Configuration LDAP
Les informations de cette rubrique vous indiquent comment afficher ou modifier les paramètres LDAP de XClarity Controller.
- Prise en charge pour la version de protocole LDAP 3 (RFC-2251)
- Prise en charge pour le client LDAP standard API (RFC-1823)
- Prise en charge pour la syntaxe de filtre recherche LDAP standard (RFC-2254)
- Prise en charge pour l'extension de Lightweight Directory Access Protocol (v3) pour le Transport Layer Security (RFC-2830)
- Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Microsoft Active Directory Application Mode (Windows 2003 Server)
- Microsoft Lightweight Directory Service (Windows 2008, Windows 2012)
- Serveur Novell eDirectory, version 8.7, 8.8 et 9.4
- Serveur OpenLDAP 2.1, 2.2, 2.3 et 2.4
Cliquez sur l'onglet LDAP pour afficher ou modifier les paramètres LDAP de XClarity Controller.
XClarity Controller peut authentifier à distance l'accès d'un utilisateur via un serveur LDAP central, ou en plus des comptes utilisateur locaux qui sont stockés dans XClarity Controller lui-même. Des privilèges peuvent être désignés pour chaque compte utilisateur à l'aide de la chaîne IBMRBSPermissions. Vous pouvez aussi utiliser le serveur LDAP pour affecter des utilisateurs à des groupes et effectuer une authentification de groupe, en plus de l'authentification utilisateur (vérification de mot de passe) normale. Par exemple, XClarity Controller peut être associé à un ou plusieurs groupes, l'utilisateur réussit l'authentification de groupe uniquement s'il appartient à au moins un groupe qui est associé à XClarity Controller.
- Sous Informations du serveur LDAP, les options suivantes sont disponibles dans la liste d'éléments :
- Utiliser le serveur LDAP pour l'authentification uniquement (avec autorisation) : Cette sélection permet d'indiquer à XClarity Controller d'utiliser les données d'identification uniquement pour s'authentifier auprès du serveur LDAP et pour extraire les informations d'appartenance de membre au groupe. Les noms de groupe et les privilèges peuvent être configurés dans la section Paramètres d'Active Directory.
- Utiliser le serveur LDAP pour l'authentification et l'autorisation : cette section permet d'indiquer à XClarity Controller d'utiliser les données d'identification à la fois pour s'authentifier auprès du serveur LDAP et pour identifier les autorisations de l'utilisateur.
RemarqueLes serveurs LDAP à utiliser pour l'authentification peuvent être configurés manuellement ou détectés de manière dynamique via des enregistrements SRV DNS.- Utiliser des serveurs préconfigurés : Vous pouvez configurer jusqu'à quatre serveurs LDAP en entrant l'adresse IP ou le nom d'hôte de chaque serveur IP si DNS est activé. Le numéro de port de chaque serveur est facultatif. Si cette zone est laissée vide, la valeur par défaut 389 est utilisée pour les connexions LDAP non sécurisées. Pour les connexions sécurisées, la valeur de port par défaut est 636. Vous devez configurer au moins un serveur LDAP.
- Utiliser DNS pour rechercher des serveurs : Vous pouvez choisir de détecter le ou les serveurs LDAP de manière dynamique. Les mécanismes décrits dans RFC2782 (A DNS RR pour l'indication de l'emplacement des services) permettent de localiser le ou les serveurs LDAP. Il s’agit du SRV DNS. Vous devez spécifier un nom FQDN à utiliser comme nom de domaine dans la demande SRV DNS.
- Forêt AD : dans un environnement avec des groupes universels communs à plusieurs domaines, le nom de la forêt (ensemble de domaines) doit être configuré pour reconnaître les catalogues globaux (GC) requis. Dans un environnement où l'appartenance à un groupe commun à plusieurs domaines ne s'applique pas, cette zone peut rester vide.
- Domaine AD : vous devez spécifier un nom de domaine qualifié complet (FQDN) à utiliser comme nom de domaine dans la demande SRV DNS.
- Renseignez les information sous Paramètres supplémentaires. Les paramètres sont décrits ci-dessous.
