LDAP konfigurieren
Mithilfe der Informationen in diesem Abschnitt können Sie die LDAP-Einstellungen von XClarity Controller anzeigen oder ändern.
- Unterstützung für das LDAP-Protokoll, Version 3 (RFC-2251)
- Unterstützung für die standardmäßigen LDAP-Client-APIs (RFC-1823)
- Unterstützung für die standardmäßige LDAP-Suchfiltersyntax (RFC-2254)
- Unterstützung für Lightweight Directory Access Protocol (v3), Erweiterung für Transport Layer Security (RFC-2830)
- Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Microsoft Active Directory Application Mode (Windows 2003 Server)
- Microsoft Lightweight Directory Service (Windows 2008, Windows 2012)
- Novell eDirectory Server Version 8.7, 8.8 und 9.4
- OpenLDAP Server 2.1, 2.2, 2.3 und 2.4
Klicken Sie auf die Registerkarte LDAP, um die LDAP-Einstellungen für den XClarity Controller anzuzeigen oder zu ändern.
Der XClarity Controller kann den Benutzerzugriff über einen zentralen LDAP-Server anstelle von oder zusätzlich zu den lokalen Benutzeraccounts, die im XClarity Controller selbst gespeichert sind, remote authentifizieren. Für jeden Benutzeraccount können mit der Zeichenfolge „IBMRBSPermissions“ Berechtigungen festgelegt werden. Sie können den LDAP-Server auch dazu verwenden, Benutzern Gruppen zuzuordnen und zusätzlich zu der normalen Benutzerauthentifizierung (Kennwortprüfung) eine Gruppenauthentifizierung durchzuführen. Ein XClarity Controller kann z. B. einer oder mehreren Gruppen zugewiesen werden. In diesem Fall besteht ein Benutzer die Gruppenauthentifizierung nur dann, wenn er zu mindestens einer der Gruppen gehört, die dem XClarity Controller zugeordnet sind.
- Auf der Seite LDAP-Serverinformationen stehen in der Elementliste die folgenden Optionen zur Verfügung:
- Nur LDAP-Server für Authentifizierung verwenden (mit lokaler Erteilung von Berechtigungen): Wenn Sie diese Option wählen, wird XClarity Controller angewiesen, die Anmeldeinformationen nur für die Authentifizierung zum LDAP-Server zu verwenden und Informationen zur Gruppenzugehörigkeit abzurufen. Die Gruppennamen und Berechtigungen können im Abschnitt „Active Directory-Einstellungen“ konfiguriert werden.
- LDAP-Server für Authentifizierung und Erteilung von Berechtigungen verwenden: Wenn Sie diese Option wählen, wird XClarity Controller angewiesen, die Anmeldeinformationen für die Authentifizierung zum LDAP-Server und für die Identifizierung einer Benutzerberechtigung zu verwenden.
AnmerkungDie für die Authentifizierung zu verwendenden LDAP-Server können entweder manuell konfiguriert oder mithilfe von DNS-SRV-Datensätzen dynamisch ermittelt werden.- Vorkonfigurierte Server verwenden: Sie können bis zu vier LDAP-Server konfigurieren, indem Sie die IP-Adresse oder den Hostnamen jedes Servers angeben (vorausgesetzt, DNS ist aktiviert). Die Portnummer für die einzelnen Server ist optional. Wenn in diesem Feld keine Angaben gemacht werden, wird der Standardwert 389 für nicht sichere LDAP-Verbindungen verwendet. Für sichere Verbindungen lautet der Standardportwert 636. Mindestens ein LDAP-Server muss konfiguriert werden.
- DNS zum Finden von Servern verwenden: Sie können angeben, ob die LDAP-Server dynamisch ermittelt werden sollen. Um die LDAP-Server zu ermitteln, werden die in RFC2782 (A DNS RR for specifying the location of services) beschriebenen Verfahren verwendet. Dies wird als DNS SRV bezeichnet. Hierbei ist es erforderlich, einen vollständig qualifizierten Domänennamen (FQDN) zur Verwendung in der DNS-SRV-Anforderung anzugeben.
