Перейти к основному содержимому

Настройка LDAP

Воспользуйтесь информацией из этого раздела для просмотра или изменения параметров LDAP XClarity Controller.

Поддержка LDAP включает:
  • Поддержку протокола LDAP версии 3 (RFC 2251);
  • Поддержку стандартных интерфейсов API клиентов LDAP (RFC 1823);
  • Поддержку стандартного синтаксиса фильтра поиска LDAP (RFC 2254);
  • Поддержку расширения протокола LDAP (версии 3) для протокола TLS (RFC 2830).
Реализация LDAP поддерживает следующие серверы LDAP:
  • Microsoft Active Directory ( Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Microsoft Active Directory Application Mode (Windows 2003 Server)
  • Microsoft Lightweight Directory Service (Windows 2008, Windows 2012)
  • Novell eDirectory Server, версия 8.7, 8.8 и 9.4
  • OpenLDAP Server 2.1, 2.2, 2.3 и 2.4

Перейдите на вкладку LDAP для просмотра или изменения параметров LDAP XClarity Controller.

XClarity Controller может удаленно аутентифицировать доступ пользователя с помощью центрального сервера LDAP вместо локальных учетных записей пользователя (или в дополнение к ним), которые сохранены в самом контроллере XClarity Controller. Можно назначить привилегии для каждой учетной записи пользователя, используя строку IBMRBSPermissions. Кроме того, можно использовать сервер LDAP, чтобы назначить пользователей группам и выполнять групповую аутентификацию, помимо стандартной аутентификации пользователей (по проверке пароля). Например, можно назначить XClarity Controller одной или нескольким группам; пользователь сможет пройти групповую аутентификацию, только если он относится хотя бы к одной группе, связанной с XClarity Controller.

Для настройки сервера LDAP выполните следующие действия:
  1. В разделе Сведения о сервере LDAP в списке элементов доступны следующие параметры:
    • Использовать сервер LDAP только для аутентификации (с локальной авторизацией): если выбран этот параметр, XClarity Controller будет использовать учетные данные только для аутентификации на сервере LDAP и извлечения информации о принадлежности к группе. Имена и привилегии групп можно настроить в разделе параметров Active Directory.
    • Использовать сервер LDAP для аутентификации и авторизации: если выбран этот параметр, XClarity Controller будет использовать учетные данные и для аутентификации на сервере LDAP, и для идентификации разрешений пользователя.
    Прим.
    Серверы LDAP, которые следует использовать для аутентификации, можно настроить вручную или обнаружить с помощью записей DNS SRV в динамическом режиме.
    • Использовать преднастроенные серверы: можно настроить до четырех серверов LDAP, введя IP-адрес или имя хоста каждого из них, если DNS включена. Номер порта для каждого сервера указывать не обязательно. Если это поле оставлено пустым, для незащищенных подключений LDAP используется значение по умолчанию — 389. Для защищенных подключений значение порта по умолчанию — 636. Необходимо настроить по меньшей мере один сервер LDAP.
    • Использовать DNS для поиска серверов: можно настроить динамический режим обнаружения серверов LDAP. Механизмы, описанные в статье RFC2782 (DNS RR для указания расположения служб), используются для определения расположения серверов LDAP. Этот процесс известен под названием DNS SRV. Необходимо указать полное доменное имя, которое будет использоваться в качестве доменного имени в запросе DNS SRV.
      • Лес AD: в среде с универсальными группами в перекрестных доменах необходимо настроить имя леса (набора доменов) для обнаружения обязательных глобальных каталогов (GC). В среде без кросс-доменного членства в группах это поле можно оставить пустым.
      • Домен AD: потребуется указать полное доменное имя, которое будет использоваться в качестве доменного имени в запросе DNS SRV.
    Если требуется включить защищенный LDAP, установите флажок Включить защищенный LDAP. Для поддержки защищенного LDAP необходимо наличие действительного сертификата SSL; кроме того, требуется импортировать по меньшей мере один доверенный сертификат клиента SSL в XClarity Controller. Сервер LDAP должен поддерживать протокол TLS версии 1.2 — только в этом случае он будет совместим с защищенным клиентом LDAP контроллера XClarity Controller. Дополнительные сведения о работе с сертификатами см. в разделе Обработка сертификатов SSL.
  2. Заполните информацию в разделе Дополнительные атрибуты. Ниже приводятся пояснения этих атрибутов.
    Метод привязки
    Прежде чем начинать поиск на сервере LDAP или отправлять на него запросы, необходимо отправить запрос привязки. Это поле управляет выполнением первоначальной привязки к серверу LDAP. Доступны следующие методы привязки:
    • Учетные данные не требуются

      Используйте этот метод для привязки без различающегося имени или пароля. Использовать этот метод не рекомендуется, поскольку большинство серверов настроены на запрет поисковых запросов по отдельным записям пользователей.

    • Использовать настроенные учетные данные

      Используйте этот метод для привязки с использованием настроенного различающегося имени и пароля клиента.

    • Использовать учетные данные входа

      Используйте этот метод для привязки с учетными данными, предоставленными в процессе входа. ИД пользователя может быть предоставлен с помощью различающегося имени, частичного различающегося имени, полного доменного имени или идентификатора пользователя, соответствующего атрибуту поиска UID, который настроен в XClarity Controller. Если предоставленные учетные данные напоминают частичное различающееся имя (например, cn=joe), оно будет присоединено спереди настроенного различающегося имени корня в попытке создать различающееся имя, соответствующее записи пользователя. Если попытка привязки завершится сбоем, будет сделана заключительная попытка создания привязки путем присоединения cn= to спереди к учетным данным входа, а полученной строки — к настроенному различающемуся имени корня.

    Если первоначальная привязка успешна, выполняется поиск записи на сервере LDAP, которая относится к пользователю, который выполняет вход в систему. При необходимости выполняется вторая попытка привязки, на этот раз с различающимся именем, которое извлекается из записи LDAP пользователя, и паролем, введенным в процессе входа. Если вторая попытка привязки завершается сбоем, пользователю отказано в доступе. Вторая привязка выполняется, только если используются методы привязки Учетные данные не требуются или Использовать настроенные учетные данные.
    Различающееся имя корня
    Это различающееся имя корневой записи в дереве каталога на сервере LDAP (например, dn=mycompany,dc=com). Это различающееся имя используется в качестве базового объекта для всех поисковых запросов.
    Атрибут поиска UID
    Если в качестве метода привязки задано значение Учетные данные не требуются или Использовать настроенные учетные данные, за первоначальной привязкой к серверу LDAP следует поисковый запрос, извлекающий конкретную информацию о пользователе, включая различающееся имя пользователя, разрешения на вход и принадлежность к группе. В поисковом запросе необходимо указать имя атрибута, представляющего идентификаторы пользователей на этом сервере. Имя атрибута настраивается в этом поле. На серверах Active Directory имя атрибута обычно имеет следующий вид: sAMAccountName. На серверах Novell eDirectory и OpenLDAP имя атрибута имеет вид uid. Если поле оставлено пустым, значение по умолчанию — uid.
    Групповой фильтр
    Поле Групповой фильтр используется для групповой аутентификации. Попытка групповой аутентификации предпринимается после успешной проверки учетных данных пользователя. Если групповая аутентификация завершается сбоем, пользователю отказывают в доступе. Если настроен групповой фильтр, он служит для указания принадлежности XClarity Controller к тем или иным группам. Это означает, что для успешного выполнения операции пользователь должен относиться по меньшей мере к одной группе, настроенной для групповой аутентификации. Если поле Групповой фильтр оставлено пустым, групповая аутентификация автоматически завершается успехом. Если групповой фильтр настроен, предпринимается попытка сопоставить по меньшей мере одну группу в списке группе, к которой относится пользователь. Если соответствие не найдено, пользователь не проходит аутентификацию, в доступе ему отказано. Если найдено хотя бы одно соответствие, групповая аутентификация завершается успешно.
    При сравнении учитывается регистр. Длина фильтра ограничена 511 символами, фильтр может включать одно или несколько имен группы. Символ двоеточия (:) следует использовать для разделения нескольких имен групп. Пробелы в начале и в конце строки игнорируются, однако все остальные пробелы считаются частью имени группы.
    Прим.
    Подстановочный символ (*) более не является подстановочным. Концепция подстановочных символов более не используется в целях устранения уязвимостей безопасности. Имя группы можно задать в качестве полного различающегося имени или с помощью части cn. Например, группу с различающимся именем cn=adminGroup, dc=mycompany, dc=com можно задать с использованием фактического различающегося имени или adminGroup.
    Вложенное членство в группах поддерживается только в средах Active Directory. Например, если пользователь является участником групп GroupA и GroupB, а GroupA также является участником группы GroupC, считается, что пользователь также является участником группы GroupC. Поиск по вложенным группам прекращается после обработки 128 групп. Прежде чем переходить на более низкий уровень, выполняется поиск по группам одного уровня. Зацикливания не обнаруживаются.
    Атрибут группового поиска
    В средах Active Directory или Novell eDirectory значение в поле Атрибут группового поиска указывает на имя атрибута, используемое для идентификации групп, к которым относится пользователь. В среде Active Directory имя атрибута — memberOf. В среде eDirectory имя атрибута — groupMembership. В среде сервера OpenLDAP пользователи обычно назначаются группам, значение objectClass в которых равно PosixGroup. В этом контексте это поле задает имя атрибута, используемое для идентификации участников определенной группы PosixGroup. Это имя атрибута — memberUid. Если это поле оставлено пустым, имя атрибута в фильтре по умолчанию равно memberOf.
    Атрибут разрешений на вход
    Если пользователь успешно проходит аутентификацию на сервере LDAP, необходимо извлечь разрешения на вход для этого пользователя. Чтобы сделать это, фильтр поиска, отправляемый на сервер, должен содержать указание на имя атрибута, связанное с разрешениями на вход. В поле Атрибут разрешений на вход задается имя атрибута. Если это поле оставлено пустым, пользователю назначаются разрешения по умолчанию (только чтение), поскольку предполагается, что пользователь прошел индивидуальную и групповую аутентификацию.
    Значение атрибута, возвращаемое сервером LDAP, выполняет поиск строки ключевых слов IBMRBSPermissions=. За строкой ключевых слов должна сразу следовать битовая строка, которая вводится в виде двенадцати нулей или единиц подряд. Каждый бит представляет набор функций Биты нумеруются в соответствии с расположением. Крайний левый бит — это битовая позиция 0, а крайний правый бит — это битовая позиция 11. Значение 1 битовой позиции включает функцию, связанную с этой битовой позицией. Значение 0 в битовой позиции отключает функцию, связанную с соответствующей битовой позицией.
    Строка IBMRBSPermissions=010000000000 является наглядным примером утверждений выше. Строка IBMRBSPermissions= keyword используется, чтобы разрешить размещение в любом месте этого поля. Это позволяет администратору LDAP повторно использовать существующий атрибут и, следовательно, избежать расширения схемы LDAP. Кроме того, это позволяет использовать атрибут в первоначальных целях. Использовать строку ключевых слов можно в любом месте этого поля. Используемый атрибут позволяет составить строку свободного формата.а В случае успешного извлечения атрибута возвращаемое сервером LDAP значение интерпретируется в соответствии с информацией в следующей таблице.
    Табл. 1. Биты разрешений.

    Таблица из трех столбцов, в которой объясняются позиции битов.

    Позиция битаФункцияОбъяснение
    0Всегда отказыватьПользователь никогда не сможет пройти аутентификацию. Эту функцию можно использовать, чтобы заблокировать конкретного пользователя или пользователей, связанных с определенной группой.
    1Доступ уровня «Администратор»Пользователю присваиваются привилегии администратора. У пользователя появляется доступ на чтение и запись в отношении каждой функции. Если настроить этот бит, настраивать другие биты по отдельности не потребуется.
    2Доступ «Только чтение»Пользователь получает доступ «Только чтение» и не может выполнять никакие процедуры обслуживания (например, перезапускать систему, выполнять удаленные действия или обновления микропрограмм) или вносить изменения (то есть выполнять функции сохранения, очистки и восстановления). Позиция бита 2 и все остальные биты являются взаимно исключающими, позиция бита 2 имеет самый низкий приоритет. Если заданы какие-либо другие биты, этот бит будет игнорироваться.
    3Сетевые параметры и безопасностьПользователь может менять параметры сети, сетевые протоколы, сетевой интерфейс, назначение портов и конфигурации последовательных портов.
    4Управление учетными записями пользователейПользователь может добавлять, изменять и удалять пользователей, а также менять параметры глобального входа в окне «Профили входа».
    5Доступ к удаленной консолиПользователь может осуществлять доступ к удаленной консоли сервера.
    6Доступ к удаленной консоли и удаленному дискуПользователь может осуществлять доступ к удаленной консоли сервера и функциям удаленного диска для удаленного сервера.
    7Удаленный доступ к питанию/перезапуску сервераПользователь может осуществлять доступ к функциям включения и перезапуска удаленного сервера.
    8Базовая конфигурация адаптераПользователь может менять параметры конфигурации на страницах «Системные параметры» и «Оповещения».
    9Возможность очищать журналы событийПользователь может очищать журналы событий.
    Прим.
    Все пользователи могут просматривать журналы событий, однако для очистки журналов требуется разрешение этого уровня.
    10Расширенная конфигурация адаптераУ пользователя нет ограничений по настройке XClarity Controller. Кроме того, пользователь имеет административные права доступа к XClarity Controller. Пользователь может выполнять следующие расширенные функции: обновление микропрограмм, загрузка сети PXE, восстановление заводских значений XClarity Controller, изменение и восстановление конфигурации адаптера из файла конфигурации, а также перезапуск и сброс XClarity Controller.
    11Зарезервирован

    Эта позиция бита зарезервирована для будущего использования. Если ни один из битов не настроен, пользователь обладает правами только на чтение. Приоритет отдается разрешениям на вход, которые извлекаются непосредственно из записи пользователя.

    Если атрибут разрешений на вход отсутствует в записи пользователя, предпринимается попытка извлечь разрешения из групп, к которым относится пользователь. Это действие выполняется на этапе групповой аутентификации. Пользователю назначаются все биты во всех группах с включающим «ИЛИ».

    Бит доступа «Только чтение» (позиция 2) задается, только если для всех остальных битов задан нуль. Бит «Всегда отказывать» (позиция 0) задается для любой из групп, пользователю отказано в доступе. Бит «Всегда отказывать» (позиция 0) имеет приоритет над всеми остальными битами.

    Если ни один из битов не настроен, для пользователя будет задано значение по умолчанию Только чтение.
    Обратите внимание, что приоритет отдается разрешениям на вход, которые извлекаются непосредственно из записи пользователя. Если атрибут разрешений на вход отсутствует в записи пользователя, предпринимается попытка извлечь разрешения из групп, к которым относится пользователь, и которые соответствуют групповому фильтру (если он настроен). В этом случае пользователю назначаются все биты во всех группах с включающим «ИЛИ». Аналогично, бит доступа Только чтение будет задан, если все остальные биты равны нулю. Кроме того, обратите внимание, что если бит Всегда отказывать задается для любой из групп, пользователю будет отказано в доступе. Бит Всегда отказывать имеет приоритет над всеми остальными битами.
    Прим.
    Если предоставить пользователю возможность менять базовые, сетевые параметры и параметры конфигурации адаптера, связанные с безопасностью, целесообразно предоставить пользователю и возможность перезапускать контроллер XClarity Controller (позиция бита 10). В противном случае пользователь сможет изменить параметры (например, IP-адрес адаптера), но не сможет сделать так, чтобы они вступили в силу.
  3. Выберите, нужно ли Включить расширенную безопасность на основе ролей для пользователей Active Directory в разделе Параметры Active Directory (если используется режим Использовать сервер LDAP для аутентификации и авторизации) или настроить параметр Группы для локальной авторизации (если используется режим Использовать сервер LDAP только для аутентификации (с локальной авторизацией).

    • Включить расширенную безопасность на основе ролей для пользователей Active Directory

      Если включена эта настройка, необходимо настроить имя сервера в произвольном формате так, чтобы оно функционировало как имя целевого объекта для конкретного контроллера XClarity Controller. Целевое имя может быть связано с одной или несколькими ролями на сервере Active Directory посредством оснастки RBS. Это достигается созданием управляемых целей, присвоением им конкретных имен и связыванием их с определенными ролями. Если в этом поле настроено имя, оно обеспечит возможность определения конкретных ролей для пользователей и контроллеров XClarity Controller (целевых объектов), которые являются участниками той же роли. Когда пользователь выполняет вход в XClarity Controller и проходит аутентификацию через Active Directory, роли, участником которых является пользователь, извлекаются из каталога. Разрешения, назначаемые пользователю, извлекаются из ролей, участником которых является целевой объект, соответствующий имени сервера, которое настраивается здесь, или целевой объект, соответствующий любому контроллеру XClarity Controller. Несколько контроллеров XClarity Controller могут совместно использовать одно и то же целевое имя. Оно может использоваться для группировки нескольких XClarity Controller и присвоения им одной роли (или ролей) с помощью одного управляемого целевого объекта. Напротив, каждому контроллеру XClarity Controller можно присвоить уникальное имя.

    • Группы для локальной авторизации

      Имена групп настраиваются для того, чтобы предоставить группам пользователей спецификации для локальной авторизации. Каждому имени группы можно назначить разрешения (роли) — такие же, как в таблице выше. Сервер LDAP связывает пользователей с именем группы. Когда пользователь выполняет вход, ему присваиваются разрешения, связанные с группой, к которой относится пользователь. Для настройки дополнительных групп щелкните значок «+», для удаления — значок «x».