Saltar al contenido principal

Configuración de LDAP

Utilice la información en este tema para visualizar o cambiar la configuración de LDAP de XClarity Controller.

El soporte LDAP incluye:
  • Soporte para la versión del protocolo LDAP 3 (RFC 2251)
  • Soporte para las APi de cliente LDAP estándar (RFC-1823)
  • Soporte para la sintaxis de filtros de búsqueda LDAP estándar (RFC-2254)
  • Compatibilidad con la extensión de Lightweight Directory Access Protocol (v3) para la Seguridad de capa de transporte (RFC-2830)
La implementación de LDAP admite los siguientes servidores LDAP:
  • Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Modo de aplicación de Microsoft Active Directory (Windows 2003, Windows 2008)
  • Servicio Microsoft Lightweight Directory (Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Novell eDirectory Server, versión 8.7 y 8.8
  • Servidor OpenLDAP 2.1, 2.2, 2.3, 2.4, 2.5 y 2.6

Pulse la pestaña LDAP para ver o para modificar la configuración de LDAP de XClarity Controller.

XClarity Controller puede autenticar remotamente el acceso de un usuario en un servidor LDAP central en vez de, o además de las cuentas locales de usuario que se almacenan en el propio XClarity Controller. Se pueden designar privilegios para cada cuenta de usuario utilizando el valor de “Atributo de permiso de inicio de sesión”. También puede utilizar el servidor LDAP para asignar usuarios en grupos y para realizar la autenticación de grupo, además de autenticación normal del usuario (comprobación mediante contraseña). Por ejemplo, un XClarity Controller se puede asociar con uno o varios grupos, el usuario pasará la autenticación de grupo solo si el usuario pertenece al menos a un grupo que esté asociado con XClarity Controller.

Para configurar un servidor LDAP, lleve a cabo los pasos siguientes:
  1. En Información del servidor LDAP, las opciones siguientes están disponibles en la lista de elementos:
    • Usar el servidor LDAP únicamente para autenticación (con autorización local): esta selección indica a XClarity Controller utilizar las credenciales únicamente para autenticar con el servidor LDAP y para recuperar información de membresía de grupo. Los nombre y roles de grupo se pueden configurar en la sección Grupos para autorización local.
    • Usar el servidor LDAP para autenticación y autorización: esta selección indica a XClarity Controller utilizar las credenciales para autenticar con el servidor LDAP y para identificar el permiso del usuario.
    Nota
    Los servidores LDAP que se usan para autenticación se pueden configurar manualmente o se pueden descubrir dinámicamente mediante los registros de DNS SRV.
    • Usar servidores preconfigurados: Puede configurar hasta tres servidores LDAP ingresando la dirección IP o el nombre de host de cada servidor si DNS está habilitado. El número de puerto para cada servidor es opcional. Si este campo se deja en blanco, se usa el valor predeterminado de 389 para conexiones LDAP no seguras. Para conexiones seguras, el valor predeterminado puerto es 636. Debe configurar al menos un servidor LDAP.
    • Usar DNS para encontrar servidores: puede optar por descubrir los servidores LDAP dinámicamente. Los mecanismos descritos en RFC2782 (A DNS RR para especificar la ubicación de los servicios) se utilizan para localizar los servidores LDAP. Esto se conoce como SRV DNS. Debe especificar un nombre de dominio completamente calificado (FQDN) que se usará como el nombre de dominio en la solicitud de DNS SRV.
      • Bosque de AD: en un entorno con grupos universales en varios dominios, el nombre de bosque (grupo de dominios) debe configurarse para detectar los catálogos globales requeridos (GC). En un entorno donde no se aplica la membresía de grupo entre dominios, este campo se puede dejar en blanco.
      • Dominio AD: deberá especificar un nombre de dominio completamente calificado (FQDN) que se usará como el nombre de dominio en la solicitud de DNS SRV.
    Si desea habilitar el LDAP seguro, pulse la casilla de verificación Habilitar LDAP seguro. Para poder admitir LDAP seguro, debe existir primero un certificado SSL válido y se debe importar al menos un certificado de confianza del cliente SSL en XClarity Controller. El servidor LDAP debe admitir la versión 1.2 de seguridad de la capa de transporte (TLS) para que sea compatible con el cliente LDAP seguro de XClarity Controller. Para obtener más información sobre la administración de certificados, consulte Manejo de certificados SSL.
  2. Complete la información en Parámetros adicionales. A continuación aparecen explicaciones de los parámetros.
    Tipo de LDAP
    Seleccione el tipo de servidor LDAP para la autenticación basada en LDAP. Están disponibles los siguientes tipos de servidor:

    • OpenLDAP

      OpenLDAP

    • Active Directory

      Directorio: Windows Active Directory

    • Otros

      Directorio: Apache Directory, eDirectory, etc.

