Configuración de LDAP
Utilice la información en este tema para visualizar o cambiar la configuración de LDAP de XClarity Controller.
- Soporte para la versión del protocolo LDAP 3 (RFC 2251)
- Soporte para las APi de cliente LDAP estándar (RFC-1823)
- Soporte para la sintaxis de filtros de búsqueda LDAP estándar (RFC-2254)
- Compatibilidad con la extensión de Lightweight Directory Access Protocol (v3) para la Seguridad de capa de transporte (RFC-2830)
- Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Modo de aplicación de Microsoft Active Directory (Windows 2003, Windows 2008)
- Servicio Microsoft Lightweight Directory (Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Novell eDirectory Server, versión 8.7 y 8.8
- Servidor OpenLDAP 2.1, 2.2, 2.3, 2.4, 2.5 y 2.6
Pulse la pestaña LDAP para ver o para modificar la configuración de LDAP de XClarity Controller.
XClarity Controller puede autenticar remotamente el acceso de un usuario en un servidor LDAP central en vez de, o además de las cuentas locales de usuario que se almacenan en el propio XClarity Controller. Se pueden designar privilegios para cada cuenta de usuario utilizando el valor de “Atributo de permiso de inicio de sesión”. También puede utilizar el servidor LDAP para asignar usuarios en grupos y para realizar la autenticación de grupo, además de autenticación normal del usuario (comprobación mediante contraseña). Por ejemplo, un XClarity Controller se puede asociar con uno o varios grupos, el usuario pasará la autenticación de grupo solo si el usuario pertenece al menos a un grupo que esté asociado con XClarity Controller.
- En Información del servidor LDAP, las opciones siguientes están disponibles en la lista de elementos:
- Usar el servidor LDAP únicamente para autenticación (con autorización local): esta selección indica a XClarity Controller utilizar las credenciales únicamente para autenticar con el servidor LDAP y para recuperar información de membresía de grupo. Los nombre y roles de grupo se pueden configurar en la sección Grupos para autorización local.
- Usar el servidor LDAP para autenticación y autorización: esta selección indica a XClarity Controller utilizar las credenciales para autenticar con el servidor LDAP y para identificar el permiso del usuario.
NotaLos servidores LDAP que se usan para autenticación se pueden configurar manualmente o se pueden descubrir dinámicamente mediante los registros de DNS SRV.- Usar servidores preconfigurados: Puede configurar hasta tres servidores LDAP ingresando la dirección IP o el nombre de host de cada servidor si DNS está habilitado. El número de puerto para cada servidor es opcional. Si este campo se deja en blanco, se usa el valor predeterminado de 389 para conexiones LDAP no seguras. Para conexiones seguras, el valor predeterminado puerto es 636. Debe configurar al menos un servidor LDAP.
- Usar DNS para encontrar servidores: puede optar por descubrir los servidores LDAP dinámicamente. Los mecanismos descritos en RFC2782 (A DNS RR para especificar la ubicación de los servicios) se utilizan para localizar los servidores LDAP. Esto se conoce como SRV DNS. Debe especificar un nombre de dominio completamente calificado (FQDN) que se usará como el nombre de dominio en la solicitud de DNS SRV.
- Bosque de AD: en un entorno con grupos universales en varios dominios, el nombre de bosque (grupo de dominios) debe configurarse para detectar los catálogos globales requeridos (GC). En un entorno donde no se aplica la membresía de grupo entre dominios, este campo se puede dejar en blanco.
- Dominio AD: deberá especificar un nombre de dominio completamente calificado (FQDN) que se usará como el nombre de dominio en la solicitud de DNS SRV.
- Complete la información en Parámetros adicionales. A continuación aparecen explicaciones de los parámetros.
- Tipo de LDAP
- Seleccione el tipo de servidor LDAP para la autenticación basada en LDAP. Están disponibles los siguientes tipos de servidor:
OpenLDAP
OpenLDAP
Active Directory
Directorio: Windows Active Directory
Otros
Directorio: Apache Directory, eDirectory, etc.
- Método de vinculación
- Antes de que pueda buscar o consultar el servidor LDAP, debe enviar una solicitud de vinculación. Este campo controla cómo se realiza esta vinculación inicial con el servidor LDAP. Los siguientes métodos de vinculación están disponibles:
Usar credenciales configuradas
Utilice este método para vincular con el cliente DN y la contraseña configurada.
Usar credenciales de inicio de sesión
Use este método para vincular con las credenciales proporcionadas durante el proceso de inicio de sesión. El Id. de usuario se puede proporcionar usando un DN, un DN parcial, un nombre de dominio completamente calificado o mediante un Id. de usuario que coincida con el atributo de búsqueda de UID configurado en XClarity Controller. Si las credenciales presentadas se asemejan a un nombre distinguido parcial (por ejemplo cn=joe), este nombre distinguido parcial se presentará al DN raíz configurado en un intento de crear un nombre distinguido que coincida con el registro del usuario. Si el intento de vinculación falla, se intentará realizar un último intento de vinculación al presentar cn= con la credencial de inicio de sesión y presentar la cadena resultante con el DN raíz configurado.
- Nombre distinguido del cliente
- Nombre distintivo de cliente (DN) que se va a usar para la vinculación inicial. Y está limitado a un máximo de 300 caracteres.
- Contraseña del cliente
- La contraseña de este cliente distinguido.
- DN raíz
- Este es el nombre distinguido (DN) de la entrada raíz de árbol de directorio en el servidor LDAP (por ejemplo, dn=mycompany,dc=com). Este DN se utiliza como el objeto base para todas las solicitudes de búsqueda.
- Atributo de búsqueda del nombre de inicio de sesión del usuario
- Cuando el método de vinculación está configurado como Credenciales configuradas por el usuario, una solicitud de búsqueda sigue el vínculo inicial al servidor LDAP al recuperar la información específica acerca del usuario, incluyendo el DN de usuario, permisos de inicio y membresía de grupo. Esta solicitud de búsqueda debe especificar el nombre del atributo que representa a las Id. de usuario en ese servidor. Este nombre de atributo se configura en este campo. En los servidores de Active Directory, el nombre de atributo generalmente es CN o sAMAccountName. En los servidores Novell eDirectory y OpenLDAP, el nombre del atributo es uid. Si se deja en blanco este campo, el valor predeterminado es sAMAccountName.
- Filtro del grupo
- El campo Filtro de grupo se usa para la autenticación de grupos. Después de verificar las credenciales de usuario correctamente, se intentará la autenticación del grupo. Si falla una autenticación de grupo, se rechaza el intento de inicio de sesión del usuario. Cuando se configura el filtro de grupo, se utiliza para especificar a qué grupos pertenece XClarity Controller. Esto significa que el usuario deben pertenecer a, al menos, uno de los grupos configurados para que la autenticación de grupo se realice correctamente. Si el campo Filtro de grupo se deja en blanco, la autenticación de grupo se realiza correctamente de forma automática. Si el filtro de grupo está configurado, se realiza un intento de