Passa al contenuto principale

Configurazione di LDAP

Utilizzare le informazioni in questo argomento per visualizzare o modificare le impostazioni LDAP di XClarity Controller.

Il supporto LDAP include:
  • Supporto della versione 3 del protocollo LDAP (RFC-2251)
  • Supporto delle API del client LDAP standard (RFC-1823)
  • Supporto della sintassi del filtro di ricerca LDAP standard (RFC-2254)
  • Supporto dell'estensione Lightweight Directory Access Protocol (v3) per Transport Layer Security (RFC-2830)
L'implementazione LDAP supporta i seguenti server LDAP:
  • Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Microsoft Active Directory Application Mode (Windows 2003 Server)
  • Microsoft Lightweight Directory Service (Windows 2008, Windows 2012)
  • Novell eDirectory Server, versione 8.7, 8.8 e 9.4
  • OpenLDAP Server 2.1, 2.2, 2.3 e 2.4

Selezionare la scheda LDAP per visualizzare o modificare le impostazioni LDAP di XClarity Controller.

XClarity Controller permette di autenticare da remoto l'accesso di un utente tramite un server LDAP centrale, in sostituzione o in aggiunta agli account degli utenti locali memorizzati in XClarity Controller. I privilegi possono essere definiti per ogni account utente utilizzando la stringa IBMRBSPermissions. È inoltre possibile utilizzare il server LDAP per assegnare gli utenti ai gruppi ed eseguire l'autenticazione del gruppo, oltre alla normale autenticazione utente (controllo della password). Ad esempio, un XClarity Controller può essere associato a uno o più gruppi, l'utente supererà l'autenticazione del gruppo solo se appartiene almeno a un gruppo associato a XClarity Controller.

Per configurare un server LDAP, effettuare le seguenti operazioni:
  1. In Informazioni sul server LDAP, sono disponibili le seguenti opzioni all'elenco degli elementi:
    • Utilizza il server LDAP solo per l'autenticazione (con autorizzazione locale): se si seleziona questa opzione, XClarity Controller utilizzerà le credenziali soltanto per l'autenticazione presso il server LDAP e per recuperare informazioni sull'appartenenza ai gruppi. I nomi dei gruppi e i privilegi possono essere configurati nella sezione Impostazioni Active Directory.
    • Utilizza il server LDAP per autenticazione e autorizzazione: se si seleziona questa opzione, XClarity Controller utilizzerà le credenziali sia per l'autenticazione presso il server LDAP che per identificare l'autorizzazione di un utente.
    Nota
    I server LDAP da utilizzare per l'autenticazione possono essere configurati manualmente o rilevati in modo dinamico tramite i record SRV del DNS.
    • Usa server preconfigurati: è possibile configurare fino a quattro server LDAP immettendo l'indirizzo IP o il nome host di ciascun server, se DNS è abilitato. Il numero di porta per ciascun server è facoltativo. Se questo campo è lasciato vuoto, per le connessioni LDAP non sicure sarà utilizzato il valore predefinito 389. Per le connessioni sicure, il valore predefinito della porta è 636. È necessario configurare almeno un server LDAP.
    • Usa DNS per trovare i server: è possibile scegliere di rilevare i server LDAP in modo dinamico. I meccanismi descritti in RFC2782 (A DNS RR per specificare l'ubicazione dei servizi) vengono utilizzati per localizzare i server LDAP. Questo metodo è noto come DNS SRV. È necessario specificare un FQDN (Fully Qualified Domain Name, nome di dominio completo) da utilizzare come nome di dominio nella richiesta SRV del DNS.
      • Foresta di AD: in un ambiente con gruppi universali in domini incrociati, il nome della foresta (set di domini) deve essere configurato per rilevare i cataloghi globali richiesti (GC). In un ambiente in cui l'appartenenza al gruppo tra domini non si applica, questo campo può essere lasciato vuoto.
      • Dominio di AD: sarà necessario specificare un FQDN (Fully Qualified Domain Name, nome di dominio completo) da utilizzare come nome di dominio nella richiesta SRV del DNS.
    Se si desidera abilitare il protocollo LDAP sicuro, selezionare la casella di controllo Abilita LDAP sicuro. Per supportare il protocollo LDAP sicuro, è necessario disporre di un certificato SSL valido e aver importato almeno un certificato attendibile del client SSL in XClarity Controller. Il server LDAP deve supportare la versione 1.2 di Transport Layer Security (TLS) per essere compatibile con il client LDAP sicuro XClarity Controller. Per ulteriori informazioni sulla gestione dei certificati, fare riferimento a Gestione dei certificati SSL.
  2. Immettere le informazioni in Parametri aggiuntivi. Di seguito sono riportate le spiegazioni dei parametri.
    Metodo di collegamento
    Prima di poter ricercare o interrogare il server LDAP è necessario inviare una richiesta di collegamento. Questo campo controlla il modo in cui viene eseguito il collegamento iniziale al server LDAP. Sono disponibili i seguenti metodi di collegamento:
    • Nessuna credenziale richiesta

