Configurando LDAP
Use as informações neste tópico para visualizar ou alterar as configurações de LDAP do XClarity Controller.
- Suporte para protocolo LDAP versão 3 (RFC-2251)
- Suporte para APIs de cliente LDAP padrão (RFC-1823)
- Suporte para a sintaxe padrão de filtro de pesquisa do LDAP (RFC-2254)
- Suporte para extensão Lightweight Directory Access Protocol (v3) para Transport Layer Security (RFC-2830)
- Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Modo de aplicativo do Microsoft Active Directory (Windows 2003 Server)
- Serviço de diretório Microsoft Lightweight (Windows 2008, Windows 2012)
- Novell eDirectory Server, versões 8.7, 8.8 e 9.4
- Servidor OpenLDAP 2.1, 2.2, 2.3 e 2.4
Clique na guia LDAP para visualizar ou modificar as de LDAP do XClarity Controller.
O XClarity Controller pode autenticar remotamente o acesso de um usuário por um servidor LDAP central em vez das contas de usuário locais que estão armazenadas no próprio XClarity Controller ou além delas. Privilégios podem ser designadas a cada conta do usuário usando a sequência IBMRBSPermissions. Também é possível usar o servidor LDAP para designar usuários a grupos e executar a autenticação de grupos, além da autenticação normal do usuário (verificação de senha). Por exemplo, um XClarity Controller pode ser associado a um ou mais grupos; o usuário só aprovará a autenticação do grupo se o usuário pertencer a pelo menos um grupo que está associado ao XClarity Controller.
- Em Informações do servidor LDAP, as opções a seguir estão disponíveis na lista de itens:
- Usar o servidor LDAP apenas para autenticação (com autorização local): essa seleção direcionará o XClarity Controller para usar as credenciais apenas para fazer a autenticação no servidor LDAP e para recuperar informações de associação ao grupo. Os nomes de grupos e privilégios podem ser configurados na seção Configurações do Active Directory.
- Usar o servidor LDAP para autenticação e autorização: essa seleção direcionará o XClarity Controller para usar as credenciais para fazer a autenticação no servidor LDAP e para identificar a permissão de um usuário.
NotaOs servidores LDAP a serem usados para autenticação podem ser configurados manualmente ou descobertos dinamicamente por meio de registros DNS SRV.- Usar servidores pré-configurados: você pode configurar até quatro servidores LDAP digitando o endereço IP ou o nome do host de cada servidor se o DNS estiver habilitado. O número da porta para cada servidor é opcional. Se esse campo for deixado em branco, o valor padrão de 389 será usado para conexões LDAP não asseguradas. Para conexões seguras, o padrão da porta padrão é 636. Pelo menos um servidor LDAP deve ser configurado.
- Usar DNS para localizar servidores: é possível optar por descobrir dinamicamente os servidores LDAP. Os mecanismos descritos em RFC2782 (um DNS RR para especificar o local de serviços) são utilizados para localizar o servidor LDAP. Isso é conhecido como DNS SRV. É necessário especificar um nome de domínio totalmente qualificado (FQDN) para ser usado como o nome do domínio na solicitação DNS SRV.
- Floresta AD: em um ambiente com grupos universais em domínios cruzados, o nome de floresta (conjunto de domínios) deve ser configurado para descobrir os catálogos globais necessários (GC). Em um ambiente no qual a associação ao grupo de domínio cruzado não é aplicável, esse campo pode ser deixado em branco.
- Domínio AD: será necessário especificar um nome de domínio totalmente qualificado (FQDN) para ser usado como o nome do domínio na solicitação DNS SRV.
- Preencha as informações em Parâmetros adicionais. Veja a seguir as explicações dos parâmetros.
- Método de ligação
- Para poder procurar ou consultar o servidor LDAP, você deve enviar uma solicitação de ligação. Esse campo controla como essa ligação inicial para o servidor LDAP é executada. Os métodos de ligação a seguir estão disponíveis:
- Nenhuma credencial é necessária
Use esse método para ligação sem um nome distinto (DN) ou senha. Esse método é altamente desencorajado porque a maioria dos servidores é configurada para não permitir solicitações de procura em registros de usuário específicos.
- Usar credenciais configuradas
Use esse método para ligação com o DN e senha do cliente configurados.
- Usar credenciais de login
Use esse método para ligação com as credenciais que são fornecidas durante o processo de login. O ID do usuário pode ser fornecido utilizando um DN, um DN parcial, um nome de domínio totalmente qualificado ou por meio de um ID do usuário que corresponda ao campo Atributo de Pesquisa de UID configurado no XClarity Controller. Se as credenciais apresentadas forem semelhantes a um DN parcial (por exemplo, cn=joe), esse DN parcial será adicionado ao DN Raiz configurado, em uma tentativa de criar um DN que corresponda ao registro do usuário. Se a tentativa de ligação falhar, será feita uma tentativa final de ligar adicionando cn = à credencial de login e adicionando a cadeia de caracteres resultante ao DN raiz configurado.
