跳到主要内容

配置 LDAP

按照本主题中的信息查看或更改 XClarity Controller 的 LDAP 设置。

LDAP 支持包括:
  • 支持 LDAP 协议版本 3(RFC-2251)
  • 支持标准 LDAP 客户机 API(RFC 1823)
  • 支持标准 LDAP 搜索过滤器语法(RFC 2254)
  • 支持适用于传输层安全的轻型目录访问协议(v3)扩展(RFC-2830)
LDAP 实施支持以下 LDAP 服务器:
  • Microsoft Active Directory(Windows 2003、Windows 2008、Windows 2012、Windows 2016、Windows 2019)
  • Microsoft Active Directory 应用程序模式(Windows 2003 Server)
  • Microsoft 轻型目录服务(Windows 2008、Windows 2012)
  • Novell eDirectory Server 版本 8.7、8.8 和 9.4
  • OpenLDAP Server 2.1、2.2、2.3 和 2.4

单击 LDAP 选项卡可查看或修改 XClarity Controller 的 LDAP 设置。

XClarity Controller 除使用存储在 XClarity Controller 自身中的本地用户帐户之外(或无需该本地用户帐户),还可通过中央 LDAP 服务器远程认证用户的访问。使用 IBMRBSPermissions 字符串可为每个用户帐户指定权限。除普通用户(密码检查)认证外,您还可以使用 LDAP 服务器向组中分配用户并执行组认证。例如,XClarity Controller 可以与一个或多个组关联,仅当用户属于至少一个与 XClarity Controller 关联的组时,该用户才能通过组认证。

要配置 LDAP 服务器,请完成以下步骤:
  1. LDAP 服务器信息下,有如下选项可用:
    • 使用 LDAP 服务器仅进行认证(和本地授权):选择此选项将指示 XClarity Controller 将凭证仅用于向 LDAP 服务器进行认证及检索组成员身份信息。可在 Active Directory 设置部分中配置组名称和权限。
    • 使用 LDAP 服务器进行认证和授权:选择此选项将指示 XClarity Controller 将凭证既用于向 LDAP 服务器进行认证,也用于识别用户权限。
    可手动配置或通过 DNS SRV 记录动态发现用于认证的 LDAP 服务器。
    • 使用预先配置的服务器:如果启用了 DNS,可通过输入每个服务器的 IP 地址或主机名配置最多四个 LDAP 服务器。每个服务器的端口号是可选的。如果该字段留空,那么为非加密 LDAP 连接使用默认值 389。对于安全连接,默认端口值为 636。您必须至少配置一个 LDAP 服务器。
    • 使用 DNS 查找服务器:可选择动态发现 LDAP 服务器。RFC2782(用于指定服务位置的 DNS RR)中所述的机制可用于查找 LDAP 服务器。该机制称为 DNS SRV。您需要指定一个完全限定域名(FQDN),以用作 DNS SRV 请求中的域名。
      • AD 林:在包含跨域通用组的环境中,必须配置林名称(域集)才能发现所需的全局目录(GC)。在不适用跨域组成员资格的环境中,可以将此字段留空。
      • AD 域:您需要指定一个完全限定域名(FQDN),以用作 DNS SRV 请求中的域名。
    如果要启用安全 LDAP,请单击启用安全 LDAP 复选框。要支持安全 LDAP,必须具备有效的 SSL 证书,且必须将至少一个 SSL 客户端可信证书导入到 XClarity Controller。您的 LDAP 服务器必须支持传输层安全性(TLS)版本 1.2 以使其与 XClarity Controller 安全 LDAP 客户端兼容。有关证书处理的更多信息,请参阅SSL 证书处理
  2. 其他参数下填写信息。以下是参数说明。
    绑定方法
    必须先发送绑定请求,然后才能搜索或查询 LDAP 服务器。该字段控制初始绑定到 LDAP 服务器的执行方式。绑定方法有以下几种:
    • 无需凭证

      使用此方法,可不使用可分辨名称(DN)或密码进行绑定。由于大多数服务器配置为不允许针对特定用户记录的搜索请求,所以非常不推荐使用此方法。

    • 使用已配置的凭证

      使用此方法,可使用已配置的客户端 DN 和密码进行绑定。

    • 使用登录凭证

      使用此方法,可使用在登录过程中提供的凭证进行绑定。用户 ID 可以是 DN、局部 DN、完全限定域名,或是与 XClarity Controller 上配置的“UID 搜索属性”相匹配的用户 ID。如果提供的凭证类似于局部 DN(例如,cn=joe),则会将此局部 DN 添加为已配置的根 DN 的前缀,以尝试创建与用户记录匹配的 DN。如果绑定尝试失败,则将 cn= 添加为登录凭证的前缀,然后将生成的字符串添加为已配置的根 DN 的前缀,以进行最终绑定尝试。