- AD-Gesamtstruktur: In einer Umgebung mit universellen Gruppen in mehreren Domänen muss der Gesamtstrukturname (Gruppe von Domänen) so konfiguriert werden, dass die erforderlichen globalen Kataloge (GC) ermittelt werden. In einer Umgebung, in der eine domänenübergreifende Gruppenzugehörigkeit nicht zulässig ist, muss dieses Feld nicht ausgefüllt werden.
- AD-Domäne: Sie müssen einen vollständig qualifizierten Domänennamen (FQDN) zur Verwendung in der DNS-SRV-Anforderung angeben.
- Machen Sie Angaben unter Zusätzliche Parameter. Unten stehend finden Sie Erläuterungen zu den Parametern.
- Bindungsmethode
- Bevor eine Suchanfrage oder Abfrage an den LDAP-Server gesendet werden kann, muss eine Bindeanforderung gesendet werden. Mit diesem Feld wird gesteuert, wie diese einleitende Bindung zum LDAP-Server ausgeführt wird. Die folgenden Bindungsmethoden sind verfügbar:
- Keine Anmeldeinformationen erforderlich
Mit dieser Methode wird eine Bindung ohne einen definierten Namen (DN) oder ein Kennwort hergestellt. Diese Methode sollte jedoch nicht verwendet werden, da die meisten Server so konfiguriert sind, dass sie Suchanforderungen für bestimmte Benutzersätze nicht zulassen.
- Mit konfiguriertem Berechtigungsnachweis
Mit dieser Methode wird eine Bindung mit dem konfigurierten definierten Namen und einem Kennwort hergestellt.
- Anmeldeinformationen verwenden
Mit dieser Methode wird eine Bindung mit dem Berechtigungsnachweis hergestellt, der beim Anmeldeprozess angegeben wird. Die Benutzer-ID kann als definierter Name, als Teil eines definierten Namens, als vollständig qualifizierter Domänenname oder über eine Benutzer-ID angegeben werden, die mit dem auf dem XClarity Controller konfigurierten UID-Suchattribut übereinstimmt. Wenn die angegebenen Anmeldeinformationen einem Teil eines DN ähneln (z. B. cn=joe), wird dieser DN-Teil dem konfigurierten definierten Namen des Stammelements vorangestellt, um einen DN zu erstellen, der mit dem Datensatz des Benutzers übereinstimmt. Falls dieser Bindeversuch fehlschlägt, wird ein letzter Bindeversuch unternommen, indem vor den Anmeldeinformationen ein „cn=“ eingefügt und die resultierende Zeichenfolge dem definierten Namen des konfigurierten Stammelements vorangestellt wird.
- Keine Anmeldeinformationen erforderlich
- Definierter Name des Stammelements
- Der definierte Name (DN) für den Stammeintrag der Verzeichnisstruktur des LDAP-Servers (z. B. dn=mycompany,dc=com). Dieser definierte Name wird als Basisobjekt für alle Suchvorgänge verwendet.
- UID-Suchattribut
- Wenn als Bindungsmethode Keine Anmeldeinformationen erforderlich oder Konfigurierte Anmeldeinformationen verwenden festgelegt wurde, folgt der einleitenden Verbindung zum LDAP-Server eine Suchanforderung, die bestimmte Informationen zum Benutzer abruft, einschließlich des definierten Namens (DN), der Anmeldeberechtigungen und der Gruppenmitgliedschaft des Benutzers. Diese Suchanforderung muss den Attributnamen angeben, der für die Benutzer-IDs auf diesem Server steht. Dieser Attributname wird in diesem Feld konfiguriert. Auf Active Directory-Servern lautet der Attributname normalerweise sAMAccountName. Auf Novell eDirectory- und OpenLDAP-Servern lautet der Attributname uid. Wenn in diesem Feld keine Angaben gemacht werden, lautet der Standardwert uid.