- Nenhuma credencial é necessária
- Nome distinto raiz (DN)
- Esse é o nome distinto (DN) da entrada raiz da árvore de diretórios no servidor LDAP (por exemplo, dn=mycompany,dc=com). Esse DN é usado como o objeto base para todas as solicitações de pesquisa.
- Atributo de pesquisa de UID
- Quando o método de ligação é configurado para Nenhuma Credencial Necessária ou Usar Credenciais Configuradas, a ligação inicial para o servidor LDAP é seguida por uma solicitação de pesquisa que recupera informações específicas sobre o usuário, incluindo o DN do usuário, as permissões de login e a associação ao grupo. Essa solicitação de pesquisa deve especificar o nome do atributo que representa os IDs de usuário nesse servidor. Esse nome de atributo é configurado nesse campo. Em servidores Active Directory, o nome do atributo é geralmente sAMAccountName. Em servidores Novell eDirectory e OpenLDAP, o nome do atributo é uid. Se esse campo for deixado em branco, o padrão é uid.
- Filtro de Grupo
- O campo Filtro de Grupo é usado para autenticação de grupo. A autenticação de grupo será tentada após as credenciais do usuário serem verificadas com êxito. Se a autenticação de grupo falhar, a tentativa do usuário de efetuar logon será negada. Quando configurado, o filtro de grupo é usado para especificar a quais grupos o XClarity Controller pertence. Isso significa que, para ter êxito, o usuário deve pertencer a pelo menos um dos grupos configurados para a autenticação de grupo. Se o campo Filtro de Grupo for deixado em branco, a autenticação de grupo automaticamente será bem-sucedida. Se o filtro de grupo for configurado, será feita uma tentativa de corresponder pelo menos um grupo na lista a um grupo ao qual o usuário pertence. Se não houver nenhuma correspondência, o usuário falhará na autenticação e terá o acesso negado. Se houver pelo menos uma correspondência, a autenticação de grupo será bem-sucedida.
- Atributo de Procura de Grupo
- Em um ambiente Active Directory ou Novell eDirectory, o campo Atributo de Procura de Grupo especifica o nome do atributo que é usado para identificar os grupos aos quais um usuário pertence. Em um ambiente Active Directory, o nome do atributo é memberOf. Em um ambiente eDirectory, o nome do atributo é groupMembership. Em um ambiente do servidor OpenLDAP, os usuários geralmente são designados a grupos cujo objectClass equivale a PosixGroup. Neste contexto, esse campo especifica o nome do atributo que é usado para identificar os membros de um PosixGroup específico. O nome do atributo é memberUid. Se esse campo ficar em branco, o nome do atributo no filtro assumirá por padrão memberOf.
- Atributo de Permissão de Login
- Quando um usuário é autenticado por meio de um servidor LDAP com sucesso, as permissões de login para o usuário devem ser recuperadas. Para recuperar as permissões de login, o filtro de procura que é enviado ao servidor deve especificar o nome do atributo que está associado às permissões de login. O campo Atributo de Permissão de Login especifica o nome do atributo. Se o campo for deixado em branco, o usuário será designado a um padrão de permissões somente leitura, supondo que o usuário passe pela autenticação de usuário e de grupo.
Se nenhum desses bits for configurado, o padrão será configurado como Somente leitura para o usuário.Tabela 1. Bits de permissão. Tabela de três colunas que contém explicações de posição de bit.
Posição do Bit Função Explicação 0 Negar Sempre A autenticação de um usuário sempre falhará. Essa função pode ser usada para bloquear um determinado usuário ou usuários associados a um determinado grupo. 1 Acesso de Supervisor Privilégios de administrador são concedidos a um usuário. O usuário tem acesso de leitura/gravação a cada função. Se você configurar esse bit, não terá de configurar individualmente os outros bits. 2 Acesso Somente Leitura Um usuário possui acesso somente leitura e não pode executar nenhum procedimento de manutenção (por exemplo, reinicialização, ações remotas ou atualizações de firmware) ou fazer modificações (por exemplo, as funções salvar, limpar ou restaurar). A posição de bit 2 e todos os demais bits são mutuamente exclusivos, com a posição de bit 2 tendo a precedência mais baixa. Quando qualquer outro bit for configurado, esse bit será ignorado. 3 Rede e Segurança Um usuário pode modificar as configurações de Segurança, Protocolos de Rede, Interface de Rede, Designações de Porta e Porta Serial. 4 Gerenciamento de Contas do Usuário Um usuário pode incluir, modificar ou excluir usuários e alterar as Configurações de Login Global na janela Perfis de Login. 5 Acesso ao Console Remoto Um usuário pode acessar o console do servidor remoto. 6 Acesso ao Console Remoto e ao Disco Remoto Um usuário pode acessar o console do servidor remoto e as funções de disco remoto para o servidor remoto. 7 Acesso para Ligar/Reiniciar Servidor Remoto Um usuário pode acessar as funções de ligação e reinicialização para o servidor remoto. 8 Configuração de Adaptador Básica Um usuário pode modificar parâmetros de configuração nas janelas Configurações do Sistema e Alertas. 9 Capacidade de Limpar Logs de Eventos Um usuário pode limpar os logs de eventos. NotaTodos os usuários podem visualizar os logs de eventos; mas, para limpar os logs, o usuário precisa ter esse nível de permissão.10 Configuração de Adaptador Avançada Um usuário não tem restrições ao configurar o XClarity Controller. Além disso, o usuário tem acesso administrativo ao XClarity Controller. O usuário pode executar as seguintes funções avançadas: atualizar o firmware, inicializar a rede PXE, restaurar os padrões de fábrica do XClarity Controller, modificar e restaurar a configuração de adaptador a partir de um arquivo de configuração e reiniciar/reconfigurar o XClarity Controller. 11 Reservado Essa posição de bit está reservada para uso futuro. Se nenhum dos bits for configurado, o usuário terá autoridade somente leitura. É dada prioridade às permissões de login que são recuperadas diretamente do registro do usuário.
