Zum Hauptinhalt springen

LDAP konfigurieren

Mithilfe der Informationen in diesem Abschnitt können Sie die LDAP-Einstellungen von XClarity Controller anzeigen oder ändern.

Die LDAP-Unterstützung enthält:
  • Unterstützung für das LDAP-Protokoll, Version 3 (RFC-2251)
  • Unterstützung für die standardmäßigen LDAP-Client-APIs (RFC-1823)
  • Unterstützung für die standardmäßige LDAP-Suchfiltersyntax (RFC-2254)
  • Unterstützung für Lightweight Directory Access Protocol (v3), Erweiterung für Transport Layer Security (RFC-2830)
Die LDAP-Implementierung unterstützt die folgenden LDAP-Server:
  • Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Microsoft Active Directory Application Mode (Windows 2003 Server)
  • Microsoft Lightweight Directory Service (Windows 2008, Windows 2012)
  • Novell eDirectory Server Version 8.7, 8.8 und 9.4
  • OpenLDAP Server 2.1, 2.2, 2.3 und 2.4

Klicken Sie auf die Registerkarte LDAP, um die LDAP-Einstellungen für den XClarity Controller anzuzeigen oder zu ändern.

Der XClarity Controller kann den Benutzerzugriff über einen zentralen LDAP-Server anstelle von oder zusätzlich zu den lokalen Benutzeraccounts, die im XClarity Controller selbst gespeichert sind, remote authentifizieren. Für jeden Benutzeraccount können mit der Zeichenfolge „IBMRBSPermissions“ Berechtigungen festgelegt werden. Sie können den LDAP-Server auch dazu verwenden, Benutzern Gruppen zuzuordnen und zusätzlich zu der normalen Benutzerauthentifizierung (Kennwortprüfung) eine Gruppenauthentifizierung durchzuführen. Ein XClarity Controller kann z. B. einer oder mehreren Gruppen zugewiesen werden. In diesem Fall besteht ein Benutzer die Gruppenauthentifizierung nur dann, wenn er zu mindestens einer der Gruppen gehört, die dem XClarity Controller zugeordnet sind.