      Utilizzare questo metodo per eseguire il collegamento senza un nome distinto o una password. Questo metodo è fortemente sconsigliato perché la maggior parte dei server sono configurati per non consentire richieste di ricerca sui record di utenti specifici.

    • Usa credenziali configurate

      Utilizzare questo metodo per collegarsi con il DN e la password del client configurati.

    • Usa credenziali di login

      Utilizzare questo metodo per collegarsi con le credenziali fornite durante il processo di login. L'ID utente può essere fornito mediante un nome distinto (DN, Distinguished Name), un DN parziale, un nome di dominio completo o tramite un ID utente che corrisponde all'attributo di ricerca UID configurato su XClarity Controller. Se le credenziali presentate assomigliano a un DN parziale (ad esempio cn=joe), questo DN parziale verrà presentato al DN radice configurato nel tentativo di creare un DN che corrisponda al record dell'utente. Se il tentativo di collegamento non riesce, verrà effettuato un ultimo tentativo anteponendo cn= alle credenziali di login e la stringa risultante al DN radice configurato.

    Se il collegamento iniziale riesce correttamente, verrà eseguita una ricerca per trovare una voce sul server LDAP appartenente all'utente che si sta collegando. Se necessario, verrà effettuato un secondo tentativo di collegamento, questa volta con il DN recuperato dal record LDAP dell'utente e con la password immessa durante il processo di login. Se il secondo tentativo di collegamento non riesce, l'accesso dell'utente verrà negato. Il secondo collegamento viene eseguito solo se vengono utilizzati i metodi di collegamento Credenziali non richieste o Utilizza credenziali configurate.
    Nome distinto (DN) radice
    Questo è il nome distinto (DN) della voce root della struttura di directory sul server LDAP (ad esempio, dn=società,dc=com). Questo DN viene utilizzato come oggetto di base per tutte le richieste di ricerca.
    Attributo di ricerca UID
    Quando il metodo di collegamento è impostato su Credenziali non richieste o su Utilizza credenziali configurate, il collegamento iniziale al server LDAP è seguito da una richiesta di ricerca che recupera informazioni specifiche sull'utente, compreso il DN utente, le autorizzazioni di login e l'appartenenza al gruppo. Questa richiesta di ricerca deve specificare il nome dell'attributo che rappresenta gli ID utente su tale server. Il nome attributo è configurato in questo campo. Su server Active Directory, il nome dell'attributo è di solito sAMAccountName. Su server Novell eDirectory e OpenLDAP, il nome dell'attributo è uid. Se questo campo è lasciato vuoto, il valore predefinito sarà uid.
    Filtro di gruppi
    Il campo Filtro di gruppi è utilizzato per l'autenticazione dei gruppi. L'autenticazione dei gruppi viene tentata una volta verificate le credenziali dell'utente. Se l'autenticazione di un gruppo non riesce, l'accesso dell'utente verrà negato. Se si configura il filtro di un gruppo, questo sarà utilizzato per specificare a quali gruppi appartiene XClarity Controller. Ciò significa che, affinché l'autenticazione del gruppo riesca correttamente, l'utente deve appartenere almeno a uno dei gruppi configurati. Se il campo Filtro di gruppo viene lasciato vuoto, l'autenticazione del gruppo riuscirà automaticamente. Se il filtro di gruppo è configurato, verrà effettuato un tentativo di corrispondenza di almeno un gruppo nell'elenco a un gruppo a cui appartiene l'utente. Se non c'è alcuna corrispondenza, l'autenticazione dell'utente non riesce e viene negato l'accesso. Se invece esiste almeno una corrispondenza, l'autenticazione del gruppo riesce correttamente.