Se o atributo de permissão de login não estiver no registro do usuário, será feita uma tentativa de recuperar as permissões dos grupos aos quais o usuário pertence. Isso é executado como parte da fase de autenticação do grupo. É designado ao usuário o OR inclusivo de todos os bits para todos os grupos.
O bit Acesso Somente Leitura (posição 2) será configurado apenas se todos os outros bits forem configurados para zero. Se o bit Negar Sempre (posição 0) for configurado para qualquer um dos grupos, o usuário terá o acesso recusado. O bit Negar Sempre (posição 0) sempre tem precedência sobre todos os outros bits.
Observe que é dada prioridade às permissões de login recuperadas diretamente do registro do usuário. Se o usuário não tiver o atributo de permissão de login no registro, será feita uma tentativa de recuperar as permissões dos grupos aos quais o usuário pertence e, se configurado, que correspondem ao filtro de grupo. Nesse caso, será designado ao usuário o OR inclusivo de todos os bits para todos os grupos. De forma similar, o bit Acesso Somente Leitura será definido apenas se os demais bits forem zero. Além disso, observe que, se o bit Negar Sempre estiver definido para qualquer um dos grupos, o usuário terá o acesso recusado. O bit Negar Sempre tem sempre precedência sobre os demais bits.NotaSe você conceder a um usuário a capacidade de modificar os parâmetros básicos de configuração do adaptador relacionados à rede e/ou à segurança, você deverá conceder a esse mesmo usuário a capacidade de reiniciar o XClarity Controller (posição de bit 10). Caso contrário, sem essa capacidade, um usuário poderá alterar parâmetros (por exemplo, endereço IP do adaptador) mas essas alterações não terão efeito. - Escolha se deverá ou não Habilitar a segurança aprimorada baseada em funções para usuários do Active Directory em Configurações do Active Directory (se o modo Usar servidor LDAP para Autenticação e Autorização for usado), ou configure os Grupos para Autorização Local (se Usar o servidor LDAP apenas para Autenticação (com autorização local) for usado).
Ativar segurança aprimorada baseada em função para Usuários do Active Directory
Se a configuração de segurança aprimorada baseada em função estiver habilitada, um nome de servidor de formatação livre deverá ser configurado para atuar como o nome de destino para este XClarity Controller específico. O nome de destino pode ser associado a uma ou mais funções no servidor do Active Directory por meio de um Snap-RBS (Role Based Security). Isso é feito criando destinos gerenciados, dando nomes específicos a eles e associando-os às funções apropriadas. Se houver um nome configurado nesse campo, ele fornecerá a capacidade de definir funções específicas para usuários e XClarity Controllers (destinos) que forem membros da mesma função. Quando um usuário faz login no XClarity Controller e é autenticado por meio do Active Directory, as funções das quais o usuário é membro são recuperadas do diretório. As permissões designadas ao usuário são extraídas das funções que também têm como membro um destino cujo nome corresponde ao nome do servidor configurado aqui ou um destino que corresponda a qualquer XClarity Controller. Vários XClarity Controllers podem compartilhar o mesmo nome de destino. Esse nome pode ser usado, por exemplo, para agrupar vários XClarity Controllers e atribuir a eles as mesmas funções usando um único destino gerenciado. Em contrapartida, cada XClarity Controller pode receber um nome exclusivo.
Grupos para Autorização Local
Os nomes de grupos são configurados para fornecer especificações de autorização local para grupos de usuários. Cada nome de grupo pode receber permissões (funções) que são as mesmas conforme descrito na tabela acima. O servidor LDAP associa usuários com um nome de grupo. Quando o usuário faz login, ele recebe as permissões associadas a um grupo ao qual ele pertence. Grupos adicionais podem ser configurados clicando no ícone "+" ou excluídos clicando no ícone "x".