跳至主要内容

配置 LDAP

使用本主題中的資訊來檢視或變更 XClarity Controller LDAP 設定。

LDAP 支援包含:
  • 支援 LDAP 通訊協定第 3 版 (RFC-2251)
  • 支援標準 LDAP 用戶端 API (RFC-1823)
  • 支援標準 LDAP 搜尋過濾器語法 (RFC-2254)
  • 支援適用於傳輸層安全的輕量型目錄存取通訊協定 (v3) 擴充 (RFC-2830)
LDAP 實作支援下列 LDAP 伺服器:
  • Microsoft Active Directory(Windows 2003、Windows 2008、Windows 2012、Windows 2016、Windows 2019)
  • Microsoft Active Directory 應用程式模式 (Windows 2003 Server)
  • Microsoft 輕量型目錄服務(Windows 2008、Windows 2012)
  • Novell eDirectory Server 8.7、8.8 和 9.4 版
  • OpenLDAP Server 2.1、2.2、2.3 和 2.4

按一下 LDAP 標籤可檢視或修改 XClarity Controller LDAP 設定。

XClarity Controller 可以透過中央 LDAP 伺服器,還有儲存在 XClarity Controller 本身內的本端使用者帳戶遠端鑑別使用者的存取權。可以使用 IBMRBSPermissions 字串為每個使用者帳戶指定權限。您還可以使用 LDAP 伺服器將使用者指派給群組,並執行除了一般使用者(密碼檢查)鑑別之外的群組鑑別。例如,XClarity Controller 可以與一個以上的群組相關聯,唯有當使用者屬於至少一個與 XClarity Controller 相關聯的群組時,使用者才能通過群組鑑別。

如果要配置 LDAP 伺服器,請完成下列步驟:
  1. LDAP 伺服器資訊下,項目清單中提供下列選項:
    • 使用 LDAP 伺服器只進行鑑別(使用本端授權):此選項會指示 XClarity Controller 僅使用認證來鑑別 LDAP 伺服器,以及擷取群組成員資格資訊。您可以在「Active Directory 設定」區段中配置群組名稱和權限。
    • 使用 LDAP 伺服器進行鑑別和授權:此選項會指示 XClarity Controller 使用認證來鑑別 LDAP 伺服器,以及識別使用者權限。
    您可以手動配置或透過 DNS SRV 記錄動態探索要用於鑑別的 LDAP 伺服器。
    • 使用預先配置的伺服器:您可以透過輸入各伺服器的 IP 位址或主機名稱(如果已啟用 DNS),來配置最多四個 LDAP 伺服器。每一個伺服器的埠號是選用的。如果此欄位保留空白,不安全的 LDAP 連線會使用預設值 389。對於安全的連線,預設埠值為 636。您必須至少配置一個 LDAP 伺服器。
    • 使用 DNS 尋找伺服器:您可以選擇動態探索 LDAP 伺服器。會使用 RFC2782 中所述的機制(DNS RR 適用於指定服務位置)來找出 LDAP 伺服器。這稱為 DNS SRV。您必須指定完整網域名稱 (FQDN) 以做為 DNS SRV 要求中的網域名稱。
      • AD 樹系:在具有跨網域中通用群組的環境中,必須配置樹系名稱(網域集)以便探索所需的廣域型錄(GC)。在跨網域群組成員資格不適用的環境中,可將此欄位保留空白。
      • AD 網域:您必須指定完整網域名稱 (FQDN) 以做為 DNS SRV 要求中的網域名稱。
    如果您要啟用安全 LDAP,請按一下啟用安全 LDAP 勾選框。若要支援安全 LDAP,必須備妥有效的 SSL 憑證,且必須將至少一個 SSL 用戶端授信憑證匯入 XClarity Controller。LDAP 伺服器必須支援傳輸層安全 (TLS) 1.2 版本,以使其與 XClarity Controller 安全 LDAP 用戶端相容。如需憑證處理的相關資訊,請參閱SSL 憑證處理
  2. 請填寫其他參數下的資訊。參數說明如下。
    連結方法
    您必須先傳送連結要求,才能搜尋或查詢 LDAP 伺服器。此欄位控制對 LDAP 伺服器執行此起始連結的方式。下列連結方法可供使用:
    • 無需認證