    Método de vinculación
    Antes de que pueda buscar o consultar el servidor LDAP, debe enviar una solicitud de vinculación. Este campo controla cómo se realiza esta vinculación inicial con el servidor LDAP. Los siguientes métodos de vinculación están disponibles:

    • Usar credenciales configuradas

      Utilice este método para vincular con el cliente DN y la contraseña configurada.

    • Usar credenciales de inicio de sesión

      Use este método para vincular con las credenciales proporcionadas durante el proceso de inicio de sesión. El Id. de usuario se puede proporcionar usando un DN, un DN parcial, un nombre de dominio completamente calificado o mediante un Id. de usuario que coincida con el atributo de búsqueda de UID configurado en XClarity Controller. Si las credenciales presentadas se asemejan a un nombre distinguido parcial (por ejemplo cn=joe), este nombre distinguido parcial se presentará al DN raíz configurado en un intento de crear un nombre distinguido que coincida con el registro del usuario. Si el intento de vinculación falla, se intentará realizar un último intento de vinculación al presentar cn= con la credencial de inicio de sesión y presentar la cadena resultante con el DN raíz configurado.

    Si la vinculación inicial se completa correctamente, se realiza una búsqueda para buscar una entrada en el servidor LDAP que pertenezca al usuario que inicia la sesión. De ser necesario, se realiza un segundo intento de vinculación, esta vez con el nombre distinguido recuperado del registro LDAP del usuario y la contraseña ingresada durante el proceso de inicio de sesión. Si falla un segundo intento de vinculación, se rechaza el acceso al usuario. La segunda vinculación solo se realiza cuando se utilizan los métodos de vinculación de Usar credenciales configuradas.
    Nombre distinguido del cliente
    Nombre distintivo de cliente (DN) que se va a usar para la vinculación inicial. Y está limitado a un máximo de 300 caracteres.
    Contraseña del cliente
    La contraseña de este cliente distinguido.
    DN raíz
    Este es el nombre distinguido (DN) de la entrada raíz de árbol de directorio en el servidor LDAP (por ejemplo, dn=mycompany,dc=com). Este DN se utiliza como el objeto base para todas las solicitudes de búsqueda.
    Atributo de búsqueda del nombre de inicio de sesión del usuario
    Cuando el método de vinculación está configurado como Credenciales configuradas por el usuario, una solicitud de búsqueda sigue el vínculo inicial al servidor LDAP al recuperar la información específica acerca del usuario, incluyendo el DN de usuario, permisos de inicio y membresía de grupo. Esta solicitud de búsqueda debe especificar el nombre del atributo que representa a las Id. de usuario en ese servidor. Este nombre de atributo se configura en este campo. En los servidores de Active Directory, el nombre de atributo generalmente es CN o sAMAccountName. En los servidores Novell eDirectory y OpenLDAP, el nombre del atributo es uid. Si se deja en blanco este campo, el valor predeterminado es sAMAccountName.
    Filtro del grupo
    El campo Filtro de grupo se usa para la autenticación de grupos. Después de verificar las credenciales de usuario correctamente, se intentará la autenticación del grupo. Si falla una autenticación de grupo, se rechaza el intento de inicio de sesión del usuario. Cuando se configura el filtro de grupo, se utiliza para especificar a qué grupos pertenece XClarity Controller. Esto significa que el usuario deben pertenecer a, al menos, uno de los grupos configurados para que la autenticación de grupo se realice correctamente. Si el campo Filtro de grupo se deja en blanco, la autenticación de grupo se realiza correctamente de forma automática. Si el filtro de grupo está configurado, se realiza un intento de hacer coincidir al menos un grupo en la lista con un grupos al que el usuario pertenezca. Si no hay ninguna coincidencia, la autenticación de usuario falla y se niega el acceso. Si existe al menos una coincidencia, la autenticación de grupo se realiza correctamente.
