Zum Hauptinhalt springen

LDAP konfigurieren

Mithilfe der Informationen in diesem Abschnitt können Sie die LDAP-Einstellungen von XClarity Controller anzeigen oder ändern.

Die LDAP-Unterstützung enthält:
  • Unterstützung für das LDAP-Protokoll, Version 3 (RFC-2251)
  • Unterstützung für die standardmäßigen LDAP-Client-APIs (RFC-1823)
  • Unterstützung für die standardmäßige LDAP-Suchfiltersyntax (RFC-2254)
  • Unterstützung für Lightweight Directory Access Protocol (v3), Erweiterung für Transport Layer Security (RFC-2830)
Die LDAP-Implementierung unterstützt die folgenden LDAP-Server:
  • Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Microsoft Active Directory Application Mode (Windows 2003, Windows 2008)
  • Microsoft Lightweight Directory Service (Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Novell eDirectory Server Version 8.7 und 8.8
  • OpenLDAP Server 2.1, 2.2, 2.3, 2.4, 2.5 und 2.6

Klicken Sie auf die Registerkarte LDAP, um die LDAP-Einstellungen für den XClarity Controller anzuzeigen oder zu ändern.

Der XClarity Controller kann den Benutzerzugriff über einen zentralen LDAP-Server anstelle von oder zusätzlich zu den lokalen Benutzeraccounts, die im XClarity Controller selbst gespeichert sind, remote authentifizieren. Berechtigungen können für jedes Benutzerkonto mithilfe des Werts „Anmeldeberechtigungsattribut“ zugewiesen werden. Sie können den LDAP-Server auch dazu verwenden, Benutzern Gruppen zuzuordnen und zusätzlich zu der normalen Benutzerauthentifizierung (Kennwortprüfung) eine Gruppenauthentifizierung durchzuführen. Ein XClarity Controller kann z. B. einer oder mehreren Gruppen zugewiesen werden. In diesem Fall besteht ein Benutzer die Gruppenauthentifizierung nur dann, wenn er zu mindestens einer der Gruppen gehört, die dem XClarity Controller zugeordnet sind.

Gehen Sie zum Konfigurieren eines LDAP-Servers wie folgt vor:
  1. Auf der Seite LDAP-Serverinformationen stehen in der Elementliste die folgenden Optionen zur Verfügung:
    • Nur LDAP-Server für Authentifizierung verwenden (mit lokaler Erteilung von Berechtigungen): Wenn Sie diese Option wählen, wird XClarity Controller angewiesen, die Anmeldeinformationen nur für die Authentifizierung zum LDAP-Server zu verwenden und Informationen zur Gruppenzugehörigkeit abzurufen. Die Gruppennamen und Rollen können im Abschnitt Gruppen für lokale Autorisierung konfiguriert werden.
    • LDAP-Server für Authentifizierung und Erteilung von Berechtigungen verwenden: Wenn Sie diese Option wählen, wird XClarity Controller angewiesen, die Anmeldeinformationen für die Authentifizierung zum LDAP-Server und für die Identifizierung einer Benutzerberechtigung zu verwenden.
    Anmerkung
    Die für die Authentifizierung zu verwendenden LDAP-Server können entweder manuell konfiguriert oder mithilfe von DNS-SRV-Datensätzen dynamisch ermittelt werden.
    • Vorkonfigurierte Server verwenden: Sie können bis zu drei LDAP-Server konfigurieren, indem Sie die IP-Adresse oder den Hostnamen jedes Servers angeben (vorausgesetzt, DNS ist aktiviert). Die Portnummer für die einzelnen Server ist optional. Wenn in diesem Feld keine Angaben gemacht werden, wird der Standardwert 389 für nicht sichere LDAP-Verbindungen verwendet. Für sichere Verbindungen lautet der Standardportwert 636. Mindestens ein LDAP-Server muss konfiguriert werden.
    • DNS zum Finden von Servern verwenden: Sie können angeben, ob die LDAP-Server dynamisch ermittelt werden sollen. Um die LDAP-Server zu ermitteln, werden die in RFC2782 (A DNS RR for specifying the location of services) beschriebenen Verfahren verwendet. Dies wird als DNS SRV bezeichnet. Hierbei ist es erforderlich, einen vollständig qualifizierten Domänennamen (FQDN) zur Verwendung in der DNS-SRV-Anforderung anzugeben.
      • AD-Gesamtstruktur: In einer Umgebung mit universellen Gruppen in mehreren Domänen muss der Gesamtstrukturname (Gruppe von Domänen) so konfiguriert werden, dass die erforderlichen globalen Kataloge (GC) ermittelt werden. In einer Umgebung, in der eine domänenübergreifende Gruppenzugehörigkeit nicht zulässig ist, muss dieses Feld nicht ausgefüllt werden.
      • AD-Domäne: Sie müssen einen vollständig qualifizierten Domänennamen (FQDN) zur Verwendung in der DNS-SRV-Anforderung angeben.
    Wenn Sie eine sichere LDAP-Verbindung aktivieren möchten, klicken Sie auf das Kontrollkästchen Sichere LDAP-Verbindung aktivieren. Beachten Sie, dass zur Unterstützung von sicherem LDAP ein gültiges SSL-Zertifikat vorhanden sein und mindestens ein vertrauenswürdiges SSL-Clientzertifikat in den XClarity Controller importiert werden muss. Ihr LDAP-Server muss Transport Layer Security (TLS) Version 1.2 unterstützen, um mit dem sicheren LDAP-Client von XClarity Controller kompatibel zu sein. Weitere Informationen zur Handhabung von Zertifikaten finden Sie im Abschnitt Handhabung von SSL-Zertifikaten.
  2. Machen Sie Angaben unter Zusätzliche Parameter. Unten stehend finden Sie Erläuterungen zu den Parametern.
    LDAP-Typ
    Wählen Sie den LDAP-Servertyp für die LDAP-basierte Authentifizierung aus. Die folgenden Servertypen stehen zur Verfügung:
    • OpenLDAP

      OpenLDAP

    • Active Directory

      Verzeichnis: Windows Active Directory

    • Andere

      Verzeichnis: Apache Directory, eDirectory, etc.

    Bindungsmethode
    Bevor eine Suchanfrage oder Abfrage an den LDAP-Server gesendet werden kann, muss eine Bindeanforderung gesendet werden. Mit diesem Feld wird gesteuert, wie diese einleitende Bindung zum LDAP-Server ausgeführt wird. Die folgenden Bindungsmethoden sind verfügbar:
    • Mit konfiguriertem Berechtigungsnachweis

      Mit dieser Methode wird eine Bindung mit dem konfigurierten definierten Namen und einem Kennwort hergestellt.

    • Anmeldeinformationen verwenden

      Mit dieser Methode wird eine Bindung mit dem Berechtigungsnachweis hergestellt, der beim Anmeldeprozess angegeben wird. Die Benutzer-ID kann als definierter Name, als Teil eines definierten Namens, als vollständig qualifizierter Domänenname oder über eine Benutzer-ID angegeben werden, die mit dem auf dem XClarity Controller konfigurierten UID-Suchattribut übereinstimmt. Wenn die angegebenen Anmeldeinformationen einem Teil eines DN ähneln (z. B. cn=joe), wird dieser DN-Teil dem konfigurierten definierten Namen des Stammelements vorangestellt, um einen DN zu erstellen, der mit dem Datensatz des Benutzers übereinstimmt. Falls dieser Bindeversuch fehlschlägt, wird ein letzter Bindeversuch unternommen, indem vor den Anmeldeinformationen ein „cn=“ eingefügt und die resultierende Zeichenfolge dem definierten Namen des konfigurierten Stammelements vorangestellt wird.

    Wenn der erste Bindeversuch erfolgreich durchgeführt wurde, wird auf dem LDAP-Server nach einem Eintrag zu dem Benutzer gesucht, der sich gerade anmelden möchte. Andernfalls wird ein zweiter Bindeversuch unternommen, diesmal mit dem aus dem LDAP-Datensatz des Benutzers abgerufenen DN sowie dem Kennwort, das bei der Anmeldung eingegeben wurde. Wenn der zweite Bindeversuch fehlschlägt, wird dem Benutzer der Zugriff verweigert. Die zweite Bindung wird nur ausgeführt, wenn die Bindungsmethode Konfigurierte Anmeldeinformationen verwenden verwendet wird.
    Definierter Name des Clients
    Der Definierte Name des Clients (Client Distinguished Name), der für die erste Bindung verwendet werden soll. Dieser ist auf maximal 300 Zeichen begrenzt.
    Clientkennwort
    Das Kennwort für diesen Distinguished Client.
    Root DN (Definierter Name des Stammelements)
    Der definierte Name (DN) für den Stammeintrag der Verzeichnisstruktur des LDAP-Servers (z. B. dn=mycompany,dc=com). Dieser definierte Name wird als Basisobjekt für alle Suchvorgänge verwendet.
    Suchattribut für den Anmeldenamen des Benutzers
    Wenn die Bindungsmethode auf Konfigurierte Anmeldeinformationen verwenden festgelegt ist, folgt auf die erste Bindung an den LDAP-Server eine Suchanforderung, die bestimmte Informationen über den Benutzer abruft, einschließlich des definierten Namen (DN) des Benutzers, der Anmeldeberechtigungen und der Gruppenmitgliedschaft. Diese Suchanforderung muss den Attributnamen angeben, der für die Benutzer-IDs auf diesem Server steht. Dieser Attributname wird in diesem Feld konfiguriert. Auf Active Directory-Servern lautet der Attributname in der Regel CN oder sAMAccountName. Auf Novell eDirectory- und OpenLDAP-Servern lautet der Attributname uid. Wenn in diesem Feld keine Angaben gemacht werden, lautet der Standardwert sAMAccountName.
    Gruppenfilter
    Das Feld Gruppenfilter wird für die Gruppenauthentifizierung verwendet. Nachdem die Anmeldeinformationen des Benutzers erfolgreich überprüft wurden, wird versucht, die Gruppenauthentifizierung durchzuführen. Wenn die Gruppenauthentifizierung fehlschlägt, wird dem Benutzer die Anmeldung verweigert. Wenn der Gruppenfilter konfiguriert ist, gibt er an, zu welchen Gruppen der XClarity Controller gehört. Das bedeutet, dass der Benutzer zu mindestens einer der konfigurierten Gruppen gehören muss, damit die Gruppenauthentifizierung erfolgreich durchgeführt werden kann. Wenn das Feld Gruppenfilter leer ist, ist die Gruppenauthentifizierung automatisch erfolgreich. Wenn der Gruppenfilter konfiguriert wurde, wird versucht, mindestens eine Gruppe in der Liste zu finden, die mit einer Gruppe übereinstimmt, der der Benutzer angehört. Wenn es keine Übereinstimmung gibt, schlägt die Authentifizierung des Benutzers fehl und der Zugriff wird verweigert. Wenn mindestens eine Übereinstimmung vorhanden ist, ist die Gruppenauthentifizierung erfolgreich.
    Beim Abgleich muss die Groß-/Kleinschreibung beachtet werden. Der Filter ist auf 511 Zeichen begrenzt und kann aus einem oder aus mehreren Gruppennamen bestehen. Um mehrere Gruppennamen voneinander abzugrenzen, muss das Doppelpunktzeichen (:) verwendet werden. Vorangestellte und nachgestellte Leerzeichen werden nicht beachtet. Alle anderen Leerzeichen werden als Teil des Gruppennamens behandelt.
    Anmerkung
    Das Platzhalterzeichen (*) wird nicht mehr als Platzhalter behandelt. Das Platzhalterkonzept wurde eingestellt, um Sicherheitsrisiken vorzubeugen. Ein Gruppenname kann als vollständiger definierter Name oder nur mithilfe des cn-Teils angegeben werden. Beispiel: Eine Gruppe mit dem definierten Namen „cn=adminGroup, dc=mycompany, dc=com“ kann mit dem tatsächlichen definierten Namen oder mit „adminGroup“ angegeben werden.
    Gruppenmitgliedschafts-Suchattribut
    Das Feld Gruppensuchattribut gibt den Attributnamen an, der zur Identifizierung der Gruppen verwendet wird, denen ein Benutzer angehört. Auf Active Directory-Servern lautet der Attributname normalerweise memberOf. Auf Novell eDirectory-Servern lautet der Attributname groupMembership. Auf OpenLDAP-Servern werden Benutzer in der Regel Gruppen zugewiesen, deren objectClass gleich PosixGroup ist. In diesem Kontext gibt dieses Feld den Attributnamen an, der die Mitglieder einer bestimmten PosixGroup bezeichnet. Dieser Attributname lautet memberUid. Wenn in diesem Feld keine Angaben gemacht werden, wird für den Attributnamen im Filter standardmäßig memberOf verwendet.
    Anmeldeberechtigungsattribut
    Wenn ein Benutzer erfolgreich über einen LDAP-Server authentifiziert wird, müssen die Anmeldeberechtigungen für den Benutzer abgerufen werden. Um diese Anmeldeberechtigungen abzurufen, muss der an den Server gesendete Suchfilter den Attributnamen angeben, der den Anmeldeberechtigungen zugeordnet wurde. Das Feld Anmeldeberechtigungsattribut gibt den Attributnamen an. Wenn der LDAP-Server für die Authentifizierung und Autorisierung verwendet wird, aber dieses Feld leer bleibt, wird dem Benutzer der Zugriff verweigert.
    Der Attributwert, der von der LDAP-Serversuche zurückgegeben wird, sollte als Bitfolge aus 13 aufeinanderfolgenden Nullen oder Einsen oder als Bitfolge aus 13 aufeinanderfolgenden Nullen oder Einsen insgesamt eingegeben werden. Jedes Bit steht für eine Gruppe von Funktionen. Die Bits sind entsprechend ihren Positionen nummeriert. Das Bit ganz links ist die Bitposition 0 und das Bit ganz rechts ist die Bitposition 12. Ein Wert von 1 an einer Bitposition aktiviert die Funktion, die dieser Bitposition zugeordnet ist. Der Wert 0 in einer Bitposition deaktiviert die Funktion, die dieser Bitposition zugeordnet ist.
    Die Zeichenfolge 0100000000000 ist ein gültiges Beispiel, das verwendet wird, um die Zeichenfolge in einem beliebigen Feld zu platzieren. Das verwendete Attribut kann eine frei formatierte Zeichenfolge zulassen. Wenn das Attribut erfolgreich abgerufen werden kann, wird der Wert, der vom LDAP-Server zurückgegeben wird, entsprechend den Informationen in der folgenden Tabelle interpretiert.
    Tabelle 1. Berechtigungsbits.

    Tabelle mit drei Spalten, die Erläuterungen zur Bitposition enthält.

    BitpositionFunktionErläuterung
    0Nie zulassenDie Authentifizierung eines Benutzers schlägt immer fehl. Diese Funktion kann verwendet werden, um einen oder mehrere bestimmte Benutzer, die einer bestimmten Gruppe zugeordnet sind, zu blockieren.
    1SupervisorzugriffEinem Benutzer wird die Administratorberechtigung erteilt. Der Benutzer hat Schreib-/Lesezugriff auf jede Funktion. Wenn Sie dieses Bit einstellen, müssen Sie die anderen Bits nicht einzeln einstellen.
    2Schreibgeschützter ZugriffEin Benutzer hat Lesezugriff und kann keine Wartungsarbeiten (beispielsweise Neustart, fern ausgeführte Aktionen oder Firmwareaktualisierungen) oder Änderungen (z. B. Funktionen zum Speichern, Löschen oder Wiederherstellen) durchführen. Bitposition 2 und alle anderen Bits schließen sich gegenseitig aus, wobei Bitposition 2 die niedrigste Vorrangstellung hat. Wenn irgendein anderes Bit gesetzt ist, wird dieses Bit ignoriert.
    3Konfiguration – Netzwerkbetrieb und BMC-SicherheitEin Benutzer kann die Konfiguration für Sicherheit, Netzprotokolle, Netzwerkschnittstelle, Portzuordnungen und serieller Anschluss ändern.
    4BenutzeraccountverwaltungEin Benutzer kann andere Benutzer hinzufügen, ändern oder löschen und die globalen Anmeldungseinstellungen im Fenster mit den Anmeldeprofilen ändern.
    5Zugriff auf ferne KonsoleEin Benutzer kann auf die Remote-Server-Konsole zugreifen.
    6Zugriff auf ferne Konsole und ferne DatenträgerEin Benutzer kann auf die Remote-Server-Konsole und die Funktionen für ferne Datenträger für den fernen Server zugreifen.
    7Zugriff auf Einschalten/Starten eines fernen ServersEin Benutzer kann auf die Einschalt- und Neustartfunktionen für den fernen Server zugreifen.
    8Konfiguration – AllgemeinEin Benutzer kann Konfigurationsparameter auf den Seiten „Systemeinstellungen“ und „Alerts“ ändern.
    9Berechtigung zum Löschen von EreignisprotokollenEin Benutzer kann die Ereignisprotokolle löschen.
    Anmerkung
    Alle Benutzer können die Ereignisprotokolle einsehen; um jedoch die Protokolle löschen zu können, muss der Benutzer diese Berechtigungsstufe haben.
    10Konfiguration – Erweitert (Firmwareaktualisierung, BMC neu starten, Konfiguration wiederherstellen)Für Benutzer gelten keine Einschränkungen beim Konfigurieren des XClarity Controller. Außerdem verfügt der Benutzer über einen Verwaltungszugriff auf den XClarity Controller. Der Benutzer kann folgende erweiterte Funktionen ausführen: Firmwareaktualisierungen, PXE-Netzboot, werkseitige Adaptervoreinstellungen wiederherstellen, die Adapterkonfiguration aus einer Konfigurationsdatei ändern und wiederherstellen und den Adapter erneut starten bzw. zurücksetzen.
    11Konfiguration – UEFI-SicherheitDer Benutzer kann UEFI-Sicherheitseinstellungen konfigurieren, die auch über die UEFI F1-Sicherheitskonfigurationsseite konfiguriert werden können.
    12ReserviertFür die zukünftige Verwendung reserviert und derzeit nicht relevant.
    Wenn keines der Bits gesetzt ist, wird dem Benutzer der Zugriff verweigert
    Anmerkung
    Beachten Sie, dass die Anmeldeberechtigungen, die direkt aus dem Benutzerdatensatz abgerufen werden, Priorität haben. Wenn dem Benutzer in seinem Datensatz kein Anmeldeberechtigungsattribut zugeordnet ist, wird versucht, die Berechtigungen aus den Gruppen abzurufen, denen der Benutzer angehört und die mit dem Gruppenfilter übereinstimmen (sofern konfiguriert). In diesem Fall wird dem Benutzer das inklusive ODER aller Bits für alle Gruppen zugewiesen. Analog dazu wird das Bit Lesezugriff nur gesetzt, wenn alle anderen Bits null sind. Wenn das Bit Nie zulassen für eine seiner Gruppen gesetzt ist, wird dem Benutzer der Zugriff verweigert. Das Bit Nie zulassen hat immer Vorrang vor allen anderen Bits.
    Wichtig
    Wenn ein Benutzer allgemeine, netzwerk‑ und/oder sicherheitsbezogene Adapterkonfigurationsparameter ändern darf, sollten Sie erwägen, diesem Benutzer auch die Berechtigung zum Neustarten von XClarity Controller zu erteilen (Bitposition 10). Ohne diese Berechtigung kann der Benutzer zwar Parameter ändern (z. B. die IP-Adresse des Adapters), sie aber nicht in Kraft treten lassen.
  3. Wenn der Modus LDAP-Server nur für Authentifizierung verwenden (mit lokaler Autorisierung) verwendet wird, konfigurieren Sie die Gruppen für lokale Autorisierung. Gruppenname, Gruppendomäne und Rolle sind so konfiguriert, dass sie eine lokale Autorisierung für Benutzergruppen bereitstellen. Jeder Gruppe kann eine Rolle (Berechtigungen) zugewiesen werden, die mit der Konfiguration in den Rollen unter „Lokaler Benutzer“ identisch ist. Benutzerkonten werden auf dem LDAP-Server verschiedenen Gruppen zugewiesen. Ein Benutzeraccount wird mit der Rolle (Berechtigungen) der Gruppe zugewiesen, zu der dieses Benutzerkonto nach der Anmeldung bei BMC gehört. Die Gruppendomäne sollte das gleiche Format wie der Definierte Name haben, z. B.: dc=mycompany,dc=com, wird als Basisobjekt für die Gruppensuche verwendet. Wenn das Feld leer gelassen wird, wird derselbe Wert wie für das Feld „Definierter Name des Stammelements“ verwendet. Zusätzliche Gruppen können durch Klicken auf das „+“-Symbol hinzugefügt oder durch Klicken auf das „x“-Symbol gelöscht werden.

  4. Wählen Sie das Attribut, das für die Anzeige des Benutzernamens verwendet werden soll, aus dem Dropdown-Menü Attribut für das Anzeigen des Benutzernamens angeben aus.