Gehen Sie zum Konfigurieren eines LDAP-Servers wie folgt vor:
  1. Auf der Seite LDAP-Serverinformationen stehen in der Elementliste die folgenden Optionen zur Verfügung:
    • Nur LDAP-Server für Authentifizierung verwenden (mit lokaler Erteilung von Berechtigungen): Wenn Sie diese Option wählen, wird XClarity Controller angewiesen, die Anmeldeinformationen nur für die Authentifizierung zum LDAP-Server zu verwenden und Informationen zur Gruppenzugehörigkeit abzurufen. Die Gruppennamen und Berechtigungen können im Abschnitt „Active Directory-Einstellungen“ konfiguriert werden.
    • LDAP-Server für Authentifizierung und Erteilung von Berechtigungen verwenden: Wenn Sie diese Option wählen, wird XClarity Controller angewiesen, die Anmeldeinformationen für die Authentifizierung zum LDAP-Server und für die Identifizierung einer Benutzerberechtigung zu verwenden.
    Anmerkung
    Die für die Authentifizierung zu verwendenden LDAP-Server können entweder manuell konfiguriert oder mithilfe von DNS-SRV-Datensätzen dynamisch ermittelt werden.
    • Vorkonfigurierte Server verwenden: Sie können bis zu vier LDAP-Server konfigurieren, indem Sie die IP-Adresse oder den Hostnamen jedes Servers angeben (vorausgesetzt, DNS ist aktiviert). Die Portnummer für die einzelnen Server ist optional. Wenn in diesem Feld keine Angaben gemacht werden, wird der Standardwert 389 für nicht sichere LDAP-Verbindungen verwendet. Für sichere Verbindungen lautet der Standardportwert 636. Mindestens ein LDAP-Server muss konfiguriert werden.
    • DNS zum Finden von Servern verwenden: Sie können angeben, ob die LDAP-Server dynamisch ermittelt werden sollen. Um die LDAP-Server zu ermitteln, werden die in RFC2782 (A DNS RR for specifying the location of services) beschriebenen Verfahren verwendet. Dies wird als DNS SRV bezeichnet. Hierbei ist es erforderlich, einen vollständig qualifizierten Domänennamen (FQDN) zur Verwendung in der DNS-SRV-Anforderung anzugeben.
      • AD-Gesamtstruktur: In einer Umgebung mit universellen Gruppen in mehreren Domänen muss der Gesamtstrukturname (Gruppe von Domänen) so konfiguriert werden, dass die erforderlichen globalen Kataloge (GC) ermittelt werden. In einer Umgebung, in der eine domänenübergreifende Gruppenzugehörigkeit nicht zulässig ist, muss dieses Feld nicht ausgefüllt werden.
      • AD-Domäne: Sie müssen einen vollständig qualifizierten Domänennamen (FQDN) zur Verwendung in der DNS-SRV-Anforderung angeben.
    Wenn Sie eine sichere LDAP-Verbindung aktivieren möchten, klicken Sie auf das Kontrollkästchen Sichere LDAP-Verbindung aktivieren. Beachten Sie, dass zur Unterstützung von sicherem LDAP ein gültiges SSL-Zertifikat vorhanden sein und mindestens ein vertrauenswürdiges SSL-Clientzertifikat in den XClarity Controller importiert werden muss. Ihr LDAP-Server muss Transport Layer Security (TLS) Version 1.2 unterstützen, um mit dem sicheren LDAP-Client von XClarity Controller kompatibel zu sein. Weitere Informationen zur Handhabung von Zertifikaten finden Sie im Abschnitt Handhabung von SSL-Zertifikaten.
  2. Machen Sie Angaben unter Zusätzliche Parameter. Unten stehend finden Sie Erläuterungen zu den Parametern.
    Bindungsmethode
    Bevor eine Suchanfrage oder Abfrage an den LDAP-Server gesendet werden kann, muss eine Bindeanforderung gesendet werden. Mit diesem Feld wird gesteuert, wie diese einleitende Bindung zum LDAP-Server ausgeführt wird. Die folgenden Bindungsmethoden sind verfügbar:
    • Keine Anmeldeinformationen erforderlich

      Mit dieser Methode wird eine Bindung ohne einen definierten Namen (DN) oder ein Kennwort hergestellt. Diese Methode sollte jedoch nicht verwendet werden, da die meisten Server so konfiguriert sind, dass sie Suchanforderungen für bestimmte Benutzersätze nicht zulassen.

    • Mit konfiguriertem Berechtigungsnachweis

      Mit dieser Methode wird eine Bindung mit dem konfigurierten definierten Namen und einem Kennwort hergestellt.

    • Anmeldeinformationen verwenden

      Mit dieser Methode wird eine Bindung mit dem Berechtigungsnachweis hergestellt, der beim Anmeldeprozess angegeben wird. Die Benutzer-ID kann als definierter Name, als Teil eines definierten Namens, als vollständig qualifizierter Domänenname oder über eine Benutzer-ID angegeben werden, die mit dem auf dem XClarity Controller konfigurierten UID-Suchattribut übereinstimmt. Wenn die angegebenen Anmeldeinformationen einem Teil eines DN ähneln (z. B. cn=joe), wird dieser DN-Teil dem konfigurierten definierten Namen des Stammelements vorangestellt, um einen DN zu erstellen, der mit dem Datensatz des Benutzers übereinstimmt. Falls dieser Bindeversuch fehlschlägt, wird ein letzter Bindeversuch unternommen, indem vor den Anmeldeinformationen ein „cn=“ eingefügt und die resultierende Zeichenfolge dem definierten Namen des konfigurierten Stammelements vorangestellt wird.