    如果初始绑定成功,将执行搜索操作以在 LDAP 服务器上查找属于已登录用户的条目。如果需要,将进行第二次绑定尝试,这次将使用从用户 LDAP 记录中检索到的 DN 以及在登录过程中输入的密码。如果第二次绑定尝试失败,则将拒绝用户访问。仅当使用无需凭证使用已配置的凭证绑定方法时,才会执行第二次绑定。
    根可分辨名称(DN)
    这是 LDAP 服务器上目录树根条目的可分辨名称(DN)(例如,dn=mycompany,dc=com)。此 DN 用作所有搜索请求的基础对象。
    UID 搜索属性
    当绑定方法设置为无需凭证使用已配置的凭证时,在初始绑定到 LDAP 服务器后将跟随一个搜索请求,该请求将检索有关用户的特定信息,其中包括用户的 DN、登录权限和组成员资格。此搜索请求必须指定代表该服务器上用户 ID 的属性名称。此属性名称在该字段中配置。在 Active Directory 服务器上,属性名称通常是 sAMAccountName。在 Novell eDirectory 和 OpenLDAP 服务器上,属性名称是 uid。如果该字段留空,那么默认值是 uid
    组筛选条件
    组筛选条件字段用于组认证。用户凭证验证成功后,将尝试进行组认证。如果组认证失败,那么将拒绝用户的登录尝试。配置组筛选条件后,它将用于指定 XClarity Controller 所属的组。这意味着用户必须至少属于一个已配置组认证的组,才能登录成功。如果组筛选条件字段留空,那么组认证将自动成功。如果配置了组筛选条件,将尝试将该列表中的至少一个组与用户所属的组进行匹配。如果无匹配项,那么用户将认证失败并被拒绝访问。如果至少有一个匹配项,那么组认证将成功。
    该匹配是区分大小写的。筛选条件限制为 511 个字符,并且可以包含一个或多个组名称。必须使用冒号(:)字符对多个组名进行定界。前导空格和尾随空格将被忽略,但任何其他空格将会视为组名称的一部分。
    通配符(*)将不再视为通配符。为防止安全漏洞,已停止使用通配符概念。组名称可以指定为完整 DN 或只使用 cn 部分。例如,可以使用实际 DN 或使用 adminGroup 来指定 DN 为 cn=adminGroup, dc=mycompany, dc=com 的组。
    仅在 Active Directory 环境中支持嵌套组成员资格。例如,如果某个用户是 GroupA 和 GroupB 的成员,并且 GroupA 还是 GroupC 的成员,那么也将称该用户为 GroupC 的成员。嵌套搜索将在搜索过 128 个组后停止。系统将先搜索某一级别中的组,然后才搜索较低级别的组。不检测循环。
    组搜索属性
    在 Active Directory 或 Novell eDirectory 环境中,Group Search Attribute 字段指定用于识别用户所属组的属性名称。在 Active Directory 环境中,属性名称是 memberOf。在 eDirectory 环境中,属性名称是 groupMembership。在 OpenLDAP 服务器环境中,通常将用户分配到 objectClass 等于 PosixGroup 的组中。在此环境中,此字段指定用于识别特定 PosixGroup 成员的属性名称。此属性名称是 memberUid。如果该字段留空,那么过滤器中的属性名称默认设置为 memberOf
    登录权限属性
    当用户通过 LDAP 服务器认证成功后,必须检索该用户的登录权限。要检索登录权限,发送到该服务器的搜索筛选条件必须指定与登录权限关联的属性名称。登录权限属性字段指定该属性名称。如果该字段留空,那么将为用户分配默认的只读权限(假设用户已通过用户和组认证)。
    LDAP 服务器返回的属性值将搜索关键字字符串 IBMRBSPermissions=。该关键字字符串必须紧跟一个二进制位串,该二进制位串输入为 12 个连续的 0 或 1。每一位表示一组功能。这些位根据位置进行编号。最左边的位是位置 0,最右边的位是位置 11。如果某个位置上的值为 1,则表示将启用与该位置关联的功能。如果某个位置上的值为 0,则表示将禁用与该位置相关联的功能。
    字符串 IBMRBSPermissions=010000000000 就是一个有效示例。采用“IBMRBSPermissions=关键字”这种形式可方便管理员将其放置在该字段的任意位置。这样一来,LDAP 管理员将能够重复使用现有属性,而不必对 LDAP 模式进行扩展。另一方面,该属性也得以用于其原始用途。您可以在该字段的任意位置添加此关键字字符串。您使用的属性可以允许自由格式的字符串。成功检索到此属性后,可根据下表中的信息对 LDAP 服务器返回的值进行解读。
    表 1. 权限位.

