Neuen Benutzeraccount erstellen
Mithilfe der Informationen in diesem Abschnitt können Sie einen neuen lokalen Benutzer erstellen.
Benutzer erstellen
Klicken Sie auf die Registerkarte Lokale Benutzer und anschließend auf Erstellen, um ein neues Benutzerkonto zu erstellen.
Füllen Sie die folgenden Felder aus: Benutzername, Kennwort und Kennwort bestätigen, und wählen Sie eine Rolle im Dropdown-Menü aus. Weitere Details zur Rolle finden Sie im folgenden Abschnitt.
Rolle
- Administrator
- Die Rolle „Administrator“ hat keine Einschränkungen und kann alle Vorgänge ausführen.
- Nur Lesen
- Die Rolle „Nur Lesen“ kann Serverinformationen anzeigen, aber keinen Vorgang ausführen, der einen Einfluss auf den Systemstatus hat, z. B. Speichern, Ändern, Löschen, Neu starten und Aktualisieren der Firmware.
- Bediener
- Der Benutzer mit der Rolle „Bediener“ hat die folgenden Berechtigungen:
Konfiguration – Netzwerkbetrieb und BMC-Sicherheit
Einschalten/Starten eines fernen Servers
Konfiguration – Allgemein
Berechtigung zum Löschen von Ereignisprotokollen
Konfiguration – Erweitert (Firmwareaktualisierung, BMC neu starten, Konfiguration wiederherstellen)
SNMP-Einstellungen
- Zugriffstyp
- Es werden nur GET-Operationen unterstützt. Der XClarity Controller unterstützt keine SNMPv3-SET-Operationen. SNMP3 kann nur Abfrageoperationen ausführen.
- Authentifizierungsprotokoll
- Dieser Algorithmus wird vom SNMPv3-Sicherheitsmodell für die Authentifizierung verwendet. Die folgenden Protokolle werden unterstützt:
- Keine
- HMAC-SHA (Standard)
- HMAC-SHA224
- HMAC-SHA256
- HMAC-SHA384
- HMAC-SHA512
- Datenschutzprotokoll
- Die Datenübertragung zwischen dem SNMP-Client und dem Agenten kann mithilfe von Verschlüsselung geschützt werden. Die folgenden Methoden werden unterstützt:
- Keine
- CBC-DES
- AES (Standard)
- AES192
- AES256
- AES192C
- AES256C
Selbst wenn ein SNMPv3-Benutzer sich wiederholende Zeichenfolgen eines Kennworts verwendet, wird dem XClarity Controller dennoch Zugriff gewährt. Nachfolgend werden zwei Referenzbeispiele aufgeführt.
- Wenn das Kennwort auf „11111111“ (achtstellige Zahl, die acht Einsen enthält) gesetzt wird, kann der Benutzer dennoch auf den XClarity Controller zugreifen, wenn versehentlich mehr als acht Einsen als Kennwort eingegeben werden. Bei Eingabe von „1111111111“ (zehnstellige Zahl, die zehn Einsen enthält) wird der Zugriff beispielsweise dennoch gewährt. Die sich wiederholende Zeichenfolge wird so behandelt, als ob sie den gleichen Schlüssel hat.
- Wenn das Kennwort auf „bertbert“ gesetzt wird, kann der Benutzer auch auf den XClarity Controller zugreifen, wenn das Kennwort versehentlich als „bertbertbert“ eingegeben wird. Beide Kennwörter werden so behandelt, als ob sie den gleichen Schlüssel haben.
Weitere Informationen hierzu finden Sie unter Security Considerations (Sicherheitshinweise) im Internet-Standard des Dokuments RFC 3414 (https://tools.ietf.org/html/rfc3414).
SSH-Schlüssel
- Schlüsseldatei auswählen
- Wählen Sie die SSH-Schlüsseldatei aus, die vom Server in den XClarity Controller importiert werden soll.
- Schlüssel in ein Textfeld eingeben
- Fügen Sie die Daten von Ihrem SSH-Schlüssel in das Textfeld ein.
Einige der Tools von Lenovo erstellen möglicherweise einen temporären Benutzeraccount für den Zugriff auf XClarity Controller, wenn das Tool auf dem Serverbetriebssystem ausgeführt wird. Dieser temporäre Account ist nicht sichtbar und verwendet keine der 12 lokalen Benutzeraccountpositionen. Der Account wird mit einem willkürlichen Benutzernamen (z. B. „20luN4SB“) und Kennwort erstellt. Das Konto kann nur für den Zugriff auf den XClarity Controller an der internen Ethernet-over-USB-Schnittstelle verwendet werden, und nur für die Redfish- und SFTP-Schnittstellen. Das Erstellen und Entfernen dieses temporären Accounts wird im Prüfprotokoll erfasst, ebenso wie alle Aktionen, die von dem Tool mit diesen Berechtigungen ausgeführt werden.
Bei der SNMPv3-Engine-ID verwendet der XClarity Controller eine HEX-Zeichenfolge, um die ID anzugeben. Diese HEX-Zeichenfolge wird aus dem Standard-Hostnamen von XClarity Controller konvertiert. Nachstehend ein Beispiel:
Der Hostname „XCC-7X06-S4AHJ300“ wird zunächst in das ASCII-Format konvertiert: 88 67 67 45 55 88 48 54 45 83 52 65 72 74 51 48 48
Die HEX-Zeichenfolge wird unter Verwendung des ASCII-Formats erstellt (Leerzeichen werden ignoriert): 58 43 43 2d 37 58 30 36 2d 53 34 41 48 4a 33 30 30
Multi-Faktor-Authentifizierung
- MFA-Methode für die Webanmeldung
- Legt die erforderliche Kombination von Authentifizierungsmethoden für die Anmeldung über die Webschnittstelle fest.
- MFA-Methode für die SSH-Anmeldung
- Legt die erforderliche Kombination von Authentifizierungsmethoden für die Anmeldung über die SSH-Schnittstelle fest.
- Geheimer TOTP-Schlüssel
- Der geheime TOTP-Schlüssel ist unerlässlich für die Generierung von OTP-Codes. Das System unterstützt die automatische Generierung dieses geheimen Schlüssels. Wenn Sie den geheimen TOTP-Schlüssel über mehrere XCC-Instanzen hinweg verwenden müssen, können Sie ihn mit einer Passphrase exportieren und in andere Systeme importieren.Anmerkung
Stellen Sie vor dem Exportieren des geheimen TOTP-Schlüssels sicher, dass Ihre TOTP-Authentifizierungsapp (z. B. Google Authenticator, Microsoft Authenticator oder FreeOTP) erfolgreich eingerichtet wurde.
Wenn es sich bei dem aktuellen Benutzer um einen schreibgeschützten Benutzer handelt, sind seine Berechtigungen auf bestimmte accountbezogene Aktionen beschränkt. Zusätzlich zur Möglichkeit, ihr Kennwort zu ändern und das neue Kennwort zu bestätigen, dürfen Benutzer auch ihre TOTP-Einstellungen verwalten, einschließlich Geheimen Schlüssel erstellen, Geheimen Schlüssel importieren, Geheimen Schlüssel exportieren und Geheimen Schlüssel anzeigen. Alle anderen Systemkonfigurations- oder Datenänderungsfunktionen sind weiterhin nicht zugänglich, um die schreibgeschützte Zugriffsebene aufrechtzuerhalten.
Stellen Sie sicher, dass die BMC-Uhrzeit genau und aktuell ist, um das OTP-Token zu registrieren oder sich anzumelden, falls die Zeit nach der Registrierung abweicht.