การกำหนดค่า LDAP

ใช้ข้อมูลในหัวข้อนี้เพื่อดูหรือเปลี่ยนการตั้งค่า LDAP ของ XClarity Controller

การสนับสนุน LDAP ประกอบด้วย:

การสนับสนุนสำหรับโปรโตคอล LDAP เวอร์ชัน 3 (RFC-2251)
การสนับสนุนสำหรับ API มาตรฐานของไคลเอ็นต์ LDAP (RFC-1823)
การสนับสนุนสำหรับรูปแบบคำสั่งตัวกรองการค้นหา LDAP มาตรฐาน (RFC-2254)
การสนับสนุนสำหรับ Lightweight Directory Access Protocol (v3) Extension สำหรับ Transport Layer Security (RFC-2830)

การใช้งาน LDAP รองรับเซิร์ฟเวอร์ LDAP ต่อไปนี้:

Microsoft Active Directory ( Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
Microsoft Active Directory Application Mode (Windows 2003 Server)
Microsoft Lightweight Directory Service (Windows 2008, Windows 2012)
เซิร์ฟเวอร์ Novell eDirectory เวอร์ชัน 8.7, 8.8 และ 9.4
เซิร์ฟเวอร์ OpenLDAP 2.1, 2.2, 2.3 และ 2.4

คลิกแท็บ LDAP เพื่อดูหรือแก้ไขการตั้งค่า LDAP ของ XClarity Controller

XClarity Controller สามารถตรวจสอบการเข้าถึงของผู้ใช้จากระยะไกลผ่านเซิร์ฟเวอร์ LDAP แทนหรือเพิ่มเติมจากบัญชีผู้ใช้ภายในที่จัดเก็บไว้ในตัวของ XClarity Controller เอง สามารถกำหนดสิทธิพิเศษให้กับบัญชีผู้ใช้แต่ละบัญชีโดยใช้สตริง IBMRBSPermissions คุณยังสามารถใช้เซิร์ฟเวอร์ LDAP ในการกำหนดผู้ใช้ให้กับกลุ่มและตรวจสอบความถูกต้องเป็นกลุ่ม นอกเหนือจากการตรวจสอบความถูกต้องของผู้ใช้ตามปกติ (การตรวจสอบรหัสผ่าน) ตัวอย่างเช่น คุณสามารถเชื่อมโยง XClarity Controller กับกลุ่มอย่างน้อยหนึ่งกลุ่ม ผู้ใช้จะผ่านการตรวจสอบความถูกต้องเป็นกลุ่มก็ต่อเมื่อผู้ใช้อยู่ในกลุ่มที่เชื่อมโยงกับ XClarity Controller อย่างน้อยหนึ่งกลุ่ม

ในการกำหนดค่าเซิร์ฟเวอร์ LDAP ให้ดำเนินการขั้นตอนต่อไปนี้:

ภายใต้ ข้อมูลเซิร์ฟเวอร์ LDAP จะมีตัวเลือกจากรายการดังต่อไปนี้:
- ใช้เซิร์ฟเวอร์ LDAP สำหรับการตรวจสอบความถูกต้องเท่านั้น (พร้อมการอนุญาตภายใน): การเลือกนี้จะกำหนดให้ XClarity Controller ใช้ข้อมูลประจำตัวเฉพาะในการตรวจสอบเซิร์ฟเวอร์ LDAP และรับข้อมูลความเป็นสมาชิกของกลุ่ม คุณสามารถกำหนดชื่อและสิทธิพิเศษของกลุ่มในส่วนการตั้งค่า Active Directory
- ใช้เซิร์ฟเวอร์ LDAP สำหรับการตรวจสอบความถูกต้องและการอนุญาต: การเลือกนี้จะกำหนดให้ XClarity Controller ใช้ข้อมูลประจำตัวทั้งในการตรวจสอบเซิร์ฟเวอร์ LDAP และระบุสิทธิ์ของผู้ใช้
หมายเหตุ
คุณสามารถกำหนดค่าเซิร์ฟเวอร์ LDAP ที่จะใช้สำหรับการตรวจสอบความถูกต้องได้ด้วยตนเอง หรือค้นหาผ่านระเบียน DNS SRV แบบไดนามิก
- ใช้เซิร์ฟเวอร์ที่กำหนดค่าไว้ล่วงหน้า: คุณสามารถกำหนดค่าเซิร์ฟเวอร์ LDAP สูงสุดสี่เซิร์ฟเวอร์โดยป้อนที่อยู่ IP หรือชื่อโฮสต์ของแต่ละเซิร์ฟเวอร์ หากเปิดใช้งาน DNS หมายเลขพอร์ตสำหรับแต่ละเซิร์ฟเวอร์จะระบุหรือไม่ก็ได้ หากฟิลด์นี้เว้นว่างไว้ ระบบจะใช้ค่าเริ่มต้นที่ 389 สำหรับการเชื่อมต่อ LDAP ที่ไม่มีการรักษาความปลอดภัย สำหรับการเชื่อมต่อที่มีการรักษาความปลอดภัย ค่าพอร์ตเริ่มต้นคือ 636 คุณต้องกำหนดค่าเซิร์ฟเวอร์ LDAP อย่างน้อยหนึ่งเซิร์ฟเวอร์
- ใช้ DNS เพื่อค้นหาเซิร์ฟเวอร์: คุณสามารถเลือกค้นหาเซิร์ฟเวอร์ LDAP แบบไดนามิก กลไกที่อธิบายใน RFC2782 (DNS RR สำหรับระบุตำแหน่งที่ตั้งของบริการ) จะใช้ในการค้นหาเซิร์ฟเวอร์ LDAP ซึ่งเรียกว่า DNS SRV คุณต้องระบุชื่อโดเมนที่มีคุณสมบัติครบถ้วน (FQDN) ที่จะใช้เป็นชื่อโดเมนในคำขอ DNS SRV
  - ฟอเรสต์ AD: ในสภาพแวดล้อมที่มีกลุ่มสากลข้ามโดเมน ต้องกำหนดค่าชื่อฟอเรสต์ (ชุดโดเมน) เพื่อค้นหา Global Catalogs (GC) ที่ต้องการ ในสภาพแวดล้อมที่ไม่มีการสมัครสมาชิกกลุ่มข้ามโดเมน ฟิลด์นี้สามารถเว้นว่างไว้ได้
  - โดเมน AD: คุณต้องระบุชื่อโดเมนที่มีคุณสมบัติครบถ้วน (FQDN) ที่จะใช้เป็นชื่อโดเมนในคำขอ DNS SRV
หากคุณต้องการเปิดใช้งาน LDAP ที่มีความปลอดภัย ให้คลิกกล่องตัวเลือก เปิดใช้งาน LDAP ที่มีความปลอดภัย เพื่อรองรับ LDAP ที่มีความปลอดภัย ต้องมีการใช้ใบรับรอง SSL ที่ถูกต้องและต้องนำเข้าใบรับรองที่เชื่อถือได้ของไคลเอ็นต์ SSL ใน XClarity Controller เซิร์ฟเวอร์ LDAP ของคุณต้องรองรับ Transport Layer Security (TLS) เวอร์ชัน 1.2 เพื่อให้เข้ากันได้กับไคลเอ็นต์ LDAP ที่มีความปลอดภัยของ XClarity Controller ดูข้อมูลเพิ่มเติมเกี่ยวกับการควบคุมดูแลใบรับรองได้ที่ การควบคุมดูแลใบรับรอง SSL

กรอกข้อมูลภายใต้ พารามิเตอร์เพิ่มเติม ด้านล่างนี้คือคำอธิบายของพารามิเตอร์

วิธีการ Binding

ก่อนที่คุณจะสามารถค้นหาหรือสืบค้นเซิร์ฟเวอร์ LDAP คุณต้องส่งคำขอสำหรับการผูก ฟิลด์นี้จะควบคุมวิธีการดำเนินการผูกเริ่มต้นกับเซิร์ฟเวอร์ LDAP วิธีการผูกมีดังต่อไปนี้:

ไม่จำเป็นต้องใช้ข้อมูลประจำตัว
ใช้วิธีนี้ในการผูกโดยไม่ต้องมีชื่อที่ใช้ระบุ (DN) หรือรหัสผ่าน ไม่แนะนำให้ใช้วิธีนี้เนื่องจากเซิร์ฟเวอร์ส่วนใหญ่ได้รับการกำหนดค่าไม่ให้อนุญาตคำขอค้นหาบนระเบียนผู้ใช้ที่เฉพาะเจาะจง
ใช้ข้อมูลประจำตัวที่กำหนดค่า
ใช้วิธีนี้ในการผูกกับ DN ของไคลเอ็นต์หรือรหัสผ่านที่กำหนดค่า
ใช้ข้อมูลประจำตัวสำหรับการเข้าสู่ระบบ
ใช้วิธีนี้ในการผูกกับข้อมูลประจำตัวที่ให้มาระหว่างขั้นตอนการเข้าสู่ระบบ สามารถระบุ ID ผู้ใช้ผ่าน DN, DN บางส่วน, ชื่อโดเมนที่มีคุณสมบัติครบถ้วน หรือผ่าน ID ผู้ใช้ที่ตรงกับแอตทริบิวต์การค้นหา UID ที่ได้รับการกำหนดค่าบน XClarity Controller หากข้อมูลประจำตัวที่ปรากฏคล้ายคลึงกับ DN บางส่วน (เช่น cn=joe) DN บางส่วนนี้จะขึ้นต้นด้วย DN รูทที่กำหนดค่าในความพยายามที่จะสร้าง DN ที่ตรงกับระเบียนของผู้ใช้ หากความพยายามในการผูกล้มเหลว ระบบจะดำเนินความพยายามครั้งสุดท้ายเพื่อทำการผูกโดยเติม cn= นำหน้าข้อมูลประจำตัวสำหรับการเข้าสู่ระบบ และเติมสตริงผลลัพธ์นำหน้า DN รูทที่กำหนดค่า

หากการผูกเริ่มต้นเสร็จสิ้น ระบบจะดำเนินการค้นหาเพื่อหารายการบนเซิร์ฟเวอร์ LDAP ที่เป็นของผู้ใช้ที่เข้าสู่ระบบ หากจำเป็น ระบบจะดำเนินความพยายามในการผูกครั้งที่สอง ครั้งนี้จะผูกกับ DN ที่เรียกใช้จากระเบียน LDAP ของผู้ใช้ และรหัสผ่านที่ป้อนระหว่างขั้นตอนการเข้าสู่ระบบ หากความพยายามในการผูกครั้งที่สองล้มเหลว ผู้ใช้จะถูกปฏิเสธการเข้าถึง ระบบจะดำเนินการผูกครั้งที่สองเฉพาะเมื่อใช้วิธีการผูกแบบ ไม่จำเป็นต้องใช้ข้อมูลประจำตัว หรือ ใช้ข้อมูลประจำตัวที่กำหนดค่า เท่านั้น

ชื่อที่ใช้ระบุรูท (DN): นี่คือชื่อที่ใช้ระบุ (DN) ของรายการรูทของโครงสร้างไดเรกทอรีบนเซิร์ฟเวอร์ LDAP (ตัวอย่างเช่น dn=mycompany,dc=com) DN นี้จะใช้เป็นออบเจกต์ฐานสำหรับคำขอค้นหาทั้งหมด

แอตทริบิวต์การค้นหา UID: เมื่อตั้งค่าวิธีการผูกเป็น ไม่จำเป็นต้องใช้ข้อมูลประจำตัว หรือ ใช้ข้อมูลประจำตัวที่กำหนดค่า การผูกกับเซิร์ฟเวอร์ LDAP เริ่มต้นจะตามด้วยคำขอการค้นหาที่เรียกใช้ข้อมูลเฉพาะเกี่ยวกับผู้ใช้ รวมถึง DN ของผู้ใช้ สิทธิ์การเข้าสู่ระบบ และสมาชิกกลุ่ม คำขอค้นหานี้ต้องระบุชื่อแอตทริบิวต์ที่แสดงแทน ID ผู้ใช้บนเซิร์ฟเวอร์ ชื่อแอตทริบิวต์นี้ได้รับการกำหนดค่าในฟิลด์นี้ บนเซิร์ฟเวอร์ Active Directory โดยปกติแล้ว ชื่อแอตทริบิวต์คือ sAMAccountName บนเซิร์ฟเวอร์ Novell eDirectory และ OpenLDAP ชื่อแอตทริบิวต์คือ uid หากฟิลด์นี้เว้นว่างไว้ ค่าเริ่มต้นคือ uid

ตัวกรองกลุ่ม: ฟิลด์ ตัวกรองกลุ่ม จะใช้สำหรับการตรวจสอบความถูกต้องเป็นกลุ่ม ระบบจะพยายามทำการตรวจสอบความถูกต้องเป็นกลุ่มหลังจากมีการตรวจสอบข้อมูลประจำตัวของผู้ใช้เสร็จสิ้นแล้ว หากการตรวจสอบความถูกต้องเป็นกลุ่มล้มเหลว ความพยายามของผู้ใช้ในการเข้าสู่ระบบจะถูกปฏิเสธ เมื่อมีการกำหนดค่าตัวกรองกลุ่ม ตัวกรองจะใช้ระบุว่า XClarity Controller อยู่ในกลุ่มใด นั่นหมายความว่าการดำเนินการนี้จะสำเร็จได้ก็ต่อเมื่อผู้ใช้ต้องอยู่ในกลุ่มที่ได้รับการกำหนดค่าสำหรับการตรวจสอบความถูกต้องเป็นกลุ่มอย่างน้อยหนึ่งกลุ่ม หากฟิลด์ ตัวกรองกลุ่ม เว้นว่างไว้ การตรวจสอบความถูกต้องเป็นกลุ่มจะสำเร็จโดยอัตโนมัติ หากกำหนดค่าตัวกรองกลุ่ม ระบบจะพยายามจับคู่กลุ่มในรายการอย่างน้อยหนึ่งกลุ่มกับกลุ่มที่ผู้ใช้อยู่ หากไม่มีกลุ่มที่ตรงกัน ผู้ใช้จะไม่สามารถตรวจสอบความถูกต้องและการเข้าถึงจะถูกปฏิเสธ หากมีกลุ่มที่ตรงกันอย่างน้อยหนึ่งกลุ่ม การตรวจสอบความถูกต้องเป็นกลุ่มจะเสร็จสมบูรณ์; การเปรียบเทียบจะพิจารณาตัวพิมพ์เล็ก-ใหญ่ ตัวกรองจะถูกจำกัดไว้ที่ 511 อักขระ และสามารถประกอบด้วยชื่อกลุ่มอย่างน้อยหนึ่งกลุ่ม ต้องใช้อักขระเครื่องหมายโคลอน (:) คั่นชื่อกลุ่มหลายรายการ ช่องว่างด้านหน้าและด้านหลังจะถูกละเว้น แต่ช่องว่างในส่วนอื่นๆ จะถือว่าเป็นส่วนหนึ่งของชื่อกลุ่ม
หมายเหตุ
อักขระตัวแทน (*) จะไม่ถือว่าเป็นอักขระตัวแทนอีกต่อไป แนวคิดของอักขระตัวแทนถูกยกเลิกแล้วเพื่อป้องกันไม่ให้เกิดความเสี่ยงด้านการรักษาความปลอดภัย สามารถระบุชื่อกลุ่มเป็น DN แบบเต็ม หรือโดยใช้เฉพาะส่วน cn เท่านั้น ตัวอย่างเช่น กลุ่มที่มี DN เป็น cn=adminGroup, dc=mycompany, dc=com สามารถระบุได้โดยใช้ DN ตามจริงหรือพร้อมกับ adminGroup; ความเป็นสมาชิกกลุ่มที่ซ้อนกันได้รับการรองรับเฉพาะในสภาพแวดล้อม Active Directory เท่านั้น ตัวอย่างเช่น หากผู้ใช้เป็นสมาชิกของ GroupA และ GroupB แล้ว GroupA ยังเป็นสมาชิกของ GroupC ด้วย จะถือว่าผู้ใช้เป็นสมาชิกของ GroupC เช่นกัน การค้นหาที่ซ้อนกันจะหยุด หากค้นหากลุ่มครบ 128 กลุ่ม กลุ่มในหนึ่งระดับจะถูกค้นหาก่อนกลุ่มในระดับที่ต่ำกว่า การวนซ้ำจะไม่ถูกตรวจพบ

แอตทริบิวต์การค้นหากลุ่ม: ในสภาพแวดล้อม Active Directory หรือ Novell eDirectory ฟิลด์ แอตทริบิวต์การค้นหากลุ่ม จะระบุชื่อแอตทริบิวต์ที่ใช้ในการระบุกลุ่มที่ผู้ใช้อยู่ ในสภาพแวดล้อม Active Directory ชื่อแอตทริบิวต์คือ memberOf ในสภาพแวดล้อม eDirectory ชื่อแอตทริบิวต์คือ groupMembership ในสภาพแวดล้อมของเซิร์ฟเวอร์ OpenLDAP โดยปกติแล้ว ผู้ใช้จะถูกกำหนดไปยังกลุ่มที่มี objectClass เท่ากับ PosixGroup ในบริบทดังกล่าว ฟิลด์นี้จะระบุชื่อแอตทริบิวต์ที่ใช้ในการระบุสมาชิกของ PosixGroup โดยเฉพาะ ชื่อแอตทริบิวต์นี้คือ memberUid หากฟิลด์นี้เว้นว่างไว้ ชื่อแอตทริบิวต์ในตัวกรองจะกลับไปเป็น memberOf ตามค่าเริ่มต้น

แอตทริบิวต์สิทธิ์การเข้าใช้งาน: เมื่อผู้ใช้ได้รับการตรวจสอบความถูกต้องผ่านเซิร์ฟเวอร์ LDAP เสร็จสมบูรณ์แล้ว ต้องเรียกใช้สิทธิ์การเข้าสู่ระบบสำหรับผู้ใช้ ในการเรียกใช้สิทธิ์การเข้าสู่ระบบ ตัวกรองการค้นหาที่ส่งไปยังเซิร์ฟเวอร์ต้องระบุชื่อแอตทริบิวต์ที่เกี่ยวข้องกับสิทธิ์การเข้าสู่ระบบ ฟิลด์ แอตทริบิวต์สิทธิ์การเข้าใช้งาน จะระบุชื่อแอตทริบิวต์ หากฟิลด์นี้เว้นว่างไว้ ผู้ใช้จะถูกกำหนดสิทธิ์แบบอ่านอย่างเดียวตามค่าเริ่มต้น โดยถือว่าผู้ใช้ผ่านการตรวจสอบความถูกต้องของผู้ใช้และกลุ่ม; ค่าแอตทริบิวต์ที่ส่งกลับโดยเซิร์ฟเวอร์ LDAP จะค้นหาสตริงคำสำคัญ IBMRBSPermissions= สตริงคำสำคัญนี้ต้องตามด้วยสตริงบิตโดยป้อนเป็นเลข 0 หรือ 1 ติดต่อกัน 12 ตัว แต่ละบิตจะแสดงแทนชุดของฟังก์ชัน บิตจะกำกับด้วยตัวเลขตามตำแหน่งของบิต บิตด้านซ้ายสุดคือตำแหน่งบิต 0 และบิตด้านขวาสุดคือตำแหน่งบิต 11 ค่าของ 1 ที่ตำแหน่งบิตจะเปิดใช้งานฟังก์ชันที่เกี่ยวข้องกับตำแหน่งบิตนั้น ค่าของ 0 ที่ตำแหน่งบิตจะปิดใช้งานฟังก์ชันที่เกี่ยวข้องกับตำแหน่งบิตนั้น; สตริง IBMRBSPermissions=010000000000 คือตัวอย่างที่ถูกต้อง คำสำคัญ IBMRBSPermissions= ใช้เพื่ออนุญาตให้วางคำสำคัญนี้ไว้ที่ตำแหน่งใดก็ได้ในฟิลด์นี้ ซึ่งทำให้ผู้ดูแลระบบ LDAP สามารถใช้แอตทริบิวต์ที่มีอยู่ซ้ำ ซึ่งเป็นการป้องกันการต่อขยายสคีม่า LDAP และยังทำให้สามารถใช้แอตทริบิวต์เพื่อวัตถุประสงค์ดั้งเดิมของแอตทริบิวต์ คุณสามารถเพิ่มสตริงคำสำคัญที่ตำแหน่งใดก็ได้ในฟิลด์นี้ แอตทริบิวต์ที่คุณใช้สามารถอนุญาตให้ใช้สตริงที่มีรูปแบบอิสระ เมื่อเรียกใช้แอตทริบิวต์เสร็จสมบูรณ์แล้ว ระบบจะตีความค่าที่ส่งกลับโดยเซิร์ฟเวอร์ LDAP ตามข้อมูลในตารางต่อไปนี้

ตารางที่ 1. บิตที่อนุญาต.
ตารางสามคอลัมน์ที่มีคำอธิบายเกี่ยวกับตำแหน่งบิต
ตำแหน่งบิต	ฟังก์ชัน	คำอธิบาย
0	ปฏิเสธเสมอ	ผู้ใช้จะไม่ผ่านการตรวจสอบความถูกต้องเสมอ สามารถใช้ฟังก์ชันนี้เพื่อบล็อกผู้ใช้เฉพาะราย หรือผู้ใช้ที่เกี่ยวข้องกับกลุ่มๆ หนึ่งโดยเฉพาะ
1	สิทธิ์การเข้าถึงระดับผู้ควบคุม	ผู้ใช้ได้รับสิทธิพิเศษของผู้ดูแลระบบ ผู้ใช้มีสิทธิ์เข้าถึงทุกฟังก์ชันแบบอ่าน/เขียน หากคุณตั้งค่าบิตนี้ คุณไม่ต้องตั้งค่าบิตอื่นๆ แต่ละบิต
2	สิทธิ์การเข้าถึงแบบอ่านอย่างเดียว	ผู้ใช้มีสิทธิ์การเข้าถึงแบบอ่านอย่างเดียว และไม่สามารถดำเนินการกระบวนการบำรุงรักษา (ตัวอย่างเช่น รีสตาร์ท การดำเนินการระยะไกล หรือการอัปเดตเฟิร์มแวร์) หรือทำการแก้ไข (ตัวอย่างเช่น บันทึก ล้างข้อมูล หรือคืนค่าฟังก์ชัน) ตำแหน่งบิตที่ 2 และบิตอื่นๆ ทั้งหมดจะไม่เกิดขึ้นพร้อมกัน โดยที่ตำแหน่งบิตที่ 2 มีลำดับความสำคัญต่ำสุด เมื่อตั้งค่าบิตอื่นๆ ทั้งหมด บิตนี้จะถูกละทิ้ง
3	การเชื่อมโยงเครือข่ายและการรักษาความปลอดภัย	ผู้ใช้สามารถแก้ไขการรักษาความปลอดภัย โปรโตคอลเครือข่าย อินเทอร์เฟซเครือข่าย การกำหนดพอร์ต และการกำหนดค่าพอร์ตอนุกรม
4	การจัดการบัญชีผู้ใช้	ผู้ใช้สามารถเพิ่ม แก้ไข หรือลบผู้ใช้ รวมทั้งเปลี่ยนการตั้งค่าการเข้าสู่ระบบแบบส่วนกลางในหน้าต่างโปรไฟล์การเข้าสู่ระบบ
5	การเข้าถึงคอนโซลระยะไกล	ผู้ใช้สามารถเข้าถึงคอนโซลเซิร์ฟเวอร์ระยะไกลได้
6	การเข้าถึงคอนโซลระยะไกลและดิสก์ระยะไกล	ผู้ใช้สามารถเข้าถึงคอนโซลเซิร์ฟเวอร์ระยะไกลและฟังก์ชันของดิสก์ระยะไกลสำหรับเซิร์ฟเวอร์ระยะไกล
7	การเข้าถึงการเปิด/รีสตาร์ทเซิร์ฟเวอร์จากระยะไกล	ผู้ใช้สามารถเข้าถึงฟังก์ชันการเปิดเครื่องและรีสตาร์ทเซิร์ฟเวอร์จากระยะไกล
8	การกำหนดค่าอะแดปเตอร์พื้นฐาน	ผู้ใช้สามารถแก้ไขพารามิเตอร์การกำหนดค่าในหน้าต่าง System Settings และ Alerts
9	ความสามารถในการล้างข้อมูลบันทึกเหตุการณ์	ผู้ใช้สามารถล้างข้อมูลบันทึกเหตุการณ์ หมายเหตุ ผู้ใช้ทุกรายสามารถดูบันทึกเหตุการณ์ได้ แต่จะต้องมีสิทธิ์ในระดับนี้จึงจะล้างข้อมูลบันทึกเหตุการณ์ได้
10	การกำหนดค่าอะแดปเตอร์ขั้นสูง	ผู้ใช้ไม่มีข้อจำกัดเมื่อกำหนดค่า XClarity Controller นอกจากนี้ ผู้ใช้จะมีสิทธิ์การเข้าถึงด้านการดูแลเพื่อใช้งาน XClarity Controller ผู้ใช้สามารถดำเนินการฟังก์ชันขั้นสูงดังไปนี้: อัปเกรดเฟิร์มแวร์, บูตเครือข่าย PXE, คืนค่า XClarity Controller เป็นค่าเริ่มต้นจากโรงงาน, แก้ไขและคืนค่าการกำหนดค่าอะแดปเตอร์จากไฟล์การกำหนดค่า และรีสตาร์ทและรีเซ็ต XClarity Controller
11	สงวนไว้	ตำแหน่งบิตนี้สงวนไว้สำหรับการใช้งานในอนาคต หากไม่มีการตั้งค่าบิต ผู้ใช้จะมีสิทธิ์แบบอ่านอย่างเดียว ระบบจะให้ความสำคัญกับสิทธิ์การเข้าสู่ระบบที่เรียกใช้จากระเบียนของผู้ใช้โดยตรง หากแอตทริบิวต์ของสิทธิ์การเข้าสู่ระบบไม่อยู่ในระเบียนของผู้ใช้ ระบบจะพยายามเรียกใช้สิทธิ์จากกลุ่มที่ผู้ใช้อยู่ ซึ่งดำเนินการโดยเป็นส่วนหนึ่งของระยะการตรวจสอบความถูกต้องเป็นกลุ่ม ระบบจะกำหนด inclusive OR ของบิตทั้งหมดสำหรับกลุ่มทุกกลุ่มให้ผู้ใช้ บิต สิทธิ์การเข้าถึงแบบอ่านอย่างเดียว (ตำแหน่ง 2) ได้รับการตั้งค่าเฉพาะเมื่อมีการตั้งค่าบิตอื่นๆ ทั้งหมดเป็น 0 เท่านั้น หากมีการตั้งค่าบิต ปฏิเสธเสมอ (ตำแหน่ง 0) สำหรับกลุ่มใดๆ ผู้ใช้จะถูกปฏิเสธการเข้าถึง บิต ปฏิเสธเสมอ (ตำแหน่ง 0) มีความสำคัญเหนือกว่าบิตอื่นๆ ทั้งหมดเสมอ

หากไม่มีการตั้งค่าบิต ระบบจะตั้งค่าเริ่มต้นเป็น อ่านอย่างเดียว ให้กับผู้ใช้

โปรดทราบว่าระบบจะให้ความสำคัญกับสิทธิ์การเข้าสู่ระบบที่เรียกใช้จากระเบียนของผู้ใช้โดยตรง หากผู้ใช้ไม่มีแอตทริบิวต์สิทธิ์การเข้าใช้งานในระเบียน ระบบจะพยายามเรียกใช้สิทธิ์จากกลุ่มที่ผู้ใช้อยู่ และตรงกับตัวกรองกลุ่ม หากมีการกำหนดค่า ในกรณีนี้ ระบบจะกำหนด inclusive OR ของบิตทั้งหมดสำหรับกลุ่มทุกกลุ่มให้ผู้ใช้ ในทำนองเดียวกัน บิต สิทธิ์การเข้าถึงแบบอ่านอย่างเดียว จะได้รับการตั้งค่าเฉพาะเมื่อบิตอื่นๆ ทั้งหมดเป็น 0 เท่านั้น นอกจากนี้ โปรดทราบว่าหากมีการตั้งค่าบิต ปฏิเสธเสมอ สำหรับกลุ่มใดๆ ผู้ใช้จะถูกปฏิเสธการเข้าถึง บิต ปฏิเสธเสมอ มีความสำคัญเหนือกว่าบิตอื่นๆ ทุกบิต

หมายเหตุ

หากคุณมอบความสามารถในการแก้ไขพารามิเตอร์การกำหนดค่าอะแดปเตอร์ที่เกี่ยวข้องกับข้อมูลพื้นฐาน เครือข่าย และ/หรือการรักษาความปลอดภัยให้ผู้ใช้ คุณควรพิจารณามอบความสามารถในการรีสตาร์ท XClarity Controller (บิตตำแหน่ง 10) ให้กับผู้ใช้รายเดียวกันนี้ด้วย หากไม่มีความสามารถนี้ ผู้ใช้อาจจะเปลี่ยนแปลงพารามิเตอร์ได้ (ตัวอย่างเช่น ที่อยู่ IP ของอะแดปเตอร์) แต่จะไม่สามารถทำให้พารามิเตอร์มีผลใช้งานได้

เลือกว่าจะ เปิดใช้งานการรักษาความปลอดภัยตามบทบาทที่ปรับปรุงสำหรับผู้ใช้ Active Directory ภายใต้ การตั้งค่า Active Directory (หากใช้โหมด ใช้เซิร์ฟเวอร์ LDAP สำหรับการตรวจสอบความถูกต้องและการอนุญาต) หรือกำหนดค่า กลุ่มสำหรับการอนุญาตภายใน (หากใช้โหมด ใช้เซิร์ฟเวอร์ LDAP สำหรับการตรวจสอบความถูกต้องเท่านั้น (พร้อมการอนุญาตภายใน))
- เปิดใช้งานการรักษาความปลอดภัยตามบทบาทที่ปรับปรุงสำหรับผู้ใช้ Active Directory
  หากเปิดใช้งานการตั้งค่าการรักษาความปลอดภัยตามบทบาทที่ปรับปรุง ต้องกำหนดค่าชื่อเซิร์ฟเวอร์ที่มีรูปแบบอิสระให้ทำหน้าที่เป็นชื่อเป้าหมายสำหรับ XClarity Controller โดยเฉพาะนี้ ชื่อเป้าหมายสามารถเชื่อมโยงกับบทบาทอย่างน้อยหนึ่งรายการบนเซิร์ฟเวอร์ Active Directory ผ่านเครื่องมือ Snap-In ของระบบการรักษาความปลอดภัยตามบทบาท (RBS) ซึ่งสามารถดำเนินการได้โดยสร้างเป้าหมายที่มีการจัดการ ระบุชื่อที่เฉพาะเจาะจง แล้วเชื่อมโยงกับบทบาทที่เหมาะสม หากมีการกำหนดค่าชื่อในฟิลด์นี้ ก็จะให้ความสามารถในการกำหนดบทบาทเฉพาะสำหรับผู้ใช้และ XClarity Controller (เป้าหมาย) ที่เป็นสมาชิกของบทบาทเดียวกัน เมื่อผู้ใช้เข้าสู่ระบบ XClarity Controller และได้รับการตรวจสอบความถูกต้องผ่าน Active Directory ระบบจะเรียกใช้บทบาทที่ผู้ใช้เป็นสมาชิกจากไดเรกทอรี สิทธิ์ที่กำหนดให้กับผู้ใช้จะถูกแยกออกจากบทบาทที่มีในฐานะสมาชิกเป้าหมายที่ตรงกับชื่อเซิร์ฟเวอร์ที่ได้รับการกำหนดค่าที่นี่ หรือเป้าหมายที่ตรงกับ XClarity Controller ใดๆ XClarity Controller หลายรายการสามารถใช้ชื่อเป้าหมายเดียวกันได้ ซึ่งสามารถใช้เพื่อจัดกลุ่ม XClarity Controller หลายรายการเข้าด้วยกัน และกำหนดให้กับบทบาทเดียวกัน (หรือหลายบทบาท) โดยใช้เป้าหมายเดี่ยวที่มีการจัดการ ในทางกลับกัน สามารถตั้งชื่อที่ไม่ซ้ำกันให้กับ XClarity Controller แต่ละรายการได้
- กลุ่มสำหรับการอนุญาตภายใน
  มีการกำหนดค่าชื่อกลุ่มเพื่อให้ข้อมูลจำเพาะเกี่ยวกับการอนุญาตภายในสำหรับกลุ่มของผู้ใช้ คุณสามารถกำหนดสิทธิ์ (บทบาท) ที่เหมือนกับที่อธิบายไว้ในตารางข้างต้นให้กับชื่อกลุ่มแต่ละรายการ เซิร์ฟเวอร์ LDAP จะเชื่อมโยงผู้ใช้กับชื่อกลุ่ม เมื่อผู้ใช้เข้าสู่ระบบ ระบบจะกำหนดสิทธิ์ที่เชื่อมโยงกับกลุ่มที่ผู้ใช้อยู่ให้กับผู้ใช้คนดังกล่าว สามารถกำหนดค่ากลุ่มเพิ่มเติมได้โดยคลิกไอคอน “+” หรือลบโดยคลิกไอคอน “x”

ส่งคำติชม