Pular para o conteúdo principal

Configurando LDAP

Use as informações neste tópico para visualizar ou alterar as configurações de LDAP do XClarity Controller.

O suporte de LDAP inclui:
  • Suporte para protocolo LDAP versão 3 (RFC-2251)
  • Suporte para APIs de cliente LDAP padrão (RFC-1823)
  • Suporte para a sintaxe padrão de filtro de pesquisa do LDAP (RFC-2254)
  • Suporte para extensão Lightweight Directory Access Protocol (v3) para Transport Layer Security (RFC-2830)
A implementação de LDAP oferece suporte aos seguintes servidores LDAP:
  • Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Modo de aplicativo do Microsoft Active Directory (Windows 2003 Server)
  • Serviço de diretório Microsoft Lightweight (Windows 2008, Windows 2012)
  • Novell eDirectory Server, versões 8.7, 8.8 e 9.4
  • Servidor OpenLDAP 2.1, 2.2, 2.3 e 2.4

Clique na guia LDAP para visualizar ou modificar as de LDAP do XClarity Controller.

O XClarity Controller pode autenticar remotamente o acesso de um usuário por um servidor LDAP central em vez das contas de usuário locais que estão armazenadas no próprio XClarity Controller ou além delas. Privilégios podem ser designadas a cada conta do usuário usando a sequência IBMRBSPermissions. Também é possível usar o servidor LDAP para designar usuários a grupos e executar a autenticação de grupos, além da autenticação normal do usuário (verificação de senha). Por exemplo, um XClarity Controller pode ser associado a um ou mais grupos; o usuário só aprovará a autenticação do grupo se o usuário pertencer a pelo menos um grupo que está associado ao XClarity Controller.

Para configurar um servidor LDAP, conclua as seguintes etapas:
  1. Em Informações do servidor LDAP, as opções a seguir estão disponíveis na lista de itens:
    • Usar o servidor LDAP apenas para autenticação (com autorização local): essa seleção direcionará o XClarity Controller para usar as credenciais apenas para fazer a autenticação no servidor LDAP e para recuperar informações de associação ao grupo. Os nomes de grupos e privilégios podem ser configurados na seção Configurações do Active Directory.
    • Usar o servidor LDAP para autenticação e autorização: essa seleção direcionará o XClarity Controller para usar as credenciais para fazer a autenticação no servidor LDAP e para identificar a permissão de um usuário.
    Nota
    Os servidores LDAP a serem usados para autenticação podem ser configurados manualmente ou descobertos dinamicamente por meio de registros DNS SRV.
    • Usar servidores pré-configurados: você pode configurar até quatro servidores LDAP digitando o endereço IP ou o nome do host de cada servidor se o DNS estiver habilitado. O número da porta para cada servidor é opcional. Se esse campo for deixado em branco, o valor padrão de 389 será usado para conexões LDAP não asseguradas. Para conexões seguras, o padrão da porta padrão é 636. Pelo menos um servidor LDAP deve ser configurado.
    • Usar DNS para localizar servidores: é possível optar por descobrir dinamicamente os servidores LDAP. Os mecanismos descritos em RFC2782 (um DNS RR para especificar o local de serviços) são utilizados para localizar o servidor LDAP. Isso é conhecido como DNS SRV. É necessário especificar um nome de domínio totalmente qualificado (FQDN) para ser usado como o nome do domínio na solicitação DNS SRV.
      • Floresta AD: em um ambiente com grupos universais em domínios cruzados, o nome de floresta (conjunto de domínios) deve ser configurado para descobrir os catálogos globais necessários (GC). Em um ambiente no qual a associação ao grupo de domínio cruzado não é aplicável, esse campo pode ser deixado em branco.
      • Domínio AD: será necessário especificar um nome de domínio totalmente qualificado (FQDN) para ser usado como o nome do domínio na solicitação DNS SRV.
    Se desejar habilitar o LDAP seguro, clique na caixa de seleção Habilitar LDAP seguro. Para oferecer suporte ao LDAP seguro, um certificado SSL válido deve ser instalado e pelo menos um certificado confiável de cliente SSL deve ser importado para o XClarity Controller. Seu servidor LDAP deve oferecer suporte ao TLS versão 1.2 para ser compatível com o cliente LDAP seguro XClarity Controller. Para obter informações adicionais sobre manipulação de certificado, consulte Manipulação de certificado SSL.
  2. Preencha as informações em Parâmetros adicionais. Veja a seguir as explicações dos parâmetros.
    Método de ligação
    Para poder procurar ou consultar o servidor LDAP, você deve enviar uma solicitação de ligação. Esse campo controla como essa ligação inicial para o servidor LDAP é executada. Os métodos de ligação a seguir estão disponíveis:
    • Nenhuma credencial é necessária

      Use esse método para ligação sem um nome distinto (DN) ou senha. Esse método é altamente desencorajado porque a maioria dos servidores é configurada para não permitir solicitações de procura em registros de usuário específicos.