- Gruppenfilter
- Das Feld Gruppenfilter wird für die Gruppenauthentifizierung verwendet. Nachdem die Anmeldeinformationen des Benutzers erfolgreich überprüft wurden, wird versucht, die Gruppenauthentifizierung durchzuführen. Wenn die Gruppenauthentifizierung fehlschlägt, wird dem Benutzer die Anmeldung verweigert. Wenn der Gruppenfilter konfiguriert ist, gibt er an, zu welchen Gruppen der XClarity Controller gehört. Das bedeutet, dass der Benutzer zu mindestens einer der konfigurierten Gruppen gehören muss, damit die Gruppenauthentifizierung erfolgreich durchgeführt werden kann. Wenn das Feld Gruppenfilter leer ist, ist die Gruppenauthentifizierung automatisch erfolgreich. Wenn der Gruppenfilter konfiguriert wurde, wird versucht, mindestens eine Gruppe in der Liste zu finden, die mit einer Gruppe übereinstimmt, der der Benutzer angehört. Wenn es keine Übereinstimmung gibt, schlägt die Authentifizierung des Benutzers fehl und der Zugriff wird verweigert. Wenn mindestens eine Übereinstimmung vorhanden ist, ist die Gruppenauthentifizierung erfolgreich.
- Gruppensuchattribut
- In einer Active Directory- oder Novell eDirectory-Umgebung gibt das Feld Gruppensuchattribut den Attributnamen an, der die Gruppen bezeichnet, denen ein Benutzer angehört. In einer Active Directory-Umgebung lautet der Attributname memberOf. In einer eDirectory-Umgebung lautet der Attributname groupMembership. In einer OpenLDAP-Serverumgebung werden Benutzer normalerweise Gruppen zugeordnet, deren „objectClass“ gleich „PosixGroup“ ist. In diesem Kontext gibt dieses Feld den Attributnamen an, der die Mitglieder einer bestimmten PosixGroup bezeichnet. Dieser Attributname lautet memberUid. Wenn in diesem Feld keine Angaben gemacht werden, wird für den Attributnamen im Filter standardmäßig memberOf verwendet.
- Anmeldeberechtigungsattribut
- Wenn ein Benutzer erfolgreich über einen LDAP-Server authentifiziert wird, müssen die Anmeldeberechtigungen für den Benutzer abgerufen werden. Um diese Anmeldeberechtigungen abzurufen, muss der an den Server gesendete Suchfilter den Attributnamen angeben, der den Anmeldeberechtigungen zugeordnet wurde. Das Feld Anmeldeberechtigungsattribut gibt den Attributnamen an. Wenn der LDAP-Server für die Authentifizierung und Autorisierung verwendet wird, aber dieses Feld leer bleibt, wird dem Benutzer der Zugriff verweigert.
Wenn kein Bit gesetzt ist, wird die Standardeinstellung für den Benutzer auf Lesezugriff festgelegt.Tabelle 1. Berechtigungsbits. Tabelle mit drei Spalten, die Erläuterungen zur Bitposition enthält.