- Méthode de liaison
- Avant d'effectuer une recherche ou d'interroger le serveur LDAP, vous devez envoyer une demande de liaison. Cette zone contrôle la façon dont cette liaison initiale au serveur LDAP est réalisée. Les méthodes de liaison suivantes sont disponibles :
- Aucunes données d’identification requises
Utilisez cette méthode pour effectuer une liaison sans nom distinctif ou mot de passe. Cette méthode est fortement déconseillée car la plupart des serveurs sont configurés de sorte à ne pas autoriser les demandes de recherche sur des enregistrements d'utilisateurs spécifiques.
- Utiliser les données d'identification configurées
Utilisez cette méthode pour effectuer une liaison avec le DN et le mot de passe du client configuré.
- Utiliser les données d'identification de connexion
Utilisez cette méthode pour effectuer une liaison avec les données d'identification fournies au cours du processus de connexion. L'ID utilisateur peut être fourni via un nom distinctif (DN), un DN partiel, un nom de domaine qualifié complet ou via un ID utilisateur qui correspond à l'attribut de recherche UID qui est configuré dans XClarity Controller. Si les données d'identification présentées ressemblent à un nom distinctif partiel (par exemple, cn=joe), celui-ci sera apposé en préfixe au nom distinctif racine configuré afin de tenter de créer un nom distinctif correspondant à l'enregistrement de l'utilisateur. Si la tentative de liaison échoue, une tentative finale sera effectuée en ajoutant le préfixe cn= aux données d'identification de connexion, puis en ajoutant la chaîne résultante au nom distinctif racine configuré.
- Aucunes données d’identification requises
- Nom distinctif racine
- Il s'agit du nom distinctif (DN) de l'entrée racine de l'arborescence de répertoires sur le serveur LDAP (par exemple, dn=mycompany,dc=com). Ce nom distinctif est utilisé comme objet de base pour toutes les demandes de recherche.
- Attribut de recherche UID
- Lorsque la méthode de liaison est définie sur Aucune donnée d'identification requise ou Utiliser des données d'identification configurées, la liaison initiale vers le serveur LDAP est suivie d'une demande de recherche qui extrait des informations spécifiques sur l'utilisateur, y compris son nom distinctif, ses droits de connexion et son appartenance à un groupe. Cette demande de recherche doit spécifier le nom d'attribut représentant les ID d'utilisateur sur ce serveur. Ce nom d'attribut est configuré dans cette zone. Sur les serveurs Active Directory, le nom d'attribut est normalement sAMAccountName. Sur les serveurs Novell eDirectory et OpenLDAP, le nom d'attribut est uid. Si cette zone est laissée vide, la valeur par défaut est uid.
- Filtre de groupe
- La zone Filtre de groupe est utilisée pour l'authentification des groupes. L'authentification de groupe est tentée une fois que la vérification des données d'identification de l'utilisateur a été réalisée avec succès. Si l'authentification de groupe échoue, la tentative de connexion de l'utilisateur est refusée. Lorsque le filtre de groupe est configuré, il est utilisé pour spécifier à quels groupes XClarity Controller appartient. Cela signifie que l'utilisateur doit appartenir au moins à l'un des groupes configurés pour que l'authentification de groupe réussisse. Si la zone Filtre de groupe est laissée vide, l'authentification de groupe réussit automatiquement. Si le filtre de groupe est configuré, le système vérifie si au moins un groupe de la liste correspond à l'un des groupes auxquels l'utilisateur appartient. S'il n'y a pas de groupe concordant, l'authentification de l'utilisateur échoue et l'accès est refusé. Si au moins une concordance est trouvée, l'authentification de groupe réussit.
- Attribut de recherche de groupe
- Dans un environnement Active Directory ou Novell eDirectory, la zone Attribut de recherche de groupe spécifie le nom d'attribut utilisé pour identifier les groupes auxquels un utilisateur appartient. Dans un environnement Active Directory, le nom d'attribut est memberOf. Dans un environnement eDirectory, le nom d'attribut est groupMembership. Dans un environnement de serveur OpenLDAP, les utilisateurs sont généralement affectés aux groupes pour lesquels objectClass correspond à PosixGroup. Dans ce contexte, cette zone spécifie le nom d'attribut utilisé pour identifier les membres d'un groupe PosixGroup particulier. Ce nom d'attribut est memberUid. Si cette zone est laissée vide, le nom d'attribut du filtre correspond par défaut à memberOf.