    Wenn der erste Bindeversuch erfolgreich durchgeführt wurde, wird auf dem LDAP-Server nach einem Eintrag zu dem Benutzer gesucht, der sich gerade anmelden möchte. Andernfalls wird ein zweiter Bindeversuch unternommen, diesmal mit dem aus dem LDAP-Datensatz des Benutzers abgerufenen DN sowie dem Kennwort, das bei der Anmeldung eingegeben wurde. Wenn der zweite Bindeversuch fehlschlägt, wird dem Benutzer der Zugriff verweigert. Der zweite Bindeversuch wird nur dann durchgeführt, wenn die Bindungsmethoden Keine Anmeldeinformationen erforderlich oder Konfigurierte Anmeldeinformationen verwenden verwendet werden.
    Definierter Name des Stammelements
    Der definierte Name (DN) für den Stammeintrag der Verzeichnisstruktur des LDAP-Servers (z. B. dn=mycompany,dc=com). Dieser definierte Name wird als Basisobjekt für alle Suchvorgänge verwendet.
    UID-Suchattribut
    Wenn als Bindungsmethode Keine Anmeldeinformationen erforderlich oder Konfigurierte Anmeldeinformationen verwenden festgelegt wurde, folgt der einleitenden Verbindung zum LDAP-Server eine Suchanforderung, die bestimmte Informationen zum Benutzer abruft, einschließlich des definierten Namens (DN), der Anmeldeberechtigungen und der Gruppenmitgliedschaft des Benutzers. Diese Suchanforderung muss den Attributnamen angeben, der für die Benutzer-IDs auf diesem Server steht. Dieser Attributname wird in diesem Feld konfiguriert. Auf Active Directory-Servern lautet der Attributname normalerweise sAMAccountName. Auf Novell eDirectory- und OpenLDAP-Servern lautet der Attributname uid. Wenn in diesem Feld keine Angaben gemacht werden, lautet der Standardwert uid.
    Gruppenfilter
    Das Feld Gruppenfilter wird für die Gruppenauthentifizierung verwendet. Nachdem die Anmeldeinformationen des Benutzers erfolgreich überprüft wurden, wird versucht, die Gruppenauthentifizierung durchzuführen. Wenn die Gruppenauthentifizierung fehlschlägt, wird dem Benutzer die Anmeldung verweigert. Wenn der Gruppenfilter konfiguriert ist, gibt er an, zu welchen Gruppen der XClarity Controller gehört. Das bedeutet, dass der Benutzer zu mindestens einer der konfigurierten Gruppen gehören muss, damit die Gruppenauthentifizierung erfolgreich durchgeführt werden kann. Wenn das Feld Gruppenfilter leer ist, ist die Gruppenauthentifizierung automatisch erfolgreich. Wenn der Gruppenfilter konfiguriert wurde, wird versucht, mindestens eine Gruppe in der Liste zu finden, die mit einer Gruppe übereinstimmt, der der Benutzer angehört. Wenn es keine Übereinstimmung gibt, schlägt die Authentifizierung des Benutzers fehl und der Zugriff wird verweigert. Wenn mindestens eine Übereinstimmung vorhanden ist, ist die Gruppenauthentifizierung erfolgreich.
    Beim Abgleich muss die Groß-/Kleinschreibung beachtet werden. Der Filter ist auf 511 Zeichen begrenzt und kann aus einem oder aus mehreren Gruppennamen bestehen. Um mehrere Gruppennamen voneinander abzugrenzen, muss das Doppelpunktzeichen (:) verwendet werden. Vorangestellte und nachgestellte Leerzeichen werden nicht beachtet. Alle anderen Leerzeichen werden als Teil des Gruppennamens behandelt.
    Anmerkung
    Das Platzhalterzeichen (*) wird nicht mehr als Platzhalter behandelt. Das Platzhalterkonzept wurde eingestellt, um Sicherheitsrisiken vorzubeugen. Ein Gruppenname kann als vollständiger definierter Name oder nur mithilfe des cn-Teils angegeben werden. Beispiel: Eine Gruppe mit dem definierten Namen „cn=adminGroup, dc=mycompany, dc=com“ kann mit dem tatsächlichen definierten Namen oder mit „adminGroup“ angegeben werden.
