配置 LDAP
使用本主題中的資訊來檢視或變更 XClarity Controller LDAP 設定。
- 支援 LDAP 通訊協定第 3 版 (RFC-2251)
- 支援標準 LDAP 用戶端 API (RFC-1823)
- 支援標準 LDAP 搜尋過濾器語法 (RFC-2254)
- 支援適用於傳輸層安全的輕量型目錄存取通訊協定 (v3) 擴充 (RFC-2830)
- Microsoft Active Directory(Windows 2003、Windows 2008、Windows 2012、Windows 2016、Windows 2019)
- Microsoft Active Directory 應用程式模式 (Windows 2003 Server)
- Microsoft 輕量型目錄服務(Windows 2008、Windows 2012)
- Novell eDirectory Server 8.7、8.8 和 9.4 版
- OpenLDAP Server 2.1、2.2、2.3 和 2.4
按一下 LDAP 標籤可檢視或修改 XClarity Controller LDAP 設定。
XClarity Controller 可以透過中央 LDAP 伺服器,還有儲存在 XClarity Controller 本身內的本端使用者帳戶遠端鑑別使用者的存取權。可以使用 IBMRBSPermissions 字串為每個使用者帳戶指定權限。您還可以使用 LDAP 伺服器將使用者指派給群組,並執行除了一般使用者(密碼檢查)鑑別之外的群組鑑別。例如,XClarity Controller 可以與一個以上的群組相關聯,唯有當使用者屬於至少一個與 XClarity Controller 相關聯的群組時,使用者才能通過群組鑑別。
- 在 LDAP 伺服器資訊下,項目清單中提供下列選項:
- 使用 LDAP 伺服器只進行鑑別(使用本端授權):此選項會指示 XClarity Controller 僅使用認證來鑑別 LDAP 伺服器,以及擷取群組成員資格資訊。您可以在「Active Directory 設定」區段中配置群組名稱和權限。
- 使用 LDAP 伺服器進行鑑別和授權:此選項會指示 XClarity Controller 使用認證來鑑別 LDAP 伺服器,以及識別使用者權限。
註您可以手動配置或透過 DNS SRV 記錄動態探索要用於鑑別的 LDAP 伺服器。- 使用預先配置的伺服器:您可以透過輸入各伺服器的 IP 位址或主機名稱(如果已啟用 DNS),來配置最多四個 LDAP 伺服器。每一個伺服器的埠號是選用的。如果此欄位保留空白,不安全的 LDAP 連線會使用預設值 389。對於安全的連線,預設埠值為 636。您必須至少配置一個 LDAP 伺服器。
- 使用 DNS 尋找伺服器:您可以選擇動態探索 LDAP 伺服器。會使用 RFC2782 中所述的機制(DNS RR 適用於指定服務位置)來找出 LDAP 伺服器。這稱為 DNS SRV。您必須指定完整網域名稱 (FQDN) 以做為 DNS SRV 要求中的網域名稱。
- AD 樹系:在具有跨網域中通用群組的環境中,必須配置樹系名稱(網域集)以便探索所需的廣域型錄(GC)。在跨網域群組成員資格不適用的環境中,可將此欄位保留空白。
- AD 網域:您必須指定完整網域名稱 (FQDN) 以做為 DNS SRV 要求中的網域名稱。
- 請填寫其他參數下的資訊。參數說明如下。
- 連結方法
- 您必須先傳送連結要求,才能搜尋或查詢 LDAP 伺服器。此欄位控制對 LDAP 伺服器執行此起始連結的方式。下列連結方法可供使用:
- 無需認證
使用此方法可在沒有識別名稱 (DN) 或密碼的情況下進行連結。強烈建議不要選取此方法,因為大部分伺服器都配置為禁止對特定使用者記錄執行搜尋要求。
- 使用配置的認證
使用此方法可使用配置的用戶端 DN 和密碼進行連結。
- 使用登入認證