- Attribut d'autorisation de connexion
- Lorsqu'un utilisateur s'authentifie avec succès à travers un serveur LDAP, les droits de connexion de l'utilisateur doivent être récupérés. Pour récupérer les droits de connexion, le filtre de recherche envoyé au serveur doit indiquer le nom d'attribut associé aux droits de connexion. Le champ Attribut d’autorisation de connexion indique le nom d’attribut. Si vous utilisez le serveur LDAP pour l’authentification et l’autorisation, mais que ce champ est laissé vide, l’utilisateur se voit refuser l’accès.
Si aucun des bits n'est défini, la valeur par défaut est définie sur Lecture seule pour l'utilisateur.Tableau 1. Bits d'autorisation. Tableau à trois colonnes contenant des explications sur les positions de bit.
Position de bit Fonction Explication 0 Refuser toujours L'authentification de l'utilisateur échoue toujours. Cette fonction peut être utilisée pour bloquer un ou plusieurs utilisateurs associés à un groupe spécifique. 1 Accès superviseur L'utilisateur obtient les privilèges d'administrateur. L'utilisateur dispose d'un accès en lecture et écriture à chaque fonction. Si vous définissez ce bit, vous n'avez pas à définir individuellement les autres. 2 Accès en lecture seule L'utilisateur dispose d'un accès en lecture seule et ne peut pas exécuter de procédures de maintenance (par exemple, un redémarrage, des actions à distance ou des mises à jour de microprogramme) ni effectuer de modifications (par exemple, les fonctions de sauvegarde, suppression ou restauration). La position de bit 2 et tous les autres bits s'excluent mutuellement, la position de bit 2 étant celle avec la plus faible priorité. Si un autre bit est défini, ce bit sera ignoré. 3 Réseaux et sécurité L'utilisateur peut modifier la configuration des pages Sécurité, Protocoles réseau, Interface réseau, Affectations des ports et Port série. 4 Gestion de compte utilisateur L'utilisateur peut ajouter, modifier ou supprimer des utilisateurs et modifier les paramètres de connexion globaux (Paramètres de connexion globaux) dans la fenêtre Profils de connexion. 5 Accès console distante L'utilisateur peut accéder à la console du serveur distant. 6 Accès console distante et disques distants L'utilisateur peut accéder à la console du serveur distant et aux fonctions de disque distant du serveur distant. 7 Démarrage serveur distant/Accès redémarrage L'utilisateur peut accéder aux fonctions de mise sous tension et de redémarrage du serveur distant. 8 Configuration de base de l'adaptateur L'utilisateur peut modifier les paramètres de configuration dans les fenêtres Paramètres système et Alertes. 9 Possibilité d'effacer les journaux d'événements L'utilisateur peut effacer les journaux d'événements. RemarqueTous les utilisateurs peuvent afficher les journaux des événements mais ce niveau d'autorisation est requis pour pouvoir effacer leur contenu.10 Configuration avancée de l'adaptateur L'utilisateur n'est soumis à aucune restriction lorsqu'il configure XClarity Controller. De plus, il possède les droits d'accès administrateur à XClarity Controller. L'utilisateur peut exécuter les fonctions avancées suivantes : mises à jour de microprogramme, amorçage réseau PXE, restauration des paramètres usine par défaut de XClarity Controller, modification et restauration de la configuration de l'adaptateur depuis un fichier de configuration et redémarrage/réinitialisation de XClarity Controller. 11 Réservé Cette position de bit est réservée pour un usage ultérieur. Si aucun bit n'est défini, l'utilisateur obtient les droits de lecture seule. Le système donne la priorité aux droits de connexion récupérés directement de l'enregistrement utilisateur.
Si l'attribut d'autorisation de connexion ne figure pas dans l'enregistrement utilisateur, le système tente de récupérer les droits des groupes auxquels l'utilisateur appartient. Ceci fait partie de la phase d'authentification de groupe. L'utilisateur reçoit l'opérateur inclusif OR de tous les bits pour tous les groupes.
