การกำหนดค่า LDAP
ใช้ข้อมูลในหัวข้อนี้เพื่อดูหรือเปลี่ยนการตั้งค่า LDAP ของ XClarity Controller
- การสนับสนุนสำหรับโปรโตคอล LDAP เวอร์ชัน 3 (RFC-2251)
- การสนับสนุนสำหรับ API มาตรฐานของไคลเอ็นต์ LDAP (RFC-1823)
- การสนับสนุนสำหรับรูปแบบคำสั่งตัวกรองการค้นหา LDAP มาตรฐาน (RFC-2254)
- การสนับสนุนสำหรับ Lightweight Directory Access Protocol (v3) Extension สำหรับ Transport Layer Security (RFC-2830)
- Microsoft Active Directory ( Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Microsoft Active Directory Application Mode (Windows 2003 Server)
- Microsoft Lightweight Directory Service (Windows 2008, Windows 2012)
- เซิร์ฟเวอร์ Novell eDirectory เวอร์ชัน 8.7, 8.8 และ 9.4
- เซิร์ฟเวอร์ OpenLDAP 2.1, 2.2, 2.3 และ 2.4
คลิกแท็บ LDAP เพื่อดูหรือแก้ไขการตั้งค่า LDAP ของ XClarity Controller
XClarity Controller สามารถตรวจสอบการเข้าถึงของผู้ใช้จากระยะไกลผ่านเซิร์ฟเวอร์ LDAP แทนหรือเพิ่มเติมจากบัญชีผู้ใช้ภายในที่จัดเก็บไว้ในตัวของ XClarity Controller เอง สามารถกำหนดสิทธิพิเศษให้กับบัญชีผู้ใช้แต่ละบัญชีโดยใช้สตริง IBMRBSPermissions คุณยังสามารถใช้เซิร์ฟเวอร์ LDAP ในการกำหนดผู้ใช้ให้กับกลุ่มและตรวจสอบความถูกต้องเป็นกลุ่ม นอกเหนือจากการตรวจสอบความถูกต้องของผู้ใช้ตามปกติ (การตรวจสอบรหัสผ่าน) ตัวอย่างเช่น คุณสามารถเชื่อมโยง XClarity Controller กับกลุ่มอย่างน้อยหนึ่งกลุ่ม ผู้ใช้จะผ่านการตรวจสอบความถูกต้องเป็นกลุ่มก็ต่อเมื่อผู้ใช้อยู่ในกลุ่มที่เชื่อมโยงกับ XClarity Controller อย่างน้อยหนึ่งกลุ่ม
- ภายใต้ ข้อมูลเซิร์ฟเวอร์ LDAP จะมีตัวเลือกจากรายการดังต่อไปนี้:
- ใช้เซิร์ฟเวอร์ LDAP สำหรับการตรวจสอบความถูกต้องเท่านั้น (พร้อมการอนุญาตภายใน): การเลือกนี้จะกำหนดให้ XClarity Controller ใช้ข้อมูลประจำตัวเฉพาะในการตรวจสอบเซิร์ฟเวอร์ LDAP และรับข้อมูลความเป็นสมาชิกของกลุ่ม คุณสามารถกำหนดชื่อและสิทธิพิเศษของกลุ่มในส่วนการตั้งค่า Active Directory
- ใช้เซิร์ฟเวอร์ LDAP สำหรับการตรวจสอบความถูกต้องและการอนุญาต: การเลือกนี้จะกำหนดให้ XClarity Controller ใช้ข้อมูลประจำตัวทั้งในการตรวจสอบเซิร์ฟเวอร์ LDAP และระบุสิทธิ์ของผู้ใช้