    I confronti sono sensibili al maiuscolo/minuscolo. Il filtro è limitato a 511 caratteri e può essere costituito da uno o più nomi di gruppo. Per delimitare più nomi di gruppi, utilizzare i due punti (:). Gli spazi iniziali e finali vengono ignorati, ma qualsiasi altro spazio viene considerato come parte del nome del gruppo.
    Nota
    Il carattere jolly (*) non è più considerato come tale. Il concetto di carattere jolly non è più supportato per evitare rischi per la sicurezza. Il nome di un gruppo può essere specificato come DN completo oppure utilizzando solo la parte cn . Ad esempio, un gruppo con un DN uguale a cn=adminGroup, dc=mycompany, dc=com può essere specificato utilizzando il DN effettivo o con adminGroup.
    L'appartenenza a gruppi nidificati è supportata solo in ambienti Active Directory. Ad esempio, se un utente è membro del Gruppo A e del Gruppo B e il Gruppo A è a sua volta membro del Gruppo C, l'utente sarà anche membro del Gruppo C. Le ricerche nidificate vengono interrotte una volta utilizzati 128 gruppi nella ricerca stessa. I gruppi in un livello saranno ricercati prima dei gruppi in un livello inferiore. I loop non vengono rilevati.
    Attributo di ricerca gruppi
    In un ambiente Active Directory o Novell eDirectory, il campo Attributo di ricerca gruppi specifica il nome dell'attributo utilizzato per identificare i gruppi ai quali appartiene un utente. In un ambiente Active Directory il nome dell'attributo è memberOf. In un ambiente eDirectory, il nome dell'attributo è groupMembership. In un ambiente server OpenLDAP, gli utenti sono di solito assegnati a gruppi in cui objectClass è uguale a PosixGroup. In questo contesto, questo campo specifica il nome dell'attributo utilizzato per identificare i membri di un determinato PosixGroup. Il nome di questo attributo è memberUid. Se questo campo è lasciato vuoto, il nome dell'attributo nel filtro sarà memberOf.
    Attributo di autorizzazione di login
    Quando un utente viene correttamente autenticato mediante un server LDAP, dovranno essere recuperate le autorizzazioni di login per l'utente. Per recuperare le autorizzazioni di login, il filtro di ricerca inviato al server dovrà specificare il nome dell'attributo associato alle autorizzazioni stesse. Il campo Attributo di autorizzazione di login specifica il nome attributo. Se si utilizza il server LDAP per l'autenticazione e l'autorizzazione, ma questo campo viene lasciato vuoto, all'utente verrà rifiutato l'accesso.
    Il valore dell'attributo restituito dal server LDAP ricercherà la stringa della parola chiave IBMRBSPermissions=. Questa stringa deve essere seguita immediatamente da una stringa di bit immessi come 12 0 (zeri) o 1 consecutivi. Ogni bit rappresenta una serie di funzioni. I bit sono numerati in base alle loro posizioni. Il bit più a sinistra è la posizione bit 0, mentre quello più a destra è la posizione bit 11. Un valore 1 in una determinata posizione abilita la funzione associata a tale posizione. Un valore 0 alla posizione di bit disabilita la funzione associata a tale posizione.
    La stringa IBMRBSPermissions=010000000000 è un esempio valido. La parola chiave IBMRBSPermissions= è utilizzata per consentire il posizionamento in un punto qualsiasi nel campo. Ciò consente all'amministratore LDAP di riutilizzare un attributo esistente, impedendo in questo modo un'estensione allo schema LDAP. Ciò consente anche l'utilizzo dell'attributo per il suo scopo originale. È possibile aggiungere la stringa della parola chiave in un punto qualsiasi del campo. L'attributo che viene utilizzato può consentire una stringa senza formattazione. Quando l'attributo viene recuperato correttamente, il valore restituito dal server LDAP viene interpretato in base alle informazioni riportate nella seguente tabella.
    Tabella 1. Bit di autorizzazione.