Le bit Accès en lecture seule (position 2) est uniquement défini si tous les autres bits sont définis sur zéro. Si le bit Refuser toujours (position 0) est défini pour l'un des groupes, l'accès est refusé à l'utilisateur. Le bit Refuser toujours (position 0) prévaut toujours sur les autres.
Veuillez noter que le système donne la priorité aux droits de connexion récupérés directement de l'enregistrement utilisateur. Si l'utilisateur ne dispose pas de la permission de connexion dans son enregistrement, le système tente d'extraire les autorisations du(des) groupe(s) au(x)quel(s) appartient l'utilisateur et, si configuré, qui corresponde(nt) au filtre de groupe. Dans ce cas, l'utilisateur recevra l'opérateur inclusif OR de tous les bits pour tous ceux des groupes. De même, le bit Accès en lecture seule sera défini uniquement si tous les autres bits correspondent à 0. Notez également que si le bit Refuser toujours est défini pour l'un des groupes, l'accès sera refusé à l'utilisateur. Le bit Refuser toujours a toujours priorité sur les autres bits.RemarqueSi l'autorisation de modifier les paramètres de configuration de base, de réseau et/ou de sécurité de l'adaptateur est accordée à l'utilisateur, vous devriez envisager d'autoriser ce même utilisateur à redémarrer XClarity Controller (bit de position 10). Sans cette autorisation, l'utilisateur pourra modifier des paramètres (par exemple, l'adresse IP de l'adaptateur), mais sans qu'ils ne prennent effet. - Indiquez s'il est nécessaire ou non d'Activer la sécurité étendue basée sur les rôles pour les utilisateurs Active Directory sous Paramètres d'Active Directory (si le mode Utiliser le serveur LDAP pour l'authentification et l'autorisation est utilisé), ou configurez les Groupes pour autorisation locale : (si le mode Utiliser le serveur LDAP pour l'authentification uniquement (avec autorisation locale) est utilisé).
Activer la sécurité étendue basée sur les rôles pour les utilisateurs Active Directory :
Si le paramètre de sécurité étendue basée sur les rôles est activé, un nom de serveur au format libre doit être configuré pour agir en tant que nom cible pour ce XClarity Controller en particulier. Le nom cible peut être associé à un ou plusieurs rôles sur le serveur Active Directory via un composant logiciel enfichable RBS (Role Based Security). Cette opération peut être effectuée en créant des cibles gérées et en leur attribuant des noms spécifiques, puis en les associant aux rôles appropriés. Si un nom est configuré dans ce champ, il octroie l'autorisation de définir des rôles spécifiques pour les utilisateurs et contrôleurs XClarity Controller (cibles) membres du même rôle. Lorsqu'un utilisateur se connecte à XClarity Controller et est authentifié via Active Directory, les rôles dont l'utilisateur est membre sont extraits de l'annuaire. Les autorisations qui sont attribuées à l'utilisateur sont extraites des rôles ayant également en tant que membre une cible dont le nom de serveur correspond à celui configuré ici, ou à une cible correspondant à XClarity Controller. Plusieurs XClarity Controller peuvent avoir le même nom cible. Ceci peut être utilisé, par exemple, pour regrouper plusieurs XClarity Controller et les affecter au(x) même(s) rôle(s) en utilisant une cible gérée unique (identifiée via un nom de cible unique). Inversement, chaque XClarity Controller peut avoir un nom unique.
Groupes pour autorisation locale
Les noms de groupe sont configurés afin de fournir des spécifications d'autorisation locale pour des groupes d'utilisateurs. Des droits (rôles) peuvent être affectés à chaque nom de groupe, qui sont identiques à ceux décrits dans le tableau ci-dessous. Le serveur LDAP associe les utilisateurs avec un nom de groupe. Lorsque l’utilisateur se connecte, les droits qui lui sont affectés sont associés au groupe auquel appartient l’utilisateur. Des groupes supplémentaires peuvent être configurés en cliquant sur l'icône « + » ou supprimés en cliquant sur l'icône « x ».