หมายเหตุคุณสามารถกำหนดค่าเซิร์ฟเวอร์ LDAP ที่จะใช้สำหรับการตรวจสอบความถูกต้องได้ด้วยตนเอง หรือค้นหาผ่านระเบียน DNS SRV แบบไดนามิก- ใช้เซิร์ฟเวอร์ที่กำหนดค่าไว้ล่วงหน้า: คุณสามารถกำหนดค่าเซิร์ฟเวอร์ LDAP สูงสุดสี่เซิร์ฟเวอร์โดยป้อนที่อยู่ IP หรือชื่อโฮสต์ของแต่ละเซิร์ฟเวอร์ หากเปิดใช้งาน DNS หมายเลขพอร์ตสำหรับแต่ละเซิร์ฟเวอร์จะระบุหรือไม่ก็ได้ หากฟิลด์นี้เว้นว่างไว้ ระบบจะใช้ค่าเริ่มต้นที่ 389 สำหรับการเชื่อมต่อ LDAP ที่ไม่มีการรักษาความปลอดภัย สำหรับการเชื่อมต่อที่มีการรักษาความปลอดภัย ค่าพอร์ตเริ่มต้นคือ 636 คุณต้องกำหนดค่าเซิร์ฟเวอร์ LDAP อย่างน้อยหนึ่งเซิร์ฟเวอร์
- ใช้ DNS เพื่อค้นหาเซิร์ฟเวอร์: คุณสามารถเลือกค้นหาเซิร์ฟเวอร์ LDAP แบบไดนามิก กลไกที่อธิบายใน RFC2782 (DNS RR สำหรับระบุตำแหน่งที่ตั้งของบริการ) จะใช้ในการค้นหาเซิร์ฟเวอร์ LDAP ซึ่งเรียกว่า DNS SRV คุณต้องระบุชื่อโดเมนที่มีคุณสมบัติครบถ้วน (FQDN) ที่จะใช้เป็นชื่อโดเมนในคำขอ DNS SRV
- ฟอเรสต์ AD: ในสภาพแวดล้อมที่มีกลุ่มสากลข้ามโดเมน ต้องกำหนดค่าชื่อฟอเรสต์ (ชุดโดเมน) เพื่อค้นหา Global Catalogs (GC) ที่ต้องการ ในสภาพแวดล้อมที่ไม่มีการสมัครสมาชิกกลุ่มข้ามโดเมน ฟิลด์นี้สามารถเว้นว่างไว้ได้
- โดเมน AD: คุณต้องระบุชื่อโดเมนที่มีคุณสมบัติครบถ้วน (FQDN) ที่จะใช้เป็นชื่อโดเมนในคำขอ DNS SRV
- กรอกข้อมูลภายใต้ พารามิเตอร์เพิ่มเติม ด้านล่างนี้คือคำอธิบายของพารามิเตอร์
- วิธีการ Binding
- ก่อนที่คุณจะสามารถค้นหาหรือสืบค้นเซิร์ฟเวอร์ LDAP คุณต้องส่งคำขอสำหรับการผูก ฟิลด์นี้จะควบคุมวิธีการดำเนินการผูกเริ่มต้นกับเซิร์ฟเวอร์ LDAP วิธีการผูกมีดังต่อไปนี้:
- ไม่จำเป็นต้องใช้ข้อมูลประจำตัว
ใช้วิธีนี้ในการผูกโดยไม่ต้องมีชื่อที่ใช้ระบุ (DN) หรือรหัสผ่าน ไม่แนะนำให้ใช้วิธีนี้เนื่องจากเซิร์ฟเวอร์ส่วนใหญ่ได้รับการกำหนดค่าไม่ให้อนุญาตคำขอค้นหาบนระเบียนผู้ใช้ที่เฉพาะเจาะจง
- ใช้ข้อมูลประจำตัวที่กำหนดค่า
ใช้วิธีนี้ในการผูกกับ DN ของไคลเอ็นต์หรือรหัสผ่านที่กำหนดค่า
- ใช้ข้อมูลประจำตัวสำหรับการเข้าสู่ระบบ