      使用此方法可在沒有識別名稱 (DN) 或密碼的情況下進行連結。強烈建議不要選取此方法,因為大部分伺服器都配置為禁止對特定使用者記錄執行搜尋要求。

    • 使用配置的認證

      使用此方法可使用配置的用戶端 DN 和密碼進行連結。

    • 使用登入認證

      使用此方法可使用在登入程序期間提供的認證進行連結。透過 DN、部分 DN、完整網域名稱,或透過符合在 XClarity Controller 所配置 UID 搜尋屬性的使用者 ID,皆可提供使用者 ID。如果提供的認證類似於部分 DN(例如 cn=joe),在嘗試建立符合該使用者記錄的 DN 時,即會將此部分 DN 做為已配置根 DN 的字首。如果此連結嘗試失敗,最終的嘗試是將字首 cn= 新增至登入認證,然後將此結果字串新增至已配置根 DN 前方。

    若起始連結成功,便會執行搜尋,以在 LDAP 伺服器上尋找屬於所登入使用者的項目。必要的話,會再次嘗試進行連結,此時會使用從使用者的 LDAP 記錄擷取的 DN 和在登入程序期間輸入的密碼。如果第二次嘗試連結失敗,則會拒絕使用者存取。第二次連結僅在使用無需認證使用配置的認證連結方法時執行。
    根識別名稱 (DN)
    這是 LDAP 伺服器上目錄樹根項目的識別名稱 (DN)(例如,dn=mycompany,dc=com)。此 DN 用做所有搜尋要求的基本物件。
    UID 搜尋屬性
    連結方法設定為無需認證使用配置的認證時,LDAP 伺服器的起始連結後接搜尋要求,以擷取使用者的相關特定資訊,包括使用者的 DN、登入權限及群組成員資格。此搜尋要求必須指定代表該伺服器上使用者 ID 的屬性名稱。此屬性名稱是在此欄位中配置。在 Active Directory 伺服器上,屬性名稱通常為 sAMAccountName。在 Novell eDirectory 和 OpenLDAP 伺服器上,屬性名稱為 uid。如果此欄位保留空白,預設值為 uid
    群組過濾器
    群組過濾器欄位用於群組鑑別。在順利驗證使用者的認證之後,會嘗試進行群組鑑別。如果群組鑑別失敗,則會拒絕使用者的登入嘗試。配置群組過濾器後,它會用於指定 XClarity Controller 所屬的群組。這表示使用者必須屬於至少其中一個所配置的群組,群組鑑別才會成功。如果群組過濾器欄位保留空白,群組鑑別會自動成功。如果配置了群組過濾器,系統會嘗試將清單中的至少一個群組與使用者所屬的群組進行比對。如果沒有相符項,使用者鑑別即會失敗,且會拒絕使用者存取。如果有至少一個相符項,群組鑑別會成功。
    此比對會區分大小寫。過濾器限制為 511 個字元,且可以由一個以上的群組名稱組成。必須使用冒號 (:) 字元來分隔多個群組名稱。將會忽略前導和尾端空格,但其他任何空格都會視為群組名稱的一部分。
    不再將萬用字元 (*) 視為萬用字元。已停用萬用字元概念,以避免暴露安全性問題。您可以將群組名稱指定為完整 DN,或僅使用 cn 部分來指定群組名稱。例如,您可以使用實際 DN 或 adminGroup,來指定 DN 為 cn=adminGroup, dc=mycompany, dc=com 的群組。
    僅在 Active Directory 環境中支援巢狀群組成員資格。例如,如果某位使用者是 GroupA 和 GroupB 的成員,且 GroupA 也是 GroupC 的成員,則該使用者也可以說是 GroupC 的成員。如果已搜尋 128 個群組,巢狀搜尋便會停止。會先搜尋某個層次中的群組,然後再搜尋較低層次中的群組。不偵測迴圈。
    群組搜尋屬性
    在 Active Directory 或 Novell eDirectory 環境中,群組搜尋屬性欄位可指定用於識別使用者所屬群組的屬性名稱。在 Active Directory 環境中,屬性名稱為 memberOf。在 eDirectory 環境中,屬性名稱為 groupMembership。在 OpenLDAP 伺服器環境中,通常會將使用者指派給其 objectClass 等於 PosixGroup 的群組。在該環境定義中,此欄位指定用於識別特定 PosixGroup 成員的屬性名稱。此屬性名稱為 memberUid。如果此欄位保留空白,則過濾器中的屬性名稱預設為 memberOf
    登入權限屬性
    透過 LDAP 伺服器順利鑑別使用者時,必須擷取使用者的登入權限。若要擷取登入權限,傳送至伺服器的搜尋過濾器必須指定與登入權限相關聯的屬性名稱。登入權限屬性欄位可指定該屬性名稱。如果此欄位保留空白,將為使用者指派預設的唯讀權限(假設使用者已通過使用者和群組鑑別)。
    LDAP 伺服器傳回的屬性值會搜尋關鍵字字串 IBMRBSPermissions=。此關鍵字字串後面必須緊接輸入為 12 個連續的 0 或 1 的位元字串。每一個位元都代表一組功能。這些位元將根據其位置進行編號。最左側的位元是位元位置 0,最右側的位元是位元位置 11。位元位置的值 1 將啟用與該位元位置相關聯的功能。在位元位置的值 0 則停用與該位元位置相關聯的功能。
    字串 IBMRBSPermissions=010000000000 是有效的範例。使用 IBMRBSPermissions= 關鍵字可讓它置於此欄位中的任何位置。這可讓 LDAP 管理者重複使用現有屬性;因此,可防止延伸 LDAP 綱目。這也可讓屬性用於其原始用途。您可以在此欄位中的任何位置新增關鍵字字串。您使用的屬性容許自由格式的字串。順利擷取屬性時,會根據下表中的資訊解譯 LDAP 伺服器傳回的值。
    表 1. 權限位元.