    Verschachtelte Gruppenmitgliedschaften werden nur in Active Directory-Umgebungen unterstützt. Wenn ein Benutzer z. B. ein Mitglied von GroupA und GroupB ist und GroupA auch ein Mitglied von GroupC ist, ist der Benutzer (implizit) auch ein Mitglied von GroupC. Verschachtelte Suchprozesse werden nach dem Durchsuchen von 128 Gruppen gestoppt. Zuerst werden alle Gruppen einer Ebene durchsucht, bevor Gruppen einer tieferen Ebene durchsucht werden. Schleifen werden nicht erkannt.
    Gruppensuchattribut
    In einer Active Directory- oder Novell eDirectory-Umgebung gibt das Feld Gruppensuchattribut den Attributnamen an, der die Gruppen bezeichnet, denen ein Benutzer angehört. In einer Active Directory-Umgebung lautet der Attributname memberOf. In einer eDirectory-Umgebung lautet der Attributname groupMembership. In einer OpenLDAP-Serverumgebung werden Benutzer normalerweise Gruppen zugeordnet, deren „objectClass“ gleich „PosixGroup“ ist. In diesem Kontext gibt dieses Feld den Attributnamen an, der die Mitglieder einer bestimmten PosixGroup bezeichnet. Dieser Attributname lautet memberUid. Wenn in diesem Feld keine Angaben gemacht werden, wird für den Attributnamen im Filter standardmäßig memberOf verwendet.
    Anmeldeberechtigungsattribut
    Wenn ein Benutzer erfolgreich über einen LDAP-Server authentifiziert wird, müssen die Anmeldeberechtigungen für den Benutzer abgerufen werden. Um diese Anmeldeberechtigungen abzurufen, muss der an den Server gesendete Suchfilter den Attributnamen angeben, der den Anmeldeberechtigungen zugeordnet wurde. Das Feld Anmeldeberechtigungsattribut gibt den Attributnamen an. Wenn der LDAP-Server für die Authentifizierung und Autorisierung verwendet wird, aber dieses Feld leer bleibt, wird dem Benutzer der Zugriff verweigert.
    Der vom LDAP-Server zurückgegebene Attributwert sucht nach der Suchbegriffszeichenfolge „IBMRBSPermissions=“. Auf diese Suchbegriffszeichenfolge muss unmittelbar danach eine Bitfolge (aus bis zu 12 aufeinanderfolgenden Nullen oder Einsen) folgen. Jedes Bit steht für eine Gruppe von Funktionen. Die Bits sind entsprechend ihren Positionen nummeriert. Das Bit ganz links ist Bitposition 0 und das Bit ganz rechts ist Bitposition 11. Durch den Wert 1 an einer bestimmten Position wird die Funktion aktiviert, die mit dieser Bitposition verknüpft ist. Der Wert 0 in einer Bitposition deaktiviert die Funktion, die dieser Bitposition zugeordnet ist.
    Ein gültiges Beispiel ist die Zeichenfolge „IBMRBSPermissions=010000000000“. Der Suchbegriff „IBMRBSPermissions=“ wird verwendet, damit er in einer beliebigen Position in diesem Feld platziert werden kann. So kann der LDAP-Administrator ein vorhandenes Attribut wiederverwenden und eine Erweiterung des LDAP-Schemas verhindern. Außerdem ermöglicht es die Verwendung des Attributs für seine ursprüngliche Bestimmung. Sie können die Suchbegriffszeichenfolge in eine beliebige Position in diesem Feld einfügen. Das verwendete Attribut kann eine frei formatierte Zeichenfolge zulassen. Wenn das Attribut erfolgreich abgerufen werden kann, wird der Wert, der vom LDAP-Server zurückgegeben wird, entsprechend den Informationen in der folgenden Tabelle interpretiert.
    Tabelle 1. Berechtigungsbits.