ใช้วิธีนี้ในการผูกกับข้อมูลประจำตัวที่ให้มาระหว่างขั้นตอนการเข้าสู่ระบบ สามารถระบุ ID ผู้ใช้ผ่าน DN, DN บางส่วน, ชื่อโดเมนที่มีคุณสมบัติครบถ้วน หรือผ่าน ID ผู้ใช้ที่ตรงกับแอตทริบิวต์การค้นหา UID ที่ได้รับการกำหนดค่าบน XClarity Controller หากข้อมูลประจำตัวที่ปรากฏคล้ายคลึงกับ DN บางส่วน (เช่น cn=joe) DN บางส่วนนี้จะขึ้นต้นด้วย DN รูทที่กำหนดค่าในความพยายามที่จะสร้าง DN ที่ตรงกับระเบียนของผู้ใช้ หากความพยายามในการผูกล้มเหลว ระบบจะดำเนินความพยายามครั้งสุดท้ายเพื่อทำการผูกโดยเติม cn= นำหน้าข้อมูลประจำตัวสำหรับการเข้าสู่ระบบ และเติมสตริงผลลัพธ์นำหน้า DN รูทที่กำหนดค่า
- ไม่จำเป็นต้องใช้ข้อมูลประจำตัว
- ชื่อที่ใช้ระบุรูท (DN)
- นี่คือชื่อที่ใช้ระบุ (DN) ของรายการรูทของโครงสร้างไดเรกทอรีบนเซิร์ฟเวอร์ LDAP (ตัวอย่างเช่น dn=mycompany,dc=com) DN นี้จะใช้เป็นออบเจกต์ฐานสำหรับคำขอค้นหาทั้งหมด
- แอตทริบิวต์การค้นหา UID
- เมื่อตั้งค่าวิธีการผูกเป็น ไม่จำเป็นต้องใช้ข้อมูลประจำตัว หรือ ใช้ข้อมูลประจำตัวที่กำหนดค่า การผูกกับเซิร์ฟเวอร์ LDAP เริ่มต้นจะตามด้วยคำขอการค้นหาที่เรียกใช้ข้อมูลเฉพาะเกี่ยวกับผู้ใช้ รวมถึง DN ของผู้ใช้ สิทธิ์การเข้าสู่ระบบ และสมาชิกกลุ่ม คำขอค้นหานี้ต้องระบุชื่อแอตทริบิวต์ที่แสดงแทน ID ผู้ใช้บนเซิร์ฟเวอร์ ชื่อแอตทริบิวต์นี้ได้รับการกำหนดค่าในฟิลด์นี้ บนเซิร์ฟเวอร์ Active Directory โดยปกติแล้ว ชื่อแอตทริบิวต์คือ sAMAccountName บนเซิร์ฟเวอร์ Novell eDirectory และ OpenLDAP ชื่อแอตทริบิวต์คือ uid หากฟิลด์นี้เว้นว่างไว้ ค่าเริ่มต้นคือ uid
- ตัวกรองกลุ่ม
- ฟิลด์ ตัวกรองกลุ่ม จะใช้สำหรับการตรวจสอบความถูกต้องเป็นกลุ่ม ระบบจะพยายามทำการตรวจสอบความถูกต้องเป็นกลุ่มหลังจากมีการตรวจสอบข้อมูลประจำตัวของผู้ใช้เสร็จสิ้นแล้ว หากการตรวจสอบความถูกต้องเป็นกลุ่มล้มเหลว ความพยายามของผู้ใช้ในการเข้าสู่ระบบจะถูกปฏิเสธ เมื่อมีการกำหนดค่าตัวกรองกลุ่ม ตัวกรองจะใช้ระบุว่า XClarity Controller อยู่ในกลุ่มใด นั่นหมายความว่าการดำเนินการนี้จะสำเร็จได้ก็ต่อเมื่อผู้ใช้ต้องอยู่ในกลุ่มที่ได้รับการกำหนดค่าสำหรับการตรวจสอบความถูกต้องเป็นกลุ่มอย่างน้อยหนึ่งกลุ่ม