    此三欄表格提供位元位置的說明。

    位元位置功能說明
    0一律拒絕使用者將一律鑑別失敗。此功能可用於封鎖特定使用者或與特定群組相關聯的使用者。
    1Supervisor 存取權將管理者專用權授與使用者。使用者具有對每個功能的讀寫權。如果您設定此位元,則無需個別地設定其他位元。
    2Read Only 存取權使用者具有唯讀存取權,且無法執行任何維護程序(例如,重新啟動、遠端動作或韌體更新),或進行修改(例如,儲存、清除或還原功能)。位元位置 2 與所有其他位元互斥,且位元位置 2 具有最低的優先順序。如果設定了任何其他位元,則會忽略此位元。
    3網路功能與安全性使用者可以修改安全性、網路通訊協定、網路介面、埠指派及序列埠配置。
    4使用者帳戶管理使用者可以新增、修改或刪除使用者,以及變更登入設定檔視窗中的「廣域登入設定」。
    5遠端主控台存取權使用者可以存取遠端伺服器主控台。
    6遠端主控台和遠端磁碟存取權使用者可以存取遠端伺服器主控台,及遠端伺服器的遠端磁碟功能。
    7遠端伺服器電源/重新啟動存取權使用者可以存取遠端伺服器的電源開啟和重新啟動功能。
    8基本配接器配置使用者可以修改「系統設定」和「警示」視窗中的配置參數。
    9清除事件日誌的能力使用者可以清除事件日誌。
    所有使用者都可以檢視事件日誌;但是,使用者需要具有此層次的權限才能清除事件日誌。
    10進階配接器配置使用者在配置 XClarity Controller 時沒有任何限制。此外,使用者具有對 XClarity Controller 的管理存取權。使用者可以執行下列進階功能:韌體升級、PXE 網路開機、還原 XClarity Controller 原廠預設值、從配置檔修改和還原配接卡配置,以及重新啟動/重設 XClarity Controller。
    11保留