    Una tabella con tre colonne contenente le spiegazioni delle posizioni di bit.

    Posizione di bitFunzioneSpiegazione
    0Nega sempreUn utente non verrà mai autenticato. Questa funzione può essere utilizzata per bloccare un determinato utente associato a un determinato gruppo.
    1Accesso supervisoreAll'utente viene assegnato il privilegio da amministratore. L'utente avrà accesso in lettura e scrittura per ogni funzione. Se si imposta questo bit, non sarà necessario impostare singolarmente gli altri bit.
    2Accesso in sola letturaUn utente ha accesso in sola lettura e non potrà eseguire procedure di manutenzione (ad esempio, riavvio, azioni remote o aggiornamenti firmware), né potrà apportare modifiche (ad esempio, funzioni di salvataggio, cancellazione o ripristino). La posizione di bit 2 e tutti gli altri bit si escludono a vicenda, ma la posizione di bit 2 ha una precedenza più bassa. Se è impostato un qualsiasi altro bit, questo bit sarà ignorato.
    3Rete e sicurezzaUn utente può modificare le configurazioni della sicurezza, dei protocolli di rete, dell'interfaccia di rete, delle assegnazioni delle porte e della porta seriale.
    4Gestione account utenteUn utente può aggiungere, modificare o eliminare utenti e modificare le impostazioni globali di login nella finestra Profili di login.
    5Accesso alla console remotaUn utente può accedere alla console del server remoto.
    6Accesso alla console remota e al disco remotoUn utente può accedere alla console del server remoto e alle funzioni del disco remoto per il server remoto.
    7Accesso accensione/riavvio del server remotoUn utente può accedere alle funzioni di accensione e riavvio per il server remoto.
    8Configurazione dell'adattatore di baseUn utente può modificare i parametri di configurazione nelle finestre Impostazioni del sistema e Avvisi.
    9Possibilità di cancellare i log eventiUn utente può cancellare il log di eventi.
    Nota
    Tutti gli utenti possono visualizzare i log di eventi, ma solo l'utente con questo livello di autorizzazione potrà cancellarli.
    10Configurazione avanzata dell'adattatoreUn utente non ha limitazioni per la configurazione di XClarity Controller. Inoltre, l'utente avrà accesso in gestione a XClarity Controller. L'utente potrà utilizzare le seguenti funzioni avanzate: aggiornamenti firmware, avvio di rete PXE, ripristino delle impostazioni predefinite di XClarity Controller, modifica e ripristino della configurazione dell'adattatore da un file di configurazione e riavvio/reimpostazione di XClarity Controller.
    11Riservato

    Questa posizione di bit è riservata per un uso futuro. Se nessuno dei bit è impostato, l'utente avrà autorizzazione di sola lettura. La priorità è data alle autorizzazioni di login che vengono recuperate direttamente dal record utente.

    Se l'attributo di autorizzazione di login non si trova nel record dell'utente, viene effettuato un tentativo di recupero delle autorizzazioni dai gruppi a cui appartiene l'utente. Ciò viene eseguito come parte della fase di autenticazione del gruppo. All'utente viene assegnato l'operatore OR inclusivo di tutti i bit per tutti i gruppi.

