LDAP konfigurieren
Mithilfe der Informationen in diesem Abschnitt können Sie die LDAP-Einstellungen von XClarity Controller anzeigen oder ändern.
- Unterstützung für das LDAP-Protokoll, Version 3 (RFC-2251)
- Unterstützung für die standardmäßigen LDAP-Client-APIs (RFC-1823)
- Unterstützung für die standardmäßige LDAP-Suchfiltersyntax (RFC-2254)
- Unterstützung für Lightweight Directory Access Protocol (v3), Erweiterung für Transport Layer Security (RFC-2830)
- Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Microsoft Active Directory Application Mode (Windows 2003, Windows 2008)
- Microsoft Lightweight Directory Service (Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Novell eDirectory Server Version 8.7 und 8.8
- OpenLDAP Server 2.1, 2.2, 2.3, 2.4, 2.5 und 2.6
Klicken Sie auf die Registerkarte LDAP, um die LDAP-Einstellungen für den XClarity Controller anzuzeigen oder zu ändern.
Der XClarity Controller kann den Benutzerzugriff über einen zentralen LDAP-Server anstelle von oder zusätzlich zu den lokalen Benutzeraccounts, die im XClarity Controller selbst gespeichert sind, remote authentifizieren. Berechtigungen können für jedes Benutzerkonto mithilfe des Werts „Anmeldeberechtigungsattribut“ zugewiesen werden. Sie können den LDAP-Server auch dazu verwenden, Benutzern Gruppen zuzuordnen und zusätzlich zu der normalen Benutzerauthentifizierung (Kennwortprüfung) eine Gruppenauthentifizierung durchzuführen. Ein XClarity Controller kann z. B. einer oder mehreren Gruppen zugewiesen werden. In diesem Fall besteht ein Benutzer die Gruppenauthentifizierung nur dann, wenn er zu mindestens einer der Gruppen gehört, die dem XClarity Controller zugeordnet sind.
- Auf der Seite LDAP-Serverinformationen stehen in der Elementliste die folgenden Optionen zur Verfügung:
- Nur LDAP-Server für Authentifizierung verwenden (mit lokaler Erteilung von Berechtigungen): Wenn Sie diese Option wählen, wird XClarity Controller angewiesen, die Anmeldeinformationen nur für die Authentifizierung zum LDAP-Server zu verwenden und Informationen zur Gruppenzugehörigkeit abzurufen. Die Gruppennamen und Rollen können im Abschnitt Gruppen für lokale Autorisierung konfiguriert werden.
- LDAP-Server für Authentifizierung und Erteilung von Berechtigungen verwenden: Wenn Sie diese Option wählen, wird XClarity Controller angewiesen, die Anmeldeinformationen für die Authentifizierung zum LDAP-Server und für die Identifizierung einer Benutzerberechtigung zu verwenden.
AnmerkungDie für die Authentifizierung zu verwendenden LDAP-Server können entweder manuell konfiguriert oder mithilfe von DNS-SRV-Datensätzen dynamisch ermittelt werden.- Vorkonfigurierte Server verwenden: Sie können bis zu drei LDAP-Server konfigurieren, indem Sie die IP-Adresse oder den Hostnamen jedes Servers angeben (vorausgesetzt, DNS ist aktiviert). Die Portnummer für die einzelnen Server ist optional. Wenn in diesem Feld keine Angaben gemacht werden, wird der Standardwert 389 für nicht sichere LDAP-Verbindungen verwendet. Für sichere Verbindungen lautet der Standardportwert 636. Mindestens ein LDAP-Server muss konfiguriert werden.
- DNS zum Finden von Servern verwenden: Sie können angeben, ob die LDAP-Server dynamisch ermittelt werden sollen. Um die LDAP-Server zu ermitteln, werden die in RFC2782 (A DNS RR for specifying the location of services) beschriebenen Verfahren verwendet. Dies wird als DNS SRV bezeichnet. Hierbei ist es erforderlich, einen vollständig qualifizierten Domänennamen (FQDN) zur Verwendung in der DNS-SRV-Anforderung anzugeben.
- AD-Gesamtstruktur: In einer Umgebung mit universellen Gruppen in mehreren Domänen muss der Gesamtstrukturname (Gruppe von Domänen) so konfiguriert werden, dass die erforderlichen globalen Kataloge (GC) ermittelt werden. In einer Umgebung, in der eine domänenübergreifende Gruppenzugehörigkeit nicht zulässig ist, muss dieses Feld nicht ausgefüllt werden.
- AD-Domäne: Sie müssen einen vollständig qualifizierten Domänennamen (FQDN) zur Verwendung in der DNS-SRV-Anforderung angeben.
- Machen Sie Angaben unter Zusätzliche Parameter. Unten stehend finden Sie Erläuterungen zu den Parametern.
- LDAP-Typ
- Wählen Sie den LDAP-Servertyp für die LDAP-basierte Authentifizierung aus. Die folgenden Servertypen stehen zur Verfügung:
OpenLDAP
OpenLDAP
Active Directory
Verzeichnis: Windows Active Directory
Andere
Verzeichnis: Apache Directory, eDirectory, etc.
- Bindungsmethode
- Bevor eine Suchanfrage oder Abfrage an den LDAP-Server gesendet werden kann, muss eine Bindeanforderung gesendet werden. Mit diesem Feld wird gesteuert, wie diese einleitende Bindung zum LDAP-Server ausgeführt wird. Die folgenden Bindungsmethoden sind verfügbar:
Mit konfiguriertem Berechtigungsnachweis
Mit dieser Methode wird eine Bindung mit dem konfigurierten definierten Namen und einem Kennwort hergestellt.
Anmeldeinformationen verwenden
Mit dieser Methode wird eine Bindung mit dem Berechtigungsnachweis hergestellt, der beim Anmeldeprozess angegeben wird. Die Benutzer-ID kann als definierter Name, als Teil eines definierten Namens, als vollständig qualifizierter Domänenname oder über eine Benutzer-ID angegeben werden, die mit dem auf dem XClarity Controller konfigurierten UID-Suchattribut übereinstimmt. Wenn die angegebenen Anmeldeinformationen einem Teil eines DN ähneln (z. B. cn=joe), wird dieser DN-Teil dem konfigurierten definierten Namen des Stammelements vorangestellt, um einen DN zu erstellen, der mit dem Datensatz des Benutzers übereinstimmt. Falls dieser Bindeversuch fehlschlägt, wird ein letzter Bindeversuch unternommen, indem vor den Anmeldeinformationen ein „cn=“ eingefügt und die resultierende Zeichenfolge dem definierten Namen des konfigurierten Stammelements vorangestellt wird.
- Definierter Name des Clients
- Der Definierte Name des Clients (Client Distinguished Name), der für die erste Bindung verwendet werden soll. Dieser ist auf maximal 300 Zeichen begrenzt.
- Clientkennwort
- Das Kennwort für diesen Distinguished Client.
- Root DN (Definierter Name des Stammelements)
- Der definierte Name (DN) für den Stammeintrag der Verzeichnisstruktur des LDAP-Servers (z. B. dn=mycompany,dc=com). Dieser definierte Name wird als Basisobjekt für alle Suchvorgänge verwendet.
- Suchattribut für den Anmeldenamen des Benutzers
- Wenn die Bindungsmethode auf Konfigurierte Anmeldeinformationen verwenden festgelegt ist, folgt auf die erste Bindung an den LDAP-Server eine Suchanforderung, die bestimmte Informationen über den Benutzer abruft, einschließlich des definierten Namen (DN) des Benutzers, der Anmeldeberechtigungen und der Gruppenmitgliedschaft. Diese Suchanforderung muss den Attributnamen angeben, der für die Benutzer-IDs auf diesem Server steht. Dieser Attributname wird in diesem Feld konfiguriert. Auf Active Directory-Servern lautet der Attributname in der Regel CN oder sAMAccountName. Auf Novell eDirectory- und OpenLDAP-Servern lautet der Attributname uid. Wenn in diesem Feld keine Angaben gemacht werden, lautet der Standardwert sAMAccountName.
- Gruppenfilter
- Das Feld Gruppenfilter wird für die Gruppenauthentifizierung verwendet. Nachdem die Anmeldeinformationen des Benutzers erfolgreich überprüft wurden, wird versucht, die Gruppenauthentifizierung durchzuführen. Wenn die Gruppenauthentifizierung fehlschlägt, wird dem Benutzer die Anmeldung verweigert. Wenn der Gruppenfilter konfiguriert ist, gibt er an, zu welchen Gruppen der XClarity Controller gehört. Das bedeutet, dass der Benutzer zu mindestens einer der konfigurierten Gruppen gehören muss, damit die Gruppenauthentifizierung erfolgreich durchgeführt werden kann. Wenn das Feld Gruppenfilter leer ist, ist die Gruppenauthentifizierung automatisch erfolgreich. Wenn der Gruppenfilter konfiguriert wurde, wird versucht, mindestens eine Gruppe in der Liste zu finden, die mit einer Gruppe übereinstimmt, der der Benutzer angehört. Wenn es keine Übereinstimmung gibt, schlägt die Authentifizierung des Benutzers fehl und der Zugriff wird verweigert. Wenn mindestens eine Übereinstimmung vorhanden ist, ist die Gruppenauthentifizierung erfolgreich.
- Gruppenmitgliedschafts-Suchattribut
- Das Feld Gruppensuchattribut gibt den Attributnamen an, der zur Identifizierung der Gruppen verwendet wird, denen ein Benutzer angehört. Auf Active Directory-Servern lautet der Attributname normalerweise memberOf. Auf Novell eDirectory-Servern lautet der Attributname groupMembership. Auf OpenLDAP-Servern werden Benutzer in der Regel Gruppen zugewiesen, deren objectClass gleich PosixGroup ist. In diesem Kontext gibt dieses Feld den Attributnamen an, der die Mitglieder einer bestimmten PosixGroup bezeichnet. Dieser Attributname lautet memberUid. Wenn in diesem Feld keine Angaben gemacht werden, wird für den Attributnamen im Filter standardmäßig memberOf verwendet.
- Anmeldeberechtigungsattribut
- Wenn ein Benutzer erfolgreich über einen LDAP-Server authentifiziert wird, müssen die Anmeldeberechtigungen für den Benutzer abgerufen werden. Um diese Anmeldeberechtigungen abzurufen, muss der an den Server gesendete Suchfilter den Attributnamen angeben, der den Anmeldeberechtigungen zugeordnet wurde. Das Feld Anmeldeberechtigungsattribut gibt den Attributnamen an. Wenn der LDAP-Server für die Authentifizierung und Autorisierung verwendet wird, aber dieses Feld leer bleibt, wird dem Benutzer der Zugriff verweigert.
Wenn keines der Bits gesetzt ist, wird dem Benutzer der Zugriff verweigertTabelle 1. Berechtigungsbits. Tabelle mit drei Spalten, die Erläuterungen zur Bitposition enthält.
Bitposition Funktion Erläuterung 0 Nie zulassen Die Authentifizierung eines Benutzers schlägt immer fehl. Diese Funktion kann verwendet werden, um einen oder mehrere bestimmte Benutzer, die einer bestimmten Gruppe zugeordnet sind, zu blockieren. 1 Supervisorzugriff Einem Benutzer wird die Administratorberechtigung erteilt. Der Benutzer hat Schreib-/Lesezugriff auf jede Funktion. Wenn Sie dieses Bit einstellen, müssen Sie die anderen Bits nicht einzeln einstellen. 2 Schreibgeschützter Zugriff Ein Benutzer hat Lesezugriff und kann keine Wartungsarbeiten (beispielsweise Neustart, fern ausgeführte Aktionen oder Firmwareaktualisierungen) oder Änderungen (z. B. Funktionen zum Speichern, Löschen oder Wiederherstellen) durchführen. Bitposition 2 und alle anderen Bits schließen sich gegenseitig aus, wobei Bitposition 2 die niedrigste Vorrangstellung hat. Wenn irgendein anderes Bit gesetzt ist, wird dieses Bit ignoriert. 3 Konfiguration – Netzwerkbetrieb und BMC-Sicherheit Ein Benutzer kann die Konfiguration für Sicherheit, Netzprotokolle, Netzwerkschnittstelle, Portzuordnungen und serieller Anschluss ändern. 4 Benutzeraccountverwaltung Ein Benutzer kann andere Benutzer hinzufügen, ändern oder löschen und die globalen Anmeldungseinstellungen im Fenster mit den Anmeldeprofilen ändern. 5 Zugriff auf ferne Konsole Ein Benutzer kann auf die Remote-Server-Konsole zugreifen. 6 Zugriff auf ferne Konsole und ferne Datenträger Ein Benutzer kann auf die Remote-Server-Konsole und die Funktionen für ferne Datenträger für den fernen Server zugreifen. 7 Zugriff auf Einschalten/Starten eines fernen Servers Ein Benutzer kann auf die Einschalt- und Neustartfunktionen für den fernen Server zugreifen. 8 Konfiguration – Allgemein Ein Benutzer kann Konfigurationsparameter auf den Seiten „Systemeinstellungen“ und „Alerts“ ändern. 9 Berechtigung zum Löschen von Ereignisprotokollen Ein Benutzer kann die Ereignisprotokolle löschen. AnmerkungAlle Benutzer können die Ereignisprotokolle einsehen; um jedoch die Protokolle löschen zu können, muss der Benutzer diese Berechtigungsstufe haben.10 Konfiguration – Erweitert (Firmwareaktualisierung, BMC neu starten, Konfiguration wiederherstellen) Für Benutzer gelten keine Einschränkungen beim Konfigurieren des XClarity Controller. Außerdem verfügt der Benutzer über einen Verwaltungszugriff auf den XClarity Controller. Der Benutzer kann folgende erweiterte Funktionen ausführen: Firmwareaktualisierungen, PXE-Netzboot, werkseitige Adaptervoreinstellungen wiederherstellen, die Adapterkonfiguration aus einer Konfigurationsdatei ändern und wiederherstellen und den Adapter erneut starten bzw. zurücksetzen. 11 Konfiguration – UEFI-Sicherheit Der Benutzer kann UEFI-Sicherheitseinstellungen konfigurieren, die auch über die UEFI F1-Sicherheitskonfigurationsseite konfiguriert werden können. 12 Reserviert Für die zukünftige Verwendung reserviert und derzeit nicht relevant. AnmerkungBeachten Sie, dass die Anmeldeberechtigungen, die direkt aus dem Benutzerdatensatz abgerufen werden, Priorität haben. Wenn dem Benutzer in seinem Datensatz kein Anmeldeberechtigungsattribut zugeordnet ist, wird versucht, die Berechtigungen aus den Gruppen abzurufen, denen der Benutzer angehört und die mit dem Gruppenfilter übereinstimmen (sofern konfiguriert). In diesem Fall wird dem Benutzer das inklusive ODER aller Bits für alle Gruppen zugewiesen. Analog dazu wird das BitLesezugriff nur gesetzt, wenn alle anderen Bits null sind. Wenn das Bit Nie zulassen für eine seiner Gruppen gesetzt ist, wird dem Benutzer der Zugriff verweigert. Das Bit Nie zulassen hat immer Vorrang vor allen anderen Bits. WichtigWenn ein Benutzer allgemeine, netzwerk‑ und/oder sicherheitsbezogene Adapterkonfigurationsparameter ändern darf, sollten Sie erwägen, diesem Benutzer auch die Berechtigung zum Neustarten von XClarity Controller zu erteilen (Bitposition 10). Ohne diese Berechtigung kann der Benutzer zwar Parameter ändern (z. B. die IP-Adresse des Adapters), sie aber nicht in Kraft treten lassen. Wenn der Modus LDAP-Server nur für Authentifizierung verwenden (mit lokaler Autorisierung) verwendet wird, konfigurieren Sie die Gruppen für lokale Autorisierung. Gruppenname, Gruppendomäne und Rolle sind so konfiguriert, dass sie eine lokale Autorisierung für Benutzergruppen bereitstellen. Jeder Gruppe kann eine Rolle (Berechtigungen) zugewiesen werden, die mit der Konfiguration in den Rollen unter „Lokaler Benutzer“ identisch ist. Benutzerkonten werden auf dem LDAP-Server verschiedenen Gruppen zugewiesen. Ein Benutzeraccount wird mit der Rolle (Berechtigungen) der Gruppe zugewiesen, zu der dieses Benutzerkonto nach der Anmeldung bei BMC gehört. Die Gruppendomäne sollte das gleiche Format wie der Definierte Name haben, z. B.: dc=mycompany,dc=com, wird als Basisobjekt für die Gruppensuche verwendet. Wenn das Feld leer gelassen wird, wird derselbe Wert wie für das Feld „Definierter Name des Stammelements“ verwendet. Zusätzliche Gruppen können durch Klicken auf das „+“-Symbol hinzugefügt oder durch Klicken auf das „x“-Symbol gelöscht werden.
Wählen Sie das Attribut, das für die Anzeige des Benutzernamens verwendet werden soll, aus dem Dropdown-Menü Attribut für das Anzeigen des Benutzernamens angeben aus.