使用此方法可使用在登入程序期間提供的認證進行連結。透過 DN、部分 DN、完整網域名稱,或透過符合在 XClarity Controller 所配置 UID 搜尋屬性的使用者 ID,皆可提供使用者 ID。如果提供的認證類似於部分 DN(例如 cn=joe),在嘗試建立符合該使用者記錄的 DN 時,即會將此部分 DN 做為已配置根 DN 的字首。如果此連結嘗試失敗,最終的嘗試是將字首 cn= 新增至登入認證,然後將此結果字串新增至已配置根 DN 前方。
- 無需認證
- 根識別名稱 (DN)
- 這是 LDAP 伺服器上目錄樹根項目的識別名稱 (DN)(例如,dn=mycompany,dc=com)。此 DN 用做所有搜尋要求的基本物件。
- UID 搜尋屬性
- 連結方法設定為無需認證或使用配置的認證時,LDAP 伺服器的起始連結後接搜尋要求,以擷取使用者的相關特定資訊,包括使用者的 DN、登入權限及群組成員資格。此搜尋要求必須指定代表該伺服器上使用者 ID 的屬性名稱。此屬性名稱是在此欄位中配置。在 Active Directory 伺服器上,屬性名稱通常為 sAMAccountName。在 Novell eDirectory 和 OpenLDAP 伺服器上,屬性名稱為 uid。如果此欄位保留空白,預設值為 uid。
- 群組過濾器
- 群組過濾器欄位用於群組鑑別。在順利驗證使用者的認證之後,會嘗試進行群組鑑別。如果群組鑑別失敗,則會拒絕使用者的登入嘗試。配置群組過濾器後,它會用於指定 XClarity Controller 所屬的群組。這表示使用者必須屬於至少其中一個所配置的群組,群組鑑別才會成功。如果群組過濾器欄位保留空白,群組鑑別會自動成功。如果配置了群組過濾器,系統會嘗試將清單中的至少一個群組與使用者所屬的群組進行比對。如果沒有相符項,使用者鑑別即會失敗,且會拒絕使用者存取。如果有至少一個相符項,群組鑑別會成功。
- 群組搜尋屬性
- 在 Active Directory 或 Novell eDirectory 環境中,群組搜尋屬性欄位可指定用於識別使用者所屬群組的屬性名稱。在 Active Directory 環境中,屬性名稱為 memberOf。在 eDirectory 環境中,屬性名稱為 groupMembership。在 OpenLDAP 伺服器環境中,通常會將使用者指派給其 objectClass 等於 PosixGroup 的群組。在該環境定義中,此欄位指定用於識別特定 PosixGroup 成員的屬性名稱。此屬性名稱為 memberUid。如果此欄位保留空白,則過濾器中的屬性名稱預設為 memberOf。
- 登入權限屬性
- 透過 LDAP 伺服器順利鑑別使用者時,必須擷取使用者的登入權限。若要擷取登入權限,傳送至伺服器的搜尋過濾器必須指定與登入權限相關聯的屬性名稱。登入權限屬性欄位可指定該屬性名稱。如果此欄位保留空白,將為使用者指派預設的唯讀權限(假設使用者已通過使用者和群組鑑別)。
如果不設定這些位元,則會將使用者的預設值設定為唯讀。表 1. 權限位元. 此三欄表格提供位元位置的說明。
位元位置 功能 說明 0 一律拒絕 使用者將一律鑑別失敗。此功能可用於封鎖特定使用者或與特定群組相關聯的使用者。 1 Supervisor 存取權 將管理者專用權授與使用者。使用者具有對每個功能的讀寫權。如果您設定此位元,則無需個別地設定其他位元。 2 Read Only 存取權 使用者具有唯讀存取權,且無法執行任何維護程序(例如,重新啟動、遠端動作或韌體更新),或進行修改(例如,儲存、清除或還原功能)。位元位置 2 與所有其他位元互斥,且位元位置 2 具有最低的優先順序。如果設定了任何其他位元,則會忽略此位元。 3 網路功能與安全性 使用者可以修改安全性、網路通訊協定、網路介面、埠指派及序列埠配置。 4 使用者帳戶管理 使用者可以新增、修改或刪除使用者,以及變更登入設定檔視窗中的「廣域登入設定」。 5 遠端主控台存取權 使用者可以存取遠端伺服器主控台。 6 遠端主控台和遠端磁碟存取權 使用者可以存取遠端伺服器主控台,及遠端伺服器的遠端磁碟功能。 