หากฟิลด์ ตัวกรองกลุ่ม เว้นว่างไว้ การตรวจสอบความถูกต้องเป็นกลุ่มจะสำเร็จโดยอัตโนมัติ หากกำหนดค่าตัวกรองกลุ่ม ระบบจะพยายามจับคู่กลุ่มในรายการอย่างน้อยหนึ่งกลุ่มกับกลุ่มที่ผู้ใช้อยู่ หากไม่มีกลุ่มที่ตรงกัน ผู้ใช้จะไม่สามารถตรวจสอบความถูกต้องและการเข้าถึงจะถูกปฏิเสธ หากมีกลุ่มที่ตรงกันอย่างน้อยหนึ่งกลุ่ม การตรวจสอบความถูกต้องเป็นกลุ่มจะเสร็จสมบูรณ์
- แอตทริบิวต์การค้นหากลุ่ม
- ในสภาพแวดล้อม Active Directory หรือ Novell eDirectory ฟิลด์ แอตทริบิวต์การค้นหากลุ่ม จะระบุชื่อแอตทริบิวต์ที่ใช้ในการระบุกลุ่มที่ผู้ใช้อยู่ ในสภาพแวดล้อม Active Directory ชื่อแอตทริบิวต์คือ memberOf ในสภาพแวดล้อม eDirectory ชื่อแอตทริบิวต์คือ groupMembership ในสภาพแวดล้อมของเซิร์ฟเวอร์ OpenLDAP โดยปกติแล้ว ผู้ใช้จะถูกกำหนดไปยังกลุ่มที่มี objectClass เท่ากับ PosixGroup ในบริบทดังกล่าว ฟิลด์นี้จะระบุชื่อแอตทริบิวต์ที่ใช้ในการระบุสมาชิกของ PosixGroup โดยเฉพาะ ชื่อแอตทริบิวต์นี้คือ memberUid หากฟิลด์นี้เว้นว่างไว้ ชื่อแอตทริบิวต์ในตัวกรองจะกลับไปเป็น memberOf ตามค่าเริ่มต้น
- แอตทริบิวต์สิทธิ์การเข้าใช้งาน
- เมื่อผู้ใช้ได้รับการตรวจสอบความถูกต้องผ่านเซิร์ฟเวอร์ LDAP เสร็จสมบูรณ์แล้ว ต้องเรียกใช้สิทธิ์การเข้าสู่ระบบสำหรับผู้ใช้ ในการเรียกใช้สิทธิ์การเข้าสู่ระบบ ตัวกรองการค้นหาที่ส่งไปยังเซิร์ฟเวอร์ต้องระบุชื่อแอตทริบิวต์ที่เกี่ยวข้องกับสิทธิ์การเข้าสู่ระบบ ฟิลด์ แอตทริบิวต์สิทธิ์การเข้าสู่ระบบ จะระบุชื่อแอตทริบิวต์ หากใช้เซิร์ฟเวอร์ LDAP สำหรับการตรวจสอบสิทธิ์และการอนุญาต แต่ฟิลด์นี้เว้นว่างไว้ ผู้ใช้จะถูกปฏิเสธการเข้าถึง
หากไม่มีการตั้งค่าบิต ระบบจะตั้งค่าเริ่มต้นเป็น อ่านอย่างเดียว ให้กับผู้ใช้ตารางที่ 1. บิตที่อนุญาต. ตารางสามคอลัมน์ที่มีคำอธิบายเกี่ยวกับตำแหน่งบิต
ตำแหน่งบิต ฟังก์ชัน คำอธิบาย 0 ปฏิเสธเสมอ ผู้ใช้จะไม่ผ่านการตรวจสอบความถูกต้องเสมอ สามารถใช้ฟังก์ชันนี้เพื่อบล็อกผู้ใช้เฉพาะราย หรือผู้ใช้ที่เกี่ยวข้องกับกลุ่มๆ หนึ่งโดยเฉพาะ 1 สิทธิ์การเข้าถึงระดับผู้ควบคุม ผู้ใช้ได้รับสิทธิพิเศษของผู้ดูแลระบบ ผู้ใช้มีสิทธิ์เข้าถึงทุกฟังก์ชันแบบอ่าน/เขียน หากคุณตั้งค่าบิตนี้ คุณไม่ต้องตั้งค่าบิตอื่นๆ แต่ละบิต 2 สิทธิ์การเข้าถึงแบบอ่านอย่างเดียว ผู้ใช้มีสิทธิ์การเข้าถึงแบบอ่านอย่างเดียว และไม่สามารถดำเนินการกระบวนการบำรุงรักษา (ตัวอย่างเช่น รีสตาร์ท การดำเนินการระยะไกล หรือการอัปเดตเฟิร์มแวร์) หรือทำการแก้ไข (ตัวอย่างเช่น บันทึก ล้างข้อมูล หรือคืนค่าฟังก์ชัน) ตำแหน่งบิตที่ 2 และบิตอื่นๆ ทั้งหมดจะไม่เกิดขึ้นพร้อมกัน โดยที่ตำแหน่งบิตที่ 2 มีลำดับความสำคัญต่ำสุด เมื่อตั้งค่าบิตอื่นๆ ทั้งหมด บิตนี้จะถูกละทิ้ง 3 การเชื่อมโยงเครือข่ายและการรักษาความปลอดภัย ผู้ใช้สามารถแก้ไขการรักษาความปลอดภัย โปรโตคอลเครือข่าย อินเทอร์เฟซเครือข่าย การกำหนดพอร์ต และการกำหนดค่าพอร์ตอนุกรม 4 การจัดการบัญชีผู้ใช้ ผู้ใช้สามารถเพิ่ม แก้ไข หรือลบผู้ใช้ รวมทั้งเปลี่ยนการตั้งค่าการเข้าสู่ระบบแบบส่วนกลางในหน้าต่างโปรไฟล์การเข้าสู่ระบบ 5 การเข้าถึงคอนโซลระยะไกล ผู้ใช้สามารถเข้าถึงคอนโซลเซิร์ฟเวอร์ระยะไกลได้ 6 การเข้าถึงคอนโซลระยะไกลและดิสก์ระยะไกล ผู้ใช้สามารถเข้าถึงคอนโซลเซิร์ฟเวอร์ระยะไกลและฟังก์ชันของดิสก์ระยะไกลสำหรับเซิร์ฟเวอร์ระยะไกล 7 การเข้าถึงการเปิด/รีสตาร์ทเซิร์ฟเวอร์จากระยะไกล ผู้ใช้สามารถเข้าถึงฟังก์ชันการเปิดเครื่องและรีสตาร์ทเซิร์ฟเวอร์จากระยะไกล 8 การกำหนดค่าอะแดปเตอร์พื้นฐาน ผู้ใช้สามารถแก้ไขพารามิเตอร์การกำหนดค่าในหน้าต่าง System Settings และ Alerts 9 ความสามารถในการล้างข้อมูลบันทึกเหตุการณ์ ผู้ใช้สามารถล้างข้อมูลบันทึกเหตุการณ์ หมายเหตุผู้ใช้ทุกรายสามารถดูบันทึกเหตุการณ์ได้ แต่จะต้องมีสิทธิ์ในระดับนี้จึงจะล้างข้อมูลบันทึกเหตุการณ์ได้10 การกำหนดค่าอะแดปเตอร์ขั้นสูง ผู้ใช้ไม่มีข้อจำกัดเมื่อกำหนดค่า XClarity Controller นอกจากนี้ ผู้ใช้จะมีสิทธิ์การเข้าถึงด้านการดูแลเพื่อใช้งาน XClarity Controller ผู้ใช้สามารถดำเนินการฟังก์ชันขั้นสูงดังไปนี้: อัปเกรดเฟิร์มแวร์, บูตเครือข่าย PXE, คืนค่า XClarity Controller เป็นค่าเริ่มต้นจากโรงงาน, แก้ไขและคืนค่าการกำหนดค่าอะแดปเตอร์จากไฟล์การกำหนดค่า และรีสตาร์ทและรีเซ็ต XClarity Controller 11 สงวนไว้ ตำแหน่งบิตนี้สงวนไว้สำหรับการใช้งานในอนาคต หากไม่มีการตั้งค่าบิต ผู้ใช้จะมีสิทธิ์แบบอ่านอย่างเดียว ระบบจะให้ความสำคัญกับสิทธิ์การเข้าสู่ระบบที่เรียกใช้จากระเบียนของผู้ใช้โดยตรง
หากแอตทริบิวต์ของสิทธิ์การเข้าสู่ระบบไม่อยู่ในระเบียนของผู้ใช้ ระบบจะพยายามเรียกใช้สิทธิ์จากกลุ่มที่ผู้ใช้อยู่ ซึ่งดำเนินการโดยเป็นส่วนหนึ่งของระยะการตรวจสอบความถูกต้องเป็นกลุ่ม ระบบจะกำหนด inclusive OR ของบิตทั้งหมดสำหรับกลุ่มทุกกลุ่มให้ผู้ใช้
บิต สิทธิ์การเข้าถึงแบบอ่านอย่างเดียว (ตำแหน่ง 2) ได้รับการตั้งค่าเฉพาะเมื่อมีการตั้งค่าบิตอื่นๆ ทั้งหมดเป็น 0 เท่านั้น หากมีการตั้งค่าบิต ปฏิเสธเสมอ (ตำแหน่ง 0) สำหรับกลุ่มใดๆ ผู้ใช้จะถูกปฏิเสธการเข้าถึง บิต ปฏิเสธเสมอ (ตำแหน่ง 0) มีความสำคัญเหนือกว่าบิตอื่นๆ ทั้งหมดเสมอ
โปรดทราบว่าระบบจะให้ความสำคัญกับสิทธิ์การเข้าสู่ระบบที่เรียกใช้จากระเบียนของผู้ใช้โดยตรง หากผู้ใช้ไม่มีแอตทริบิวต์สิทธิ์การเข้าใช้งานในระเบียน ระบบจะพยายามเรียกใช้สิทธิ์จากกลุ่มที่ผู้ใช้อยู่ และตรงกับตัวกรองกลุ่ม หากมีการกำหนดค่า ในกรณีนี้ ระบบจะกำหนด inclusive OR ของบิตทั้งหมดสำหรับกลุ่มทุกกลุ่มให้ผู้ใช้ ในทำนองเดียวกัน บิต สิทธิ์การเข้าถึงแบบอ่านอย่างเดียว จะได้รับการตั้งค่าเฉพาะเมื่อบิตอื่นๆ ทั้งหมดเป็น 0 เท่านั้น นอกจากนี้ โปรดทราบว่าหากมีการตั้งค่าบิต ปฏิเสธเสมอ สำหรับกลุ่มใดๆ ผู้ใช้จะถูกปฏิเสธการเข้าถึง บิต ปฏิเสธเสมอ มีความสำคัญเหนือกว่าบิตอื่นๆ ทุกบิตหมายเหตุหากคุณมอบความสามารถในการแก้ไขพารามิเตอร์การกำหนดค่าอะแดปเตอร์ที่เกี่ยวข้องกับข้อมูลพื้นฐาน เครือข่าย และ/หรือการรักษาความปลอดภัยให้ผู้ใช้ คุณควรพิจารณามอบความสามารถในการรีสตาร์ท XClarity Controller (บิตตำแหน่ง 10) ให้กับผู้ใช้รายเดียวกันนี้ด้วย หากไม่มีความสามารถนี้ ผู้ใช้อาจจะเปลี่ยนแปลงพารามิเตอร์ได้ (ตัวอย่างเช่น ที่อยู่ IP ของอะแดปเตอร์) แต่จะไม่สามารถทำให้พารามิเตอร์มีผลใช้งานได้ - เลือกว่าจะ เปิดใช้งานการรักษาความปลอดภัยตามบทบาทที่ปรับปรุงสำหรับผู้ใช้ Active Directory ภายใต้ การตั้งค่า Active Directory (หากใช้โหมด ใช้เซิร์ฟเวอร์ LDAP สำหรับการตรวจสอบความถูกต้องและการอนุญาต) หรือกำหนดค่า กลุ่มสำหรับการอนุญาตภายใน (หากใช้โหมด ใช้เซิร์ฟเวอร์ LDAP สำหรับการตรวจสอบความถูกต้องเท่านั้น (พร้อมการอนุญาตภายใน))
เปิดใช้งานการรักษาความปลอดภัยตามบทบาทที่ปรับปรุงสำหรับผู้ใช้ Active Directory
หากเปิดใช้งานการตั้งค่าการรักษาความปลอดภัยตามบทบาทที่ปรับปรุง ต้องกำหนดค่าชื่อเซิร์ฟเวอร์ที่มีรูปแบบอิสระให้ทำหน้าที่เป็นชื่อเป้าหมายสำหรับ XClarity Controller โดยเฉพาะนี้ ชื่อเป้าหมายสามารถเชื่อมโยงกับบทบาทอย่างน้อยหนึ่งรายการบนเซิร์ฟเวอร์ Active Directory ผ่านเครื่องมือ Snap-In ของระบบการรักษาความปลอดภัยตามบทบาท (RBS) ซึ่งสามารถดำเนินการได้โดยสร้างเป้าหมายที่มีการจัดการ ระบุชื่อที่เฉพาะเจาะจง แล้วเชื่อมโยงกับบทบาทที่เหมาะสม หากมีการกำหนดค่าชื่อในฟิลด์นี้ ก็จะให้ความสามารถในการกำหนดบทบาทเฉพาะสำหรับผู้ใช้และ XClarity Controller (เป้าหมาย) ที่เป็นสมาชิกของบทบาทเดียวกัน เมื่อผู้ใช้เข้าสู่ระบบ XClarity Controller และได้รับการตรวจสอบความถูกต้องผ่าน Active Directory ระบบจะเรียกใช้บทบาทที่ผู้ใช้เป็นสมาชิกจากไดเรกทอรี สิทธิ์ที่กำหนดให้กับผู้ใช้จะถูกแยกออกจากบทบาทที่มีในฐานะสมาชิกเป้าหมายที่ตรงกับชื่อเซิร์ฟเวอร์ที่ได้รับการกำหนดค่าที่นี่ หรือเป้าหมายที่ตรงกับ XClarity Controller ใดๆ XClarity Controller หลายตัวสามารถใช้ชื่อเป้าหมายเดียวกันได้ ซึ่งสามารถใช้เพื่อจัดกลุ่ม XClarity Controller หลายรายการเข้าด้วยกัน และกำหนดให้กับบทบาทเดียวกัน (หรือหลายบทบาท) โดยใช้เป้าหมายเดี่ยวที่มีการจัดการ ในทางกลับกัน สามารถตั้งชื่อที่ไม่ซ้ำกันให้กับ XClarity Controller แต่ละรายการได้
กลุ่มสำหรับการอนุญาตภายใน
มีการกำหนดค่าชื่อกลุ่มเพื่อให้ข้อมูลจำเพาะเกี่ยวกับการอนุญาตภายในสำหรับกลุ่มของผู้ใช้ คุณสามารถกำหนดสิทธิ์ (บทบาท) ที่เหมือนกับที่อธิบายไว้ในตารางข้างต้นให้กับชื่อกลุ่มแต่ละรายการ เซิร์ฟเวอร์ LDAP เชื่อมโยงผู้ใช้กับชื่อกลุ่ม เมื่อผู้ใช้เข้าสู่ระบบ ระบบจะกำหนดสิทธิ์ที่เชื่อมโยงกับกลุ่มที่ผู้ใช้อยู่ให้กับผู้ใช้คนดังกล่าว สามารถกำหนดค่ากลุ่มเพิ่มเติมได้โดยคลิกไอคอน “+” หรือลบโดยคลิกไอคอน “x”