Bitposition Funktion Erläuterung 0 Nie zulassen Die Authentifizierung eines Benutzers schlägt immer fehl. Diese Funktion kann verwendet werden, um einen oder mehrere bestimmte Benutzer, die einer bestimmten Gruppe zugeordnet sind, zu blockieren. 1 Supervisorzugriff Einem Benutzer wird die Administratorberechtigung erteilt. Der Benutzer hat Schreib-/Lesezugriff auf jede Funktion. Wenn Sie dieses Bit einstellen, müssen Sie die anderen Bits nicht einzeln einstellen. 2 Schreibgeschützter Zugriff Ein Benutzer hat Lesezugriff und kann keine Wartungsarbeiten (beispielsweise Neustart, fern ausgeführte Aktionen oder Firmwareaktualisierungen) oder Änderungen (z. B. Funktionen zum Speichern, Löschen oder Wiederherstellen) durchführen. Bitposition 2 und alle anderen Bits schließen sich gegenseitig aus, wobei Bitposition 2 die niedrigste Vorrangstellung hat. Wenn irgendein anderes Bit gesetzt ist, wird dieses Bit ignoriert. 3 Netzwerkbetrieb und Sicherheit Ein Benutzer kann die Konfiguration für Sicherheit, Netzprotokolle, Netzwerkschnittstelle, Portzuordnungen und serieller Anschluss ändern. 4 Benutzeraccountverwaltung Ein Benutzer kann andere Benutzer hinzufügen, ändern oder löschen und die globalen Anmeldungseinstellungen im Fenster mit den Anmeldeprofilen ändern. 5 Zugriff auf ferne Konsole Ein Benutzer kann auf die Remote-Server-Konsole zugreifen. 6 Zugriff auf ferne Konsole und ferne Datenträger Ein Benutzer kann auf die Remote-Server-Konsole und die Funktionen für ferne Datenträger für den fernen Server zugreifen. 7 Zugriff auf Einschalten/Starten eines fernen Servers Ein Benutzer kann auf die Einschalt- und Neustartfunktionen für den fernen Server zugreifen. 8 Basisadapterkonfiguration Ein Benutzer kann Konfigurationsparameter auf den Seiten „Systemeinstellungen“ und „Alerts“ ändern. 9 Berechtigung zum Löschen von Ereignisprotokollen Ein Benutzer kann die Ereignisprotokolle löschen. AnmerkungAlle Benutzer können die Ereignisprotokolle einsehen; um jedoch die Protokolle löschen zu können, muss der Benutzer diese Berechtigungsstufe haben.10 Erweiterte Adapterkonfiguration Für Benutzer gelten keine Einschränkungen beim Konfigurieren des XClarity Controller. Außerdem verfügt der Benutzer über einen Verwaltungszugriff auf den XClarity Controller. Der Benutzer kann folgende erweiterte Funktionen ausführen: Firmwareaktualisierungen, PXE-Netzboot, werkseitige Voreinstellungen für den XClarity Controller wiederherstellen, die Adapterkonfiguration aus einer Konfigurationsdatei ändern und wiederherstellen und den XClarity Controller erneut starten bzw. zurücksetzen. 11 Reserviert Diese Bitposition ist für den künftigen Gebrauch reserviert. Wenn keines der Bits gesetzt ist, hat der Benutzer eine Leseberechtigung. Priorität haben die Anmeldeberechtigungen, die direkt aus dem Benutzersatz abgerufen werden.
Wenn das Anmeldeberechtigungsattribut nicht im Datensatz des Benutzers enthalten ist, wird versucht, die Berechtigungen von den Gruppen abzurufen, zu denen der Benutzer gehört. Dies wird als Teil der Gruppenauthentifizierungsphase ausgeführt. Dem Benutzer wird das inklusive OR aller Bits für alle Gruppen zugewiesen.
Das Bit für den Lesezugriff (Position 2) wird nur gesetzt, wenn alle anderen Bits auf null gesetzt werden. Wenn das Bit für „Nie zulassen“ (Position 0) für eine der Gruppen gesetzt ist, wird dem Benutzer der Zugriff verweigert. Das Bit „Nie zulassen“ (Position 0) hat vor allen anderen Bits Vorrang.