7 遠端伺服器電源/重新啟動存取權 使用者可以存取遠端伺服器的電源開啟和重新啟動功能。 8 基本配接器配置 使用者可以修改「系統設定」和「警示」視窗中的配置參數。 9 清除事件日誌的能力 使用者可以清除事件日誌。 註所有使用者都可以檢視事件日誌;但是,使用者需要具有此層次的權限才能清除事件日誌。10 進階配接器配置 使用者在配置 XClarity Controller 時沒有任何限制。此外,使用者具有對 XClarity Controller 的管理存取權。使用者可以執行下列進階功能:韌體升級、PXE 網路開機、還原 XClarity Controller 原廠預設值、從配置檔修改和還原配接卡配置,以及重新啟動/重設 XClarity Controller。 11 保留 此位元位置保留以供日後使用。如果未設定任何位元,則使用者具有唯讀權限。直接從使用者記錄擷取的登入權限將享有優先順序。
如果登入權限屬性不在使用者的記錄中,則會嘗試從使用者所屬的群組擷取權限。此作業是在群組鑑別階段中執行。將為使用者指派對所有群組的所有位元進行 OR(含)運算的結果。
僅在所有其他位元設定為零時,設定「唯讀存取權」位元(位置 2)。如果為任何群組設定「一律拒絕」位元(位置 0),將拒絕使用者存取。「一律拒絕」位元(位置 0)一律優先於所有其他位元。
請注意,直接從使用者記錄擷取的登入權限將享有優先順序。如果使用者在其記錄中沒有登入權限屬性,則會嘗試從使用者所屬且符合群組過濾器(如果已配置)的群組中擷取權限。在此情況下,將為使用者指派所有群組的所有位元之內含 OR。同樣地,僅當所有其他位元為零時,才會設定唯讀存取權位元。此外請注意,如果為任何群組設定一律拒絕位元,將拒絕使用者存取。一律拒絕位元一律優先於其他所有位元。註若您允許使用者修改基本、網路和/或安全相關的配接卡配置參數,您應該考量賦予這位使用者重新啟動 XClarity Controller 的能力(位元位置 10)。否則,如果沒有此能力,使用者或許能夠變更參數(例如,配接卡的 IP 位址),但參數無法生效。 - 選擇是否要在 Active Directory 設定下為 Active Directory 使用者啟用以角色為基礎的安全性加強(如果已使用使用 LDAP 伺服器進行鑑別和授權模式),或配置本端授權的群組(如果已使用使用 LDAP 伺服器僅進行鑑別(使用本端授權)模式)。
為 Active Directory 使用者啟用以角色為基礎的安全性加強
若啟用「以角色為基礎的安全性加強」設定,則必須配置自由格式的伺服器名稱,以做為此特定 XClarity Controller 的目標名稱。透過「角色型安全 (RBS) 嵌入式管理單元」,便可將目標名稱與 Active Directory 伺服器中一個以上的角色相關聯。透過建立受管理目標、提供特定名稱,然後將目標與適當的角色相關聯,即可達成此目的。如果已在此欄位中配置名稱,則此名稱可以定義使用者的特定角色,以及屬於相同角色成員的 XClarity Controller(目標)。當使用者登入 XClarity Controller 並透過 Active Directory 進行鑑別時,將會從目錄中擷取使用者所屬的角色。指派給使用者的權限擷取自適當的角色,這些角色也擁有做為成員且目標符合這裡所配置的伺服器名稱,或擁有符合任何 XClarity Controller 的目標。多個 XClarity Controller 可共用相同的目標名稱。這可用於將多個 XClarity Controller 組合在一起,並使用單一管理目標將相同角色指派給這些 XClarity Controller。相反地,每個 XClarity Controller 可獲給定一個唯一名稱。
本端授權的群組
配置群組名稱以為使用者群組提供本端授權規格。可以為每個群組名稱指派與上表中所述相同的權限(角色)。LDAP 伺服器會將使用者與群組名稱相關聯。使用者登入時,會獲指派與使用者所屬群組相關聯的權限。按一下「+」圖示可配置更多群組,按一下「x」圖示可刪除群組。