    此位元位置保留以供日後使用。如果未設定任何位元,則使用者具有唯讀權限。直接從使用者記錄擷取的登入權限將享有優先順序。

    如果登入權限屬性不在使用者的記錄中,則會嘗試從使用者所屬的群組擷取權限。此作業是在群組鑑別階段中執行。將為使用者指派對所有群組的所有位元進行 OR(含)運算的結果。

    僅在所有其他位元設定為零時,設定「唯讀存取權」位元(位置 2)。如果為任何群組設定「一律拒絕」位元(位置 0),將拒絕使用者存取。「一律拒絕」位元(位置 0)一律優先於所有其他位元。

    如果不設定這些位元,則會將使用者的預設值設定為唯讀
    請注意,直接從使用者記錄擷取的登入權限將享有優先順序。如果使用者在其記錄中沒有登入權限屬性,則會嘗試從使用者所屬且符合群組過濾器(如果已配置)的群組中擷取權限。在此情況下,將為使用者指派所有群組的所有位元之內含 OR。同樣地,僅當所有其他位元為零時,才會設定唯讀存取權位元。此外請注意,如果為任何群組設定一律拒絕位元,將拒絕使用者存取。一律拒絕位元一律優先於其他所有位元。
    若您允許使用者修改基本、網路和/或安全相關的配接卡配置參數,您應該考量賦予這位使用者重新啟動 XClarity Controller 的能力(位元位置 10)。否則,如果沒有此能力,使用者或許能夠變更參數(例如,配接卡的 IP 位址),但參數無法生效。
  3. 選擇是否要在 Active Directory 設定為 Active Directory 使用者啟用以角色為基礎的安全性加強(如果已使用使用 LDAP 伺服器進行鑑別和授權模式),或配置本端授權的群組(如果已使用使用 LDAP 伺服器僅進行鑑別使用本端授權)模式)。
    • 為 Active Directory 使用者啟用以角色為基礎的安全性加強

      若啟用「以角色為基礎的安全性加強」設定,則必須配置自由格式的伺服器名稱,以做為此特定 XClarity Controller 的目標名稱。透過「角色型安全 (RBS) 嵌入式管理單元」,便可將目標名稱與 Active Directory 伺服器中一個以上的角色相關聯。透過建立受管理目標、提供特定名稱,然後將目標與適當的角色相關聯,即可達成此目的。如果已在此欄位中配置名稱,則此名稱可以定義使用者的特定角色,以及屬於相同角色成員的 XClarity Controller(目標)。當使用者登入 XClarity Controller 並透過 Active Directory 進行鑑別時,將會從目錄中擷取使用者所屬的角色。指派給使用者的權限擷取自適當的角色,這些角色也擁有做為成員且目標符合這裡所配置的伺服器名稱,或擁有符合任何 XClarity Controller 的目標。多個 XClarity Controller 可共用相同的目標名稱。這可用於將多個 XClarity Controller 組合在一起,並使用單一管理目標將相同角色指派給這些 XClarity Controller。相反地,每個 XClarity Controller 可獲給定一個唯一名稱。

    • 本端授權的群組

      配置群組名稱以為使用者群組提供本端授權規格。可以為每個群組名稱指派與上表中所述相同的權限(角色)。LDAP 伺服器會將使用者與群組名稱相關聯。使用者登入時,會獲指派與使用者所屬群組相關聯的權限。按一下「+」圖示可配置更多群組,按一下「x」圖示可刪除群組。