Beachten Sie, dass die Anmeldeberechtigungen, die direkt aus dem Benutzerdatensatz abgerufen werden, Priorität haben. Wenn dem Benutzer in seinem Datensatz kein Anmeldeberechtigungsattribut zugeordnet ist, wird versucht, die Berechtigungen aus den Gruppen abzurufen, denen der Benutzer angehört und die mit dem Gruppenfilter übereinstimmen (sofern konfiguriert). In diesem Fall wird dem Benutzer das inklusive ODER aller Bits für alle Gruppen zugewiesen. Analog dazu wird das Bit Lesezugriff nur gesetzt, wenn alle anderen Bits null sind. Wenn das Bit Nie zulassen für eine seiner Gruppen gesetzt ist, wird dem Benutzer der Zugriff verweigert. Das Bit Nie zulassen hat immer Vorrang vor allen anderen Bits.AnmerkungWenn ein Benutzer allgemeine, netzwerk‑ und/oder sicherheitsbezogene Adapterkonfigurationsparameter ändern darf, sollten Sie erwägen, diesem Benutzer auch die Berechtigung zum Neustarten von XClarity Controller zu erteilen (Bitposition 10). Ohne diese Berechtigung kann der Benutzer zwar Parameter ändern (z. B. die IP-Adresse des Adapters), sie aber nicht in Kraft treten lassen. - Geben Sie in den Active Directory-Einstellungen (wenn der Modus LDAP-Server für Authentifizierung und Erteilung von Berechtigungen verwenden verwendet wird) unter Erweiterte rollenbasierte Sicherheit für Active Directory-Benutzer aktivieren an, ob diese Funktion aktiviert werden soll, oder konfigurieren Sie die Gruppen für lokale Autorisierung (wenn der Modus Nur LDAP-Server für Authentifizierung verwenden (mit lokaler Erteilung von Berechtigungen) verwendet wird).
Erweiterte rollenbasierte Sicherheit für Aktivierung von Active Directory-Benutzern
Falls die Einstellung für erweiterte rollenbasierte Sicherheit aktiviert ist, muss ein frei formatierter Servername konfiguriert werden, der als Zielname für diesen bestimmten XClarity Controller dient. Der Zielname kann mithilfe des Snap-In für rollenbasierte Sicherheit (RBS) einer oder mehreren Rollen auf dem Active Directory-Server zugewiesen werden. Hierzu müssen verwaltete Ziele erstellt, mit spezifischen Namen versehen und dann den entsprechenden Rollen zugewiesen werden. Wenn in diesem Feld ein Name konfiguriert wird, lassen sich somit spezifische Rollen für Benutzer und XClarity Controller (Ziele) definieren, die Mitglieder derselben Rolle sind. Wenn sich ein Benutzer beim XClarity Controller anmeldet und über Active Directory authentifiziert wird, werden aus dem Verzeichnis die Rollen abgerufen, in denen der Benutzer Mitglied ist. Die Berechtigungen für den Benutzer werden aus den Rollen abgeleitet, die als Mitglied ein Ziel haben, das mit einem beliebigen XClarity Controller übereinstimmt oder dessen Name dem hier konfigurierten Namen entspricht. Mehrere XClarity Controller können denselben Zielnamen haben. So können z. B. mehrere XClarity Controller gruppiert und der (bzw. den) gleichen Rolle(n) zugewiesen werden, indem ein einziges verwaltetes Ziel verwendet wird. Umgekehrt gilt, dass jeder XClarity Controller einen eindeutigen Namen erhalten kann.
Gruppen für lokale Autorisierung
Gruppennamen werden konfiguriert, um Spezifikationen für eine lokale Erteilung von Berechtigungen für Benutzergruppen bereitzustellen. Jeder Gruppenname kann Berechtigungen (Rollen) zugewiesen werden, die mit denen in der obigen Tabelle beschriebenen identisch sind. Der LDAP-Server ordnet Benutzer einem Gruppennamen zu. Meldet sich der Benutzer an, werden ihm die mit der jeweiligen Gruppe verknüpften Berechtigungen zugewiesen. Sie können weitere Gruppen konfigurieren, indem Sie auf das Symbol „+“ klicken, bzw. Gruppen löschen, indem Sie auf das „x“-Symbol klicken.