    Tabelle mit drei Spalten, die Erläuterungen zur Bitposition enthält.

    BitpositionFunktionErläuterung
    0Nie zulassenDie Authentifizierung eines Benutzers schlägt immer fehl. Diese Funktion kann verwendet werden, um einen oder mehrere bestimmte Benutzer, die einer bestimmten Gruppe zugeordnet sind, zu blockieren.
    1SupervisorzugriffEinem Benutzer wird die Administratorberechtigung erteilt. Der Benutzer hat Schreib-/Lesezugriff auf jede Funktion. Wenn Sie dieses Bit einstellen, müssen Sie die anderen Bits nicht einzeln einstellen.
    2Schreibgeschützter ZugriffEin Benutzer hat Lesezugriff und kann keine Wartungsarbeiten (beispielsweise Neustart, fern ausgeführte Aktionen oder Firmwareaktualisierungen) oder Änderungen (z. B. Funktionen zum Speichern, Löschen oder Wiederherstellen) durchführen. Bitposition 2 und alle anderen Bits schließen sich gegenseitig aus, wobei Bitposition 2 die niedrigste Vorrangstellung hat. Wenn irgendein anderes Bit gesetzt ist, wird dieses Bit ignoriert.
    3Netzwerkbetrieb und SicherheitEin Benutzer kann die Konfiguration für Sicherheit, Netzprotokolle, Netzwerkschnittstelle, Portzuordnungen und serieller Anschluss ändern.
    4BenutzeraccountverwaltungEin Benutzer kann andere Benutzer hinzufügen, ändern oder löschen und die globalen Anmeldungseinstellungen im Fenster mit den Anmeldeprofilen ändern.
    5Zugriff auf ferne KonsoleEin Benutzer kann auf die Remote-Server-Konsole zugreifen.
    6Zugriff auf ferne Konsole und ferne DatenträgerEin Benutzer kann auf die Remote-Server-Konsole und die Funktionen für ferne Datenträger für den fernen Server zugreifen.
    7Zugriff auf Einschalten/Starten eines fernen ServersEin Benutzer kann auf die Einschalt- und Neustartfunktionen für den fernen Server zugreifen.
    8BasisadapterkonfigurationEin Benutzer kann Konfigurationsparameter auf den Seiten „Systemeinstellungen“ und „Alerts“ ändern.
    9Berechtigung zum Löschen von EreignisprotokollenEin Benutzer kann die Ereignisprotokolle löschen.
    Anmerkung
    Alle Benutzer können die Ereignisprotokolle einsehen; um jedoch die Protokolle löschen zu können, muss der Benutzer diese Berechtigungsstufe haben.
    10Erweiterte AdapterkonfigurationFür Benutzer gelten keine Einschränkungen beim Konfigurieren des XClarity Controller. Außerdem verfügt der Benutzer über einen Verwaltungszugriff auf den XClarity Controller. Der Benutzer kann folgende erweiterte Funktionen ausführen: Firmwareaktualisierungen, PXE-Netzboot, werkseitige Voreinstellungen für den XClarity Controller wiederherstellen, die Adapterkonfiguration aus einer Konfigurationsdatei ändern und wiederherstellen und den XClarity Controller erneut starten bzw. zurücksetzen.
    11Reserviert

    Diese Bitposition ist für den künftigen Gebrauch reserviert. Wenn keines der Bits gesetzt ist, hat der Benutzer eine Leseberechtigung. Priorität haben die Anmeldeberechtigungen, die direkt aus dem Benutzersatz abgerufen werden.

    Wenn das Anmeldeberechtigungsattribut nicht im Datensatz des Benutzers enthalten ist, wird versucht, die Berechtigungen von den Gruppen abzurufen, zu denen der Benutzer gehört. Dies wird als Teil der Gruppenauthentifizierungsphase ausgeführt. Dem Benutzer wird das inklusive OR aller Bits für alle Gruppen zugewiesen.

    Das Bit für den Lesezugriff (Position 2) wird nur gesetzt, wenn alle anderen Bits auf null gesetzt werden. Wenn das Bit für „Nie zulassen“ (Position 0) für eine der Gruppen gesetzt ist, wird dem Benutzer der Zugriff verweigert. Das Bit „Nie zulassen“ (Position 0) hat vor allen anderen Bits Vorrang.