    • Usar credenciais configuradas

      Use esse método para ligação com o DN e senha do cliente configurados.

    • Usar credenciais de login

      Use esse método para ligação com as credenciais que são fornecidas durante o processo de login. O ID do usuário pode ser fornecido utilizando um DN, um DN parcial, um nome de domínio totalmente qualificado ou por meio de um ID do usuário que corresponda ao campo Atributo de Pesquisa de UID configurado no XClarity Controller. Se as credenciais apresentadas forem semelhantes a um DN parcial (por exemplo, cn=joe), esse DN parcial será adicionado ao DN Raiz configurado, em uma tentativa de criar um DN que corresponda ao registro do usuário. Se a tentativa de ligação falhar, será feita uma tentativa final de ligar adicionando cn = à credencial de login e adicionando a cadeia de caracteres resultante ao DN raiz configurado.

    Se a ligação inicial for bem-sucedida, uma procura será executada para localizar uma entrada no servidor LDAP que pertence ao usuário que está efetuando login. Se necessário, será feita uma segunda tentativa de ligação, desta vez com o DN que é recuperado do registro LDAP do usuário e a senha que foi inserida durante o processo de login. Se a segunda tentativa de ligação falhar, o usuário terá o acesso negado. A segunda ligação só será executada quando os métodos de ligação Nenhuma Credencial Necessária ou Usar Credenciais Configuradas forem usados.
    Nome distinto raiz (DN)
    Esse é o nome distinto (DN) da entrada raiz da árvore de diretórios no servidor LDAP (por exemplo, dn=mycompany,dc=com). Esse DN é usado como o objeto base para todas as solicitações de pesquisa.
    Atributo de pesquisa de UID
    Quando o método de ligação é configurado para Nenhuma Credencial Necessária ou Usar Credenciais Configuradas, a ligação inicial para o servidor LDAP é seguida por uma solicitação de pesquisa que recupera informações específicas sobre o usuário, incluindo o DN do usuário, as permissões de login e a associação ao grupo. Essa solicitação de pesquisa deve especificar o nome do atributo que representa os IDs de usuário nesse servidor. Esse nome de atributo é configurado nesse campo. Em servidores Active Directory, o nome do atributo é geralmente sAMAccountName. Em servidores Novell eDirectory e OpenLDAP, o nome do atributo é uid. Se esse campo for deixado em branco, o padrão é uid.
    Filtro de Grupo
    O campo Filtro de Grupo é usado para autenticação de grupo. A autenticação de grupo será tentada após as credenciais do usuário serem verificadas com êxito. Se a autenticação de grupo falhar, a tentativa do usuário de efetuar logon será negada. Quando configurado, o filtro de grupo é usado para especificar a quais grupos o XClarity Controller pertence. Isso significa que, para ter êxito, o usuário deve pertencer a pelo menos um dos grupos configurados para a autenticação de grupo. Se o campo Filtro de Grupo for deixado em branco, a autenticação de grupo automaticamente será bem-sucedida. Se o filtro de grupo for configurado, será feita uma tentativa de corresponder pelo menos um grupo na lista a um grupo ao qual o usuário pertence. Se não houver nenhuma correspondência, o usuário falhará na autenticação e terá o acesso negado. Se houver pelo menos uma correspondência, a autenticação de grupo será bem-sucedida.
    As comparações fazem distinção entre maiúsculas e minúsculas. O filtro é limitado a 511 caracteres e pode consistir em um ou mais nomes de grupos. O caractere de dois-pontos (:) deve ser usado para delimitar diversos nomes de grupos. Os espaços à esquerda e à direita são ignorados, mas qualquer outro espaço é tratado como parte do nome do grupo.
    Nota
    O caractere curinga (*) não é mais tratado como um curinga. O conceito de curinga foi descontinuado para evitar exposições de segurança. Um nome de grupo pode ser especificado como um DN completo ou usando apenas a parte de cn. Por exemplo, um grupo com um DN cn=adminGroup, dc=mycompany, dc=com pode ser especificado usando o DN real ou com adminGroup.
    A associação de grupo aninhado é suportada apenas em ambientes do Active Directory. Por exemplo, se um usuário for um membro de GroupA e GroupB, e GroupA também for um membro de GroupC, o usuário será considerado um membro de GroupC também. As procuras aninhadas serão paradas se 128 grupos tiverem sido procurados. Os grupos em um nível são procurados antes dos grupos em um nível inferior. Os loops não são detectados.
    Atributo de Procura de Grupo
    Em um ambiente Active Directory ou Novell eDirectory, o campo Atributo de Procura de Grupo especifica o nome do atributo que é usado para identificar os grupos aos quais um usuário pertence. Em um ambiente Active Directory, o nome do atributo é memberOf. Em um ambiente eDirectory, o nome do atributo é groupMembership. Em um ambiente do servidor OpenLDAP, os usuários geralmente são designados a grupos cujo objectClass equivale a PosixGroup. Neste contexto, esse campo especifica o nome do atributo que é usado para identificar os membros de um PosixGroup específico. O nome do atributo é memberUid. Se esse campo ficar em branco, o nome do atributo no filtro assumirá por padrão memberOf.
    Atributo de Permissão de Login
    Quando um usuário é autenticado por meio de um servidor LDAP com sucesso, as permissões de login para o usuário devem ser recuperadas. Para recuperar as permissões de login, o filtro de procura que é enviado ao servidor deve especificar o nome do atributo que está associado às permissões de login. O campo Atributo de Permissão de Login especifica o nome do atributo. Se o campo for deixado em branco, o usuário será designado a um padrão de permissões somente leitura, supondo que o usuário passe pela autenticação de usuário e de grupo.
    O valor de atributo que é retornado pelo servidor LDAP procura a sequência de palavra-chave IBMRBSPermissions=. Essa sequência de palavra-chave deve ser seguida imediatamente por uma sequência de bits que é inserida como 12 0s ou 1s consecutivos. Cada bit representa um conjunto de funções. Os bits são numerados de acordo com suas posições. O bit mais à esquerda corresponde à posição de bit 0, e o bit mais à direita corresponde à posição de bit 11. Um valor 1 em uma posição de bit habilita a função que está associada a essa posição de bit. Um valor de 0 em uma posição de bit desativa a função que está associada a essa posição de bit.
    A sequência IBMRBSPermissions=010000000000 é um exemplo válido. A palavra-chave IBMRBSPermissions= é usada para permitir que ela seja colocada em qualquer lugar nesse campo. Isso permite que o administrador de LDAP reutilize um atributo existente; portanto, evitando uma extensão para o esquema LDAP. Isso também permite que o atributo seja usado para seu propósito original. É possível incluir a sequência de palavra-chave em qualquer lugar nesse campo. O atributo que você usar pode permitir uma sequência de formatação livre. Quando o atributo é recuperado com êxito, o valor retornado pelo servidor LDAP é interpretado de acordo com as informações na tabela a seguir.
    Tabela 1. Bits de permissão.

    Tabela de três colunas que contém explicações de posição de bit.

    Posição do BitFunçãoExplicação
    0Negar SempreA autenticação de um usuário sempre falhará. Essa função pode ser usada para bloquear um determinado usuário ou usuários associados a um determinado grupo.
    1Acesso de SupervisorPrivilégios de administrador são concedidos a um usuário. O usuário tem acesso de leitura/gravação a cada função. Se você configurar esse bit, não terá de configurar individualmente os outros bits.
    2Acesso Somente LeituraUm usuário possui acesso somente leitura e não pode executar nenhum procedimento de manutenção (por exemplo, reinicialização, ações remotas ou atualizações de firmware) ou fazer modificações (por exemplo, as funções salvar, limpar ou restaurar). A posição de bit 2 e todos os demais bits são mutuamente exclusivos, com a posição de bit 2 tendo a precedência mais baixa. Quando qualquer outro bit for configurado, esse bit será ignorado.
    3Rede e SegurançaUm usuário pode modificar as configurações de Segurança, Protocolos de Rede, Interface de Rede, Designações de Porta e Porta Serial.
    4Gerenciamento de Contas do UsuárioUm usuário pode incluir, modificar ou excluir usuários e alterar as Configurações de Login Global na janela Perfis de Login.
    5Acesso ao Console RemotoUm usuário pode acessar o console do servidor remoto.
    6Acesso ao Console Remoto e ao Disco RemotoUm usuário pode acessar o console do servidor remoto e as funções de disco remoto para o servidor remoto.
    7Acesso para Ligar/Reiniciar Servidor RemotoUm usuário pode acessar as funções de ligação e reinicialização para o servidor remoto.
    8Configuração de Adaptador BásicaUm usuário pode modificar parâmetros de configuração nas janelas Configurações do Sistema e Alertas.
    9Capacidade de Limpar Logs de EventosUm usuário pode limpar os logs de eventos.
    Nota
    Todos os usuários podem visualizar os logs de eventos; mas, para limpar os logs, o usuário precisa ter esse nível de permissão.
    10Configuração de Adaptador AvançadaUm usuário não tem restrições ao configurar o XClarity Controller. Além disso, o usuário tem acesso administrativo ao XClarity Controller. O usuário pode executar as seguintes funções avançadas: atualizar o firmware, inicializar a rede PXE, restaurar os padrões de fábrica do XClarity Controller, modificar e restaurar a configuração de adaptador a partir de um arquivo de configuração e reiniciar/reconfigurar o XClarity Controller.
    11Reservado

    Essa posição de bit está reservada para uso futuro. Se nenhum dos bits for configurado, o usuário terá autoridade somente leitura. É dada prioridade às permissões de login que são recuperadas diretamente do registro do usuário.

    Se o atributo de permissão de login não estiver no registro do usuário, será feita uma tentativa de recuperar as permissões dos grupos aos quais o usuário pertence. Isso é executado como parte da fase de autenticação do grupo. É designado ao usuário o OR inclusivo de todos os bits para todos os grupos.

    O bit Acesso Somente Leitura (posição 2) será configurado apenas se todos os outros bits forem configurados para zero. Se o bit Negar Sempre (posição 0) for configurado para qualquer um dos grupos, o usuário terá o acesso recusado. O bit Negar Sempre (posição 0) sempre tem precedência sobre todos os outros bits.

    Se nenhum desses bits for configurado, o padrão será configurado como Somente leitura para o usuário.
    Observe que é dada prioridade às permissões de login recuperadas diretamente do registro do usuário. Se o usuário não tiver o atributo de permissão de login no registro, será feita uma tentativa de recuperar as permissões dos grupos aos quais o usuário pertence e, se configurado, que correspondem ao filtro de grupo. Nesse caso, será designado ao usuário o OR inclusivo de todos os bits para todos os grupos. De forma similar, o bit Acesso Somente Leitura será definido apenas se os demais bits forem zero. Além disso, observe que, se o bit Negar Sempre estiver definido para qualquer um dos grupos, o usuário terá o acesso recusado. O bit Negar Sempre tem sempre precedência sobre os demais bits.
    Nota
    Se você conceder a um usuário a capacidade de modificar os parâmetros básicos de configuração do adaptador relacionados à rede e/ou à segurança, você deverá conceder a esse mesmo usuário a capacidade de reiniciar o XClarity Controller (posição de bit 10). Caso contrário, sem essa capacidade, um usuário poderá alterar parâmetros (por exemplo, endereço IP do adaptador) mas essas alterações não terão efeito.
  3. Escolha se deverá ou não Habilitar a segurança aprimorada baseada em funções para usuários do Active Directory em Configurações do Active Directory (se o modo Usar servidor LDAP para Autenticação e Autorização for usado), ou configure os Grupos para Autorização Local (se Usar o servidor LDAP apenas para Autenticação (com autorização local) for usado).

    • Ativar segurança aprimorada baseada em função para Usuários do Active Directory

      Se a configuração de segurança aprimorada baseada em função estiver habilitada, um nome de servidor de formatação livre deverá ser configurado para atuar como o nome de destino para este XClarity Controller específico. O nome de destino pode ser associado a uma ou mais funções no servidor do Active Directory por meio de um Snap-RBS (Role Based Security). Isso é feito criando destinos gerenciados, dando nomes específicos a eles e associando-os às funções apropriadas. Se houver um nome configurado nesse campo, ele fornecerá a capacidade de definir funções específicas para usuários e XClarity Controllers (destinos) que forem membros da mesma função. Quando um usuário faz login no XClarity Controller e é autenticado por meio do Active Directory, as funções das quais o usuário é membro são recuperadas do diretório. As permissões designadas ao usuário são extraídas das funções que também têm como membro um destino cujo nome corresponde ao nome do servidor configurado aqui ou um destino que corresponda a qualquer XClarity Controller. Vários XClarity Controllers podem compartilhar o mesmo nome de destino. Esse nome pode ser usado, por exemplo, para agrupar vários XClarity Controllers e atribuir a eles as mesmas funções usando um único destino gerenciado. Em contrapartida, cada XClarity Controller pode receber um nome exclusivo.

    • Grupos para Autorização Local

      Os nomes de grupos são configurados para fornecer especificações de autorização local para grupos de usuários. Cada nome de grupo pode receber permissões (funções) que são as mesmas conforme descrito na tabela acima. O servidor LDAP associa usuários com um nome de grupo. Quando o usuário faz login, ele recebe as permissões associadas a um grupo ao qual ele pertence. Grupos adicionais podem ser configurados clicando no ícone "+" ou excluídos clicando no ícone "x".