo campo viene lasciato vuoto, all'utente saranno assegnate le autorizzazioni di sola lettura predefinite, sempre che l'utente superi l'autenticazione utente e del gruppo.
Se nessuno dei bit è impostato, l'utente avrà l'autorizzazione Sola lettura come impostazione predefinita.Tabella 1. Bit di autorizzazione. Una tabella con tre colonne contenente le spiegazioni delle posizioni di bit.
Posizione di bit Funzione Spiegazione 0 Nega sempre Un utente non verrà mai autenticato. Questa funzione può essere utilizzata per bloccare un determinato utente associato a un determinato gruppo. 1 Accesso supervisore All'utente viene assegnato il privilegio da amministratore. L'utente avrà accesso in lettura e scrittura per ogni funzione. Se si imposta questo bit, non sarà necessario impostare singolarmente gli altri bit. 2 Accesso in sola lettura Un utente ha accesso in sola lettura e non potrà eseguire procedure di manutenzione (ad esempio, riavvio, azioni remote o aggiornamenti firmware), né potrà apportare modifiche (ad esempio, funzioni di salvataggio, cancellazione o ripristino). La posizione di bit 2 e tutti gli altri bit si escludono a vicenda, ma la posizione di bit 2 ha una precedenza più bassa. Se è impostato un qualsiasi altro bit, questo bit sarà ignorato. 3 Rete e sicurezza Un utente può modificare le configurazioni della sicurezza, dei protocolli di rete, dell'interfaccia di rete, delle assegnazioni delle porte e della porta seriale. 4 Gestione account utente Un utente può aggiungere, modificare o eliminare utenti e modificare le impostazioni globali di login nella finestra Profili di login. 5 Accesso alla console remota Un utente può accedere alla console del server remoto. 6 Accesso alla console remota e al disco remoto Un utente può accedere alla console del server remoto e alle funzioni del disco remoto per il server remoto. 7 Accesso accensione/riavvio del server remoto Un utente può accedere alle funzioni di accensione e riavvio per il server remoto. 8 Configurazione dell'adattatore di base Un utente può modificare i parametri di configurazione nelle finestre Impostazioni del sistema e Avvisi. 9 Possibilità di cancellare i log eventi Un utente può cancellare il log di eventi. NotaTutti gli utenti possono visualizzare i log di eventi, ma solo l'utente con questo livello di autorizzazione potrà cancellarli.10 Configurazione avanzata dell'adattatore Un utente non ha limitazioni per la configurazione di XClarity Controller. Inoltre, l'utente avrà accesso in gestione a XClarity Controller. L'utente potrà utilizzare le seguenti funzioni avanzate: aggiornamenti firmware, avvio di rete PXE, ripristino delle impostazioni predefinite di XClarity Controller, modifica e ripristino della configurazione dell'adattatore da un file di configurazione e riavvio/reimpostazione di XClarity Controller. 11 Riservato Questa posizione di bit è riservata per un uso futuro. Se nessuno dei bit è impostato, l'utente avrà autorizzazione di sola lettura. La priorità è data alle autorizzazioni di login che vengono recuperate direttamente dal record utente.
Se l'attributo di autorizzazione di login non si trova nel record dell'utente, viene effettuato un tentativo di recupero delle autorizzazioni dai gruppi a cui appartiene l'utente. Ciò viene eseguito come parte della fase di autenticazione del gruppo. All'utente viene assegnato l'operatore OR inclusivo di tutti i bit per tutti i gruppi.
Il bit di accesso di sola lettura (posizione 2) è impostato solo se tutti gli altri bit sono impostati su zero. Se per uno dei gruppi è impostato il bit Nega sempre (posizione 0), all'utente verrà negato l'accesso. Il bit Nega sempre (posizione 0) ha sempre la precedenza su tutti gli altri bit.
Questa priorità è data alle autorizzazioni di accesso richiamate direttamente dal record utente. Se l'utente non dispone di un attributo di autorizzazione al login nel relativo record, verrà eseguito un tentativo di recupero delle autorizzazioni dai gruppi a cui appartiene l'utente e, se configurato, a cui corrisponde il filtro del gruppo. In questo caso, all'utente verrà assegnato l'operatore OR inclusivo di tutti i bit per tutti i gruppi. Allo stesso modo, il bit Accesso in sola lettura verrà impostato solo se tutti gli altri bit sono zero. Inoltre, se per uno dei gruppi è impostato il bit Nega sempre, all'utente verrà negato l'accesso. Il bit Nega sempre ha la precedenza su tutti gli altri bit.NotaSe si permette all'utente di modificare le impostazioni di base, di rete e/o di sicurezza correlate ai parametri di configurazione dell'adattatore, si dovrebbe prendere in considerazione la possibilità di consentire allo stesso utente di riavviare XClarity Controller (posizione di bit 10). In caso contrario, senza questa possibilità, un utente potrebbe essere in grado di modificare i parametri (ad esempio, l'indirizzo IP dell'adattatore), ma non di rendere effettive tali modifiche. - Scegliere se abilitare o meno l'opzione Abilita la sicurezza avanzata basata sui ruoli per utenti di Active Directory in Impostazioni Active Directory (se si utilizza la modalità Utilizza il server LDAP per autenticazione e autorizzazione) oppure configurare Gruppi per autorizzazione locale (se si utilizza la modalità Utilizza il server LDAP solo per l'autenticazione (con autorizzazione locale)).
Abilitazione della sicurezza avanzata basata sui ruoli per utenti Active Directory
Se viene abilitata l'impostazione di sicurezza basata sui ruoli avanzata, deve essere configurato un nome server senza formattazione che funga da nome di destinazione per questo specifico XClarity Controller. Il nome di destinazione può essere associato a uno o più ruoli sul server Active Directory mediante uno Snap-in RBS (Role-Based Security). Ciò è possibile creando destinazioni gestite e attribuendo loro nomi specifici, per poi associarle ai ruoli appropriati. Se il nome viene configurato in questo campo, offre la possibilità di definire ruoli specifici per gli utenti e XClarity Controller (destinazioni) membri dello stesso ruolo. Quando un utente esegue il login a XClarity Controller e viene autenticato tramite Active Directory, i ruoli di cui l'utente è un membro vengono recuperati dalla directory. Le autorizzazioni assegnate all'utente vengono estratte dai ruoli che hanno come membro anche una destinazione il cui nome corrisponde a quello configurato qui oppure una destinazione che corrisponde a un qualsiasi XClarity Controller. Più XClarity Controller possono condividere lo stesso nome di destinazione. Questo potrebbe essere utilizzato, per esempio, per raggruppare più XClarity Controller e assegnarli allo stesso ruolo (o agli stessi ruoli) utilizzando una singola destinazione gestita. Viceversa, a ogni XClarity Controller può essere assegnato un nome univoco.
Gruppi per autorizzazione locale
I nomi dei gruppi sono configurati per fornire specifiche di autorizzazione locali per i gruppi di utenti. A ogni nome di gruppo possono essere assegnate autorizzazioni (ruoli) corrispondenti a quanto descritto nella tabella precedente. Il server LDAP associa gli utenti a un nome del gruppo. Al momento del login, a ogni utente vengono assegnate le autorizzazioni associate al gruppo di appartenenza. I gruppi aggiuntivi possono essere configurati facendo clic sull'icona (+) o eliminati facendo clic sull'icona (x).