Настройка LDAP
Воспользуйтесь информацией из этого раздела для просмотра или изменения параметров LDAP XClarity Controller.
- Поддержку протокола LDAP версии 3 (RFC 2251);
- Поддержку стандартных интерфейсов API клиентов LDAP (RFC 1823);
- Поддержку стандартного синтаксиса фильтра поиска LDAP (RFC 2254);
- Поддержку расширения протокола LDAP (версии 3) для протокола TLS (RFC 2830).
- Microsoft Active Directory ( Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Microsoft Active Directory Application Mode (Windows 2003 Server)
- Microsoft Lightweight Directory Service (Windows 2008, Windows 2012)
- Novell eDirectory Server, версия 8.7, 8.8 и 9.4
- OpenLDAP Server 2.1, 2.2, 2.3 и 2.4
Перейдите на вкладку LDAP для просмотра или изменения параметров LDAP XClarity Controller.
XClarity Controller может удаленно аутентифицировать доступ пользователя с помощью центрального сервера LDAP вместо локальных учетных записей пользователя (или в дополнение к ним), которые сохранены в самом контроллере XClarity Controller. Можно назначить привилегии для каждой учетной записи пользователя, используя строку IBMRBSPermissions. Кроме того, можно использовать сервер LDAP, чтобы назначить пользователей группам и выполнять групповую аутентификацию, помимо стандартной аутентификации пользователей (по проверке пароля). Например, можно назначить XClarity Controller одной или нескольким группам; пользователь сможет пройти групповую аутентификацию, только если он относится хотя бы к одной группе, связанной с XClarity Controller.
- В разделе Сведения о сервере LDAP в списке элементов доступны следующие параметры:
- Использовать сервер LDAP только для аутентификации (с локальной авторизацией): если выбран этот параметр, XClarity Controller будет использовать учетные данные только для аутентификации на сервере LDAP и извлечения информации о принадлежности к группе. Имена и привилегии групп можно настроить в разделе параметров Active Directory.
- Использовать сервер LDAP для аутентификации и авторизации: если выбран этот параметр, XClarity Controller будет использовать учетные данные и для аутентификации на сервере LDAP, и для идентификации разрешений пользователя.
Прим.Серверы LDAP, которые следует использовать для аутентификации, можно настроить вручную или обнаружить с помощью записей DNS SRV в динамическом режиме.- Использовать преднастроенные серверы: можно настроить до четырех серверов LDAP, введя IP-адрес или имя хоста каждого из них, если DNS включена. Номер порта для каждого сервера указывать не обязательно. Если это поле оставлено пустым, для незащищенных подключений LDAP используется значение по умолчанию — 389. Для защищенных подключений значение порта по умолчанию — 636. Необходимо настроить по меньшей мере один сервер LDAP.
- Использовать DNS для поиска серверов: можно настроить динамический режим обнаружения серверов LDAP. Механизмы, описанные в статье RFC2782 (DNS RR для указания расположения служб), используются для определения расположения серверов LDAP. Этот процесс известен под названием DNS SRV. Необходимо указать полное доменное имя, которое будет использоваться в качестве доменного имени в запросе DNS SRV.
- Лес AD: в среде с универсальными группами в перекрестных доменах необходимо настроить имя леса (набора доменов) для обнаружения обязательных глобальных каталогов (GC). В среде без кросс-доменного членства в группах это поле можно оставить пустым.
- Домен AD: потребуется указать полное доменное имя, которое будет использоваться в качестве доменного имени в запросе DNS SRV.
- Заполните информацию в разделе Дополнительные атрибуты. Ниже приводятся пояснения этих атрибутов.
- Метод привязки
- Прежде чем начинать поиск на сервере LDAP или отправлять на него запросы, необходимо отправить запрос привязки. Это поле управляет выполнением первоначальной привязки к серверу LDAP. Доступны следующие методы привязки:
- Учетные данные не требуются
Используйте этот метод для привязки без различающегося имени или пароля. Использовать этот метод не рекомендуется, поскольку большинство серверов настроены на запрет поисковых запросов по отдельным записям пользователей.
- Использовать настроенные учетные данные
Используйте этот метод для привязки с использованием настроенного различающегося имени и пароля клиента.
- Использовать учетные данные входа
Используйте этот метод для привязки с учетными данными, предоставленными в процессе входа. ИД пользователя может быть предоставлен с помощью различающегося имени, частичного различающегося имени, полного доменного имени или идентификатора пользователя, соответствующего атрибуту поиска UID, который настроен в XClarity Controller. Если предоставленные учетные данные напоминают частичное различающееся имя (например, cn=joe), оно будет присоединено спереди настроенного различающегося имени корня в попытке создать различающееся имя, соответствующее записи пользователя. Если попытка привязки завершится сбоем, будет сделана заключительная попытка создания привязки путем присоединения cn= to спереди к учетным данным входа, а полученной строки — к настроенному различающемуся имени корня.