    以下三列表格包含对位置的说明。

    位置功能说明
    0始终拒绝用户将始终认证失败。此功能可用于阻止与特定组关联的一个或多个特定用户。
    1管理员访问权限授予用户管理员权限。用户对每个功能具有读/写访问权限。如果设置此位,那么不必分别设置其他位。
    2只读访问权限用户具有只读访问权限,并且无法执行任何维护过程(例如,重新启动、远程操作或固件更新)或进行修改(例如,保存、清除或还原功能)。位置 2 和所有其他位互斥,其中位置 2 具有最低优先顺序。当设置了任何其他位时,将忽略此位。
    3联网和安全性用户可以修改安全性、网络协议、网络接口、端口分配和串口配置。
    4用户帐户管理用户可以添加、修改或删除用户,并可以在登录概要文件窗口中更改全局登录设置。
    5远程控制台访问权限用户可以访问远程服务器控制台。
    6远程控制台和远程磁盘访问权限用户可以访问远程服务器控制台和远程磁盘功能。
    7远程服务器电源操作/重新启动权限用户可以对远程服务器执行打开电源和重新启动操作。
    8基本适配器配置用户可以在系统设置和警报窗口中修改配置参数。
    9清除事件日志的能力用户可以清除事件日志。
    所有用户都可查看事件日志;但是,用户需要具有此权限级别才能清除日志。
    10高级适配器配置用户在配置 XClarity Controller 时没有任何限制。此外,用户对 XClarity Controller 具有管理访问权限。用户可以执行以下高级功能:固件升级、PXE 网络引导、恢复 XClarity Controller 出厂默认值、根据配置文件修改和恢复适配器配置以及重新启动/重置 XClarity Controller。
    11保留

    将保留此位置以供将来使用。如果未设置任何位,那么用户具有只读权限。直接从用户记录中检索到的登录权限指定优先级将拥有最高优先级。

    如果在用户记录中没有登录权限属性,那么将尝试从用户所属的组中检索权限。此操作在组认证阶段中执行。系统将针对所有组向用户以兼或方式分配所有位。

    仅当其他所有位均设置为零时,才会设置“只读访问权限”位(位置 2)。如果为任何组设置了“始终拒绝”位(位置 0),那么将拒绝用户访问。“始终拒绝”位(位置 0)始终优先于其他所有位。

    如果未设置任何位,则为用户将默认值设置为只读
    请注意,直接从用户记录中检索到的登录权限将拥有最高优先级。如果记录中没有用户的登录权限属性,那么将尝试从用户所属的组中检索权限(如果已配置,则检索与组筛选条件匹配的权限)。在此情况下,系统将针对所有组向用户以兼或方式分配所有位。同样,仅当所有其他位为零时,才会设置只读访问权限位。另请注意,如果为任何组设置了始终拒绝位,则用户将被拒绝访问。始终拒绝位始终优先于其他所有位。
    如果您向用户授予修改基本适配器配置参数、网络适配器配置参数和/或与安全性相关的适配器配置参数的权限,则应考虑向同一用户授予重新启动 XClarity Controller(位置 10)的权限。如果没有此权限,用户可能能够更改参数(例如,适配器的 IP 地址),但是将无法使参数生效。
  3. Active Directory 设置下选择是否针对 Active Directory 用户启用基于角色的增强安全性(如果是使用 LDAP 服务器进行认证和授权模式),或配置本地授权组(如果是使用 LDAP 服务器仅进行认证和本地授权)模式)。
    • 启用针对 Active Directory 用户的基于角色的增强安全性支持

      如果启用基于角色的增强安全性设置,则必须配置自由格式的服务器名称以用作此特定 XClarity Controller 的目标名称。目标名称可通过基于角色的安全性(RBS)管理单元与 Active Directory 服务器上的一个或多个角色相关联。这可以通过以下方式来完成:创建受管目标,向目标提供特定名称,然后将目标与相应角色相关联。如果在此字段中配置一个名称,则它可以为属于同一角色的用户和 XClarity Controller(目标)定义特定角色。当用户登录到 XClarity Controller 且通过 Active Directory 进行认证时,将从该目录中检索用户所属的角色。分配给用户的权限将从符合以下条件的角色中提取:角色包含与此处已配置的服务器名称相匹配的成员目标,或包含与任何 XClarity Controller 相匹配的目标。多个 XClarity Controller 可以共享同一目标名称。因此,可同时对多个 XClarity Controller 进行分组,并作为一个受管目标分配到相同的一个或多个角色。与此相反,每个 XClarity Controller 仅有一个唯一名称。

    • 本地授权组

      配置组名称以便为用户组提供本地授权规范。可为每个组名称分配与上表中所述相同的权限(角色)。LDAP 服务器将用户关联到一个组名称。用户登录时,将为其分配与其所属组关联的权限。单击“+”图标可配置更多组,单击“x”图标可删除组。