    Il bit di accesso di sola lettura (posizione 2) è impostato solo se tutti gli altri bit sono impostati su zero. Se per uno dei gruppi è impostato il bit Nega sempre (posizione 0), all'utente verrà negato l'accesso. Il bit Nega sempre (posizione 0) ha sempre la precedenza su tutti gli altri bit.

    Se nessuno dei bit è impostato, l'utente avrà l'autorizzazione Sola lettura come impostazione predefinita.
    Questa priorità è data alle autorizzazioni di accesso richiamate direttamente dal record utente. Se l'utente non dispone di un attributo di autorizzazione al login nel relativo record, verrà eseguito un tentativo di recupero delle autorizzazioni dai gruppi a cui appartiene l'utente e, se configurato, a cui corrisponde il filtro del gruppo. In questo caso, all'utente verrà assegnato l'operatore OR inclusivo di tutti i bit per tutti i gruppi. Allo stesso modo, il bit Accesso in sola lettura verrà impostato solo se tutti gli altri bit sono zero. Inoltre, se per uno dei gruppi è impostato il bit Nega sempre, all'utente verrà negato l'accesso. Il bit Nega sempre ha la precedenza su tutti gli altri bit.
    Nota
    Se si permette all'utente di modificare le impostazioni di base, di rete e/o di sicurezza correlate ai parametri di configurazione dell'adattatore, si dovrebbe prendere in considerazione la possibilità di consentire allo stesso utente di riavviare XClarity Controller (posizione di bit 10). In caso contrario, senza questa possibilità, un utente potrebbe essere in grado di modificare i parametri (ad esempio, l'indirizzo IP dell'adattatore), ma non di rendere effettive tali modifiche.
  3. Scegliere se abilitare o meno l'opzione Abilita la sicurezza avanzata basata sui ruoli per utenti di Active Directory in Impostazioni Active Directory (se si utilizza la modalità Utilizza il server LDAP per autenticazione e autorizzazione) oppure configurare Gruppi per autorizzazione locale (se si utilizza la modalità Utilizza il server LDAP solo per l'autenticazione (con autorizzazione locale)).
    • Abilitazione della sicurezza avanzata basata sui ruoli per utenti Active Directory

      Se viene abilitata l'impostazione di sicurezza basata sui ruoli avanzata, deve essere configurato un nome server senza formattazione che funga da nome di destinazione per questo specifico XClarity Controller. Il nome di destinazione può essere associato a uno o più ruoli sul server Active Directory mediante uno Snap-in RBS (Role-Based Security). Ciò è possibile creando destinazioni gestite e attribuendo loro nomi specifici, per poi associarle ai ruoli appropriati. Se il nome viene configurato in questo campo, offre la possibilità di definire ruoli specifici per gli utenti e XClarity Controller (destinazioni) membri dello stesso ruolo. Quando un utente esegue il login a XClarity Controller e viene autenticato tramite Active Directory, i ruoli di cui l'utente è un membro vengono recuperati dalla directory. Le autorizzazioni assegnate all'utente vengono estratte dai ruoli che hanno come membro anche una destinazione il cui nome corrisponde a quello configurato qui oppure una destinazione che corrisponde a un qualsiasi XClarity Controller. Più XClarity Controller possono condividere lo stesso nome di destinazione. Questo potrebbe essere utilizzato, per esempio, per raggruppare più XClarity Controller e assegnarli allo stesso ruolo (o agli stessi ruoli) utilizzando una singola destinazione gestita. Viceversa, a ogni XClarity Controller può essere assegnato un nome univoco.

    • Gruppi per autorizzazione locale

      I nomi dei gruppi sono configurati per fornire specifiche di autorizzazione locali per i gruppi di utenti. A ogni nome di gruppo possono essere assegnate autorizzazioni (ruoli) corrispondenti a quanto descritto nella tabella precedente. Il server LDAP associa gli utenti a un nome del gruppo. Al momento del login, a ogni utente vengono assegnate le autorizzazioni associate al gruppo di appartenenza. I gruppi aggiuntivi possono essere configurati facendo clic sull'icona (+) o eliminati facendo clic sull'icona (x).