    Wenn kein Bit gesetzt ist, wird die Standardeinstellung für den Benutzer auf Lesezugriff festgelegt.
    Beachten Sie, dass die Anmeldeberechtigungen, die direkt aus dem Benutzerdatensatz abgerufen werden, Priorität haben. Wenn dem Benutzer in seinem Datensatz kein Anmeldeberechtigungsattribut zugeordnet ist, wird versucht, die Berechtigungen aus den Gruppen abzurufen, denen der Benutzer angehört und die mit dem Gruppenfilter übereinstimmen (sofern konfiguriert). In diesem Fall wird dem Benutzer das inklusive ODER aller Bits für alle Gruppen zugewiesen. Analog dazu wird das Bit Lesezugriff nur gesetzt, wenn alle anderen Bits null sind. Wenn das Bit Nie zulassen für eine seiner Gruppen gesetzt ist, wird dem Benutzer der Zugriff verweigert. Das Bit Nie zulassen hat immer Vorrang vor allen anderen Bits.
    Anmerkung
    Wenn ein Benutzer allgemeine, netzwerk‑ und/oder sicherheitsbezogene Adapterkonfigurationsparameter ändern darf, sollten Sie erwägen, diesem Benutzer auch die Berechtigung zum Neustarten von XClarity Controller zu erteilen (Bitposition 10). Ohne diese Berechtigung kann der Benutzer zwar Parameter ändern (z. B. die IP-Adresse des Adapters), sie aber nicht in Kraft treten lassen.
  3. Geben Sie in den Active Directory-Einstellungen (wenn der Modus LDAP-Server für Authentifizierung und Erteilung von Berechtigungen verwenden verwendet wird) unter Erweiterte rollenbasierte Sicherheit für Active Directory-Benutzer aktivieren an, ob diese Funktion aktiviert werden soll, oder konfigurieren Sie die Gruppen für lokale Autorisierung (wenn der Modus Nur LDAP-Server für Authentifizierung verwenden (mit lokaler Erteilung von Berechtigungen) verwendet wird).
    • Erweiterte rollenbasierte Sicherheit für Aktivierung von Active Directory-Benutzern

      Falls die Einstellung für erweiterte rollenbasierte Sicherheit aktiviert ist, muss ein frei formatierter Servername konfiguriert werden, der als Zielname für diesen bestimmten XClarity Controller dient. Der Zielname kann mithilfe des Snap-In für rollenbasierte Sicherheit (RBS) einer oder mehreren Rollen auf dem Active Directory-Server zugewiesen werden. Hierzu müssen verwaltete Ziele erstellt, mit spezifischen Namen versehen und dann den entsprechenden Rollen zugewiesen werden. Wenn in diesem Feld ein Name konfiguriert wird, lassen sich somit spezifische Rollen für Benutzer und XClarity Controller (Ziele) definieren, die Mitglieder derselben Rolle sind. Wenn sich ein Benutzer beim XClarity Controller anmeldet und über Active Directory authentifiziert wird, werden aus dem Verzeichnis die Rollen abgerufen, in denen der Benutzer Mitglied ist. Die Berechtigungen für den Benutzer werden aus den Rollen abgeleitet, die als Mitglied ein Ziel haben, das mit einem beliebigen XClarity Controller übereinstimmt oder dessen Name dem hier konfigurierten Namen entspricht. Mehrere XClarity Controller können denselben Zielnamen haben. So können z. B. mehrere XClarity Controller gruppiert und der (bzw. den) gleichen Rolle(n) zugewiesen werden, indem ein einziges verwaltetes Ziel verwendet wird. Umgekehrt gilt, dass jeder XClarity Controller einen eindeutigen Namen erhalten kann.

    • Gruppen für lokale Autorisierung

      Gruppennamen werden konfiguriert, um Spezifikationen für eine lokale Erteilung von Berechtigungen für Benutzergruppen bereitzustellen. Jeder Gruppenname kann Berechtigungen (Rollen) zugewiesen werden, die mit denen in der obigen Tabelle beschriebenen identisch sind. Der LDAP-Server ordnet Benutzer einem Gruppennamen zu. Meldet sich der Benutzer an, werden ihm die mit der jeweiligen Gruppe verknüpften Berechtigungen zugewiesen. Sie können weitere Gruppen konfigurieren, indem Sie auf das Symbol „+“ klicken, bzw. Gruppen löschen, indem Sie auf das „x“-Symbol klicken.