- Учетные данные не требуются
- Различающееся имя корня
- Это различающееся имя корневой записи в дереве каталога на сервере LDAP (например, dn=mycompany,dc=com). Это различающееся имя используется в качестве базового объекта для всех поисковых запросов.
- Атрибут поиска UID
- Если в качестве метода привязки задано значение Учетные данные не требуются или Использовать настроенные учетные данные, за первоначальной привязкой к серверу LDAP следует поисковый запрос, извлекающий конкретную информацию о пользователе, включая различающееся имя пользователя, разрешения на вход и принадлежность к группе. В поисковом запросе необходимо указать имя атрибута, представляющего идентификаторы пользователей на этом сервере. Имя атрибута настраивается в этом поле. На серверах Active Directory имя атрибута обычно имеет следующий вид: sAMAccountName. На серверах Novell eDirectory и OpenLDAP имя атрибута имеет вид uid. Если поле оставлено пустым, значение по умолчанию — uid.
- Групповой фильтр
- Поле Групповой фильтр используется для групповой аутентификации. Попытка групповой аутентификации предпринимается после успешной проверки учетных данных пользователя. Если групповая аутентификация завершается сбоем, пользователю отказывают в доступе. Если настроен групповой фильтр, он служит для указания принадлежности XClarity Controller к тем или иным группам. Это означает, что для успешного выполнения операции пользователь должен относиться по меньшей мере к одной группе, настроенной для групповой аутентификации. Если поле Групповой фильтр оставлено пустым, групповая аутентификация автоматически завершается успехом. Если групповой фильтр настроен, предпринимается попытка сопоставить по меньшей мере одну группу в списке группе, к которой относится пользователь. Если соответствие не найдено, пользователь не проходит аутентификацию, в доступе ему отказано. Если найдено хотя бы одно соответствие, групповая аутентификация завершается успешно.
- Атрибут группового поиска
- В средах Active Directory или Novell eDirectory значение в поле Атрибут группового поиска указывает на имя атрибута, используемое для идентификации групп, к которым относится пользователь. В среде Active Directory имя атрибута — memberOf. В среде eDirectory имя атрибута — groupMembership. В среде сервера OpenLDAP пользователи обычно назначаются группам, значение objectClass в которых равно PosixGroup. В этом контексте это поле задает имя атрибута, используемое для идентификации участников определенной группы PosixGroup. Это имя атрибута — memberUid. Если это поле оставлено пустым, имя атрибута в фильтре по умолчанию равно memberOf.
- Атрибут разрешений на вход
- Если пользователь успешно проходит аутентификацию на сервере LDAP, необходимо извлечь разрешения на вход для этого пользователя. Чтобы сделать это, фильтр поиска, отправляемый на сервер, должен содержать указание на имя атрибута, связанное с разрешениями на вход. В поле Атрибут разрешений на вход задается имя атрибута. Если это поле оставлено пустым, пользователю назначаются разрешения по умолчанию (только чтение), поскольку предполагается, что пользователь прошел индивидуальную и групповую аутентификацию.
Если ни один из битов не настроен, для пользователя будет задано значение по умолчанию Только чтение.Табл. 1. Биты разрешений. Таблица из трех столбцов, в которой объясняются позиции битов.
Позиция бита Функция Объяснение 0 Всегда отказывать Пользователь никогда не сможет пройти аутентификацию. Эту функцию можно использовать, чтобы заблокировать конкретного пользователя или пользователей, связанных с определенной группой. 1 Доступ уровня «Администратор» Пользователю присваиваются привилегии администратора. У пользователя появляется доступ на чтение и запись в отношении каждой функции. Если настроить этот бит, настраивать другие биты по отдельности не потребуется. 2 Доступ «Только чтение» Пользователь получает доступ «Только чтение» и не может выполнять никакие процедуры обслуживания (например, перезапускать систему, выполнять удаленные действия или обновления микропрограмм) или вносить изменения (то есть выполнять функции сохранения, очистки и восстановления). Позиция бита 2 и все остальные биты являются взаимно исключающими, позиция бита 2 имеет самый низкий приоритет. Если заданы какие-либо другие биты, этот бит будет игнорироваться. 3 Сетевые параметры и безопасность Пользователь может менять параметры сети, сетевые протоколы, сетевой интерфейс, назначение портов и конфигурации последовательных портов. 4 Управление учетными записями пользователей Пользователь может добавлять, изменять и удалять пользователей, а также менять параметры глобального входа в окне «Профили входа». 5 Доступ к удаленной консоли Пользователь может осуществлять доступ к удаленной консоли сервера. 6 Доступ к удаленной консоли и удаленному диску Пользователь может осуществлять доступ к удаленной консоли сервера и функциям удаленного диска для удаленного сервера. 7 Удаленный доступ к питанию/перезапуску сервера Пользователь может осуществлять доступ к функциям включения и перезапуска удаленного сервера. 8 Базовая конфигурация адаптера Пользователь может менять параметры конфигурации на страницах «Системные параметры» и «Оповещения». 9 Возможность очищать журналы событий Пользователь может очищать журналы событий. Прим.Все пользователи могут просматривать журналы событий, однако для очистки журналов требуется разрешение этого уровня.10 Расширенная конфигурация адаптера У пользователя нет ограничений по настройке XClarity Controller. Кроме того, пользователь имеет административные права доступа к XClarity Controller. Пользователь может выполнять следующие расширенные функции: обновление микропрограмм, загрузка сети PXE, восстановление заводских значений XClarity Controller, изменение и восстановление конфигурации адаптера из файла конфигурации, а также перезапуск и сброс XClarity Controller. 11 Зарезервирован Эта позиция бита зарезервирована для будущего использования. Если ни один из битов не настроен, пользователь обладает правами только на чтение. Приоритет отдается разрешениям на вход, которые извлекаются непосредственно из записи пользователя.
Если атрибут разрешений на вход отсутствует в записи пользователя, предпринимается попытка извлечь разрешения из групп, к которым относится пользователь. Это действие выполняется на этапе групповой аутентификации. Пользователю назначаются все биты во всех группах с включающим «ИЛИ».
Бит доступа «Только чтение» (позиция 2) задается, только если для всех остальных битов задан нуль. Бит «Всегда отказывать» (позиция 0) задается для любой из групп, пользователю отказано в доступе. Бит «Всегда отказывать» (позиция 0) имеет приоритет над всеми остальными битами.
Обратите внимание, что приоритет отдается разрешениям на вход, которые извлекаются непосредственно из записи пользователя. Если атрибут разрешений на вход отсутствует в записи пользователя, предпринимается попытка извлечь разрешения из групп, к которым относится пользователь, и которые соответствуют групповому фильтру (если он настроен). В этом случае пользователю назначаются все биты во всех группах с включающим «ИЛИ». Аналогично, бит доступа Только чтение будет задан, если все остальные биты равны нулю. Кроме того, обратите внимание, что если бит Всегда отказывать задается для любой из групп, пользователю будет отказано в доступе. Бит Всегда отказывать имеет приоритет над всеми остальными битами.Прим.Если предоставить пользователю возможность менять базовые, сетевые параметры и параметры конфигурации адаптера, связанные с безопасностью, целесообразно предоставить пользователю и возможность перезапускать контроллер XClarity Controller (позиция бита 10). В противном случае пользователь сможет изменить параметры (например, IP-адрес адаптера), но не сможет сделать так, чтобы они вступили в силу. - Выберите, нужно ли Включить расширенную безопасность на основе ролей для пользователей Active Directory в разделе Параметры Active Directory (если используется режим Использовать сервер LDAP для аутентификации и авторизации) или настроить параметр Группы для локальной авторизации (если используется режим Использовать сервер LDAP только для аутентификации (с локальной авторизацией).
Включить расширенную безопасность на основе ролей для пользователей Active Directory
Если включена эта настройка, необходимо настроить имя сервера в произвольном формате так, чтобы оно функционировало как имя целевого объекта для конкретного контроллера XClarity Controller. Целевое имя может быть связано с одной или несколькими ролями на сервере Active Directory посредством оснастки RBS. Это достигается созданием управляемых целей, присвоением им конкретных имен и связыванием их с определенными ролями. Если в этом поле настроено имя, оно обеспечит возможность определения конкретных ролей для пользователей и контроллеров XClarity Controller (целевых объектов), которые являются участниками той же роли. Когда пользователь выполняет вход в XClarity Controller и проходит аутентификацию через Active Directory, роли, участником которых является пользователь, извлекаются из каталога. Разрешения, назначаемые пользователю, извлекаются из ролей, участником которых является целевой объект, соответствующий имени сервера, которое настраивается здесь, или целевой объект, соответствующий любому контроллеру XClarity Controller. Несколько контроллеров XClarity Controller могут совместно использовать одно и то же целевое имя. Оно может использоваться для группировки нескольких XClarity Controller и присвоения им одной роли (или ролей) с помощью одного управляемого целевого объекта. Напротив, каждому контроллеру XClarity Controller можно присвоить уникальное имя.
Группы для локальной авторизации
Имена групп настраиваются для того, чтобы предоставить группам пользователей спецификации для локальной авторизации. Каждому имени группы можно назначить разрешения (роли) — такие же, как в таблице выше. Сервер LDAP связывает пользователей с именем группы. Когда пользователь выполняет вход, ему присваиваются разрешения, связанные с группой, к которой относится пользователь. Для настройки дополнительных групп щелкните значок «+», для удаления — значок «x».