    Las comparaciones distinguen entre mayúsculas y minúsculas. El filtro tiene un límite de 511 caracteres y consiste en uno o más nombres de grupo. El carácter de dos puntos (:) debe utilizarse para delimitar nombres de grupo múltiples. Los espacios antes y después se omiten, pero cualquier otro espacio se trata como parte del nombre del grupo.
    Nota
    El carácter comodín (*) ya no se considera como comodín. El concepto de comodín se ha interrumpido para impedir que se produzcan exposiciones de seguridad. Un nombre de grupo se puede especificar como un DN completo o utilizando la parte del cn. Por ejemplo, un grupo con un DN de cn=adminGroup, dc=mycompany, dc=com se puede especificar utilizando el DN real o al utilizar adminGroup.
    Atributo de búsqueda de pertenencia a grupo
    El campo Atributo de búsqueda de grupos especifica el nombre del atributo que se utiliza para identificar los grupos a los que pertenece el usuario. En los servidores de Active Directory, el nombre de atributo generalmente es memberOf. En los servidores Novell eDirectory, el nombre del atributo es groupMembership. En los servidores OpenLDAP, los usuarios suelen asignarse a grupos cuya objectClass es igual a PosixGroup. En ese contexto, este campo especifica el nombre de atributo usado para identificar los miembros de un PosixGroup en particular. Este nombre de atributo es memberUid. Si este campo se deja en blanco, el nombre del atributo en el filtro usa memberOf de forma predeterminada.
    Atributo de permiso de inicio de sesión
    Cuando un usuario se autentica a través de un servidor LDAP satisfactoriamente, deben recuperarse los permisos de inicio de sesión para el usuario. Para poder recuperar los permisos de inicio de sesión, el filtro de búsqueda enviado al servidor debe especificar el nombre de atributo asociado con los permisos de inicio de sesión. El campo Atributo de permiso de inicio de sesión especifica el nombre del atributo. Si se usa el servidor LDAP para la autenticación y la autorización, pero este campo se deja en blanco, el usuario no tendrá acceso.
    El valor del atributo devuelto por las búsquedas del servidor LDAP debe ser una cadena de bits que se introduce como 13 números 0 o 1 consecutivos, o una cadena de bits como 13 números 0 o 1 consecutivos en total. Cada bit representa un conjunto de funciones. Los bits reciben una numeración de acuerdo con su posición. El bit más a la izquierda es la posición de bit 0 y el bit más a la derecha es la posición de bit 12. Un valor de 1 en una posición de bit habilita la función asociada a esa posición de bit. Un valor de 0 en una posición de bit deshabilita la función asociada a esa posición de bit.
    La cadena 0100000000000 es un ejemplo válido, que se utiliza para permitir que se coloque en cualquier campo. El atributo utilizado puede permitir una cadena de formato libre. Cuando el atributo se recupera satisfactoriamente, el valor que el servidor LDAP devuelve se interpreta de acuerdo con la información en la tabla siguiente.
    Tabla 1. Bits de permiso.

    Tabla de tres columnas que contiene las explicaciones de la posición de bit.

    Posición de bitFunciónExplicación
    0Rechazar siempreUn usuario siempre fallará la autenticación. Esta función puede utilizarse para bloquear a un usuario o usuarios asociados a un grupo específico.
    1Acceso de supervisorSe le asignan privilegios de administrador a un usuario. El usuario tiene acceso de lectura/escritura a todas las funciones. Cuando establece este bit, no es necesario configurar individualmente los otros bits.
    2Acceso de solo lecturaEl usuario posee acceso de solo lectura y no puede realizar ningún procedimiento de mantenimiento (por ejemplo, reiniciar, acciones remotas, actualizaciones de firmware) y nada se puede modificar (mediante las funciones de guardar, borrar o restaurar). La posición de bit 2 y todos los otros bits son mutuamente exclusivos y la posición de bit 2 posee la precedencia más baja. Cuando se establece cualquier otro bit, se ignorará este bit.
    3Configuración: seguridad de redes y BMCUn usuario puede modificar la configuración en Seguridad, Protocolos de red, Interfaz de red, Asignaciones de puertos y Puerto de serie.
    4Gestión de cuenta de usuarioUn usuario puede añadir, modificar o eliminar usuarios y cambiar la configuración de inicio de sesión global en la ventana de perfiles de inicio de sesión.
    5Acceso a consola remotaUn usuario puede acceder a la consola remota del servidor.
    6Acceso a la consola remota y al disco remotoUn usuario puede acceder a la consola remota del servidor y a las funciones del disco remoto para el servidor remoto.
    7Acceso al encendido/reinicio del servidor remotoUn usuario puede acceder a las funciones de encendido y reinicio del servidor remoto.
    8Configuración: básicoUn usuario puede modificar los parámetros de configuración en las ventanas de configuración del sistema y alertas.
    9Capacidad de borrar registros de eventosUn usuario puede borrar los registros de eventos.
    Nota
    Todos los usuarios pueden ver los registros de eventos; pero para borrar los registros de eventos se pedirá al usuario tener este nivel de permiso.
    10Configuración: avanzado (actualización de firmware, reiniciar el BMC, restaurar la configuración)Un usuario no tiene restricciones al configurar XClarity Controller. Además, el usuario tiene acceso administrativo a XClarity Controller. El usuario puede realizar las siguientes funciones avanzadas: actualizaciones de firmware, arranque de red PXE, restauración de los valores predeterminados de fábrica del adaptador, modificación y restauración de la configuración del adaptador desde un archivo de configuración y reinicio/restablecimiento del adaptador.
    11Configuración: seguridad de UEFIUn usuario puede configurar valores relacionados con la seguridad de UEFI, que también se pueden configurar desde la página de configuración de seguridad F1 de UEFI.
    12ReservadoReservado para uso futuro y actualmente ignorado.
    Si no se establece ninguno de los bits, se denegará el acceso al usuario
    Nota
    Tenga en cuenta que se le da prioridad a los permisos de inicio de sesión recuperados directamente desde el registro del usuario. Si el usuario no tiene el atributo de permiso de inicio de sesión en el registro, se intentará recuperar los permisos de los grupos a los que pertenece el usuario y, si está configurado, que coincidan con el filtro de grupo. En este caso, al usuario se le asignará el OR inclusivo para todos los bits para todos los grupos. Del mismo modo, el bit Acceso solo de lectura solo se establece si todo el resto de los bits son cero. Además, tenga presente que si se establece el bit Rechazar siempre para cualquier de los grupos, el usuario no tendrá acceso. El bit Rechazar siempre posee precedencia siempre sobre cualquier otro bit.
    Importante
    Si le otorga a un usuario la capacidad de modificar parámetros de configuración del adaptador básicos, de red o relacionados con la seguridad, debe considerar otorgar a este mismo usuario la capacidad de reiniciar XClarity Controller (posición de bit 10). De lo contrario, sin esta capacidad, el usuario puede ser capaz de cambiar los parámetros (por ejemplo la dirección IP del adaptador), pero no podrá hacer que surtan efecto.

  3. Si se utiliza el modo Usar el servidor LDAP únicamente para autenticación (con autorización local), configure Grupos para autorización local. El nombre de grupo, el dominio de grupo y el rol están configurados para proporcionar autorización local a grupos de usuarios. A cada grupo se le puede asignar un rol (permisos) que es el mismo que se configuró en los roles en Usuario local. Las cuentas de usuario se asignan a diferentes grupos en el servidor LDAP. Se asignará una cuenta de usuario con el rol (permisos) del grupo al que pertenece esta cuenta de usuario después de iniciar sesión en el BMC. El dominio de grupo debe tener el mismo formato que el nombre distinguido, como: dc=miempresa, dc=com, se utilizará como objeto base para las búsquedas de grupo. Si el campo se deja en blanco, utilizará el mismo valor que el campo “DN raíz”. Se pueden agregar grupos adicionales pulsando en el icono “+” o eliminarlos pulsando en el icono “x”.

  4. Seleccione el atributo utilizado para mostrar el nombre de usuario en el menú desplegable Especificar el atributo utilizado para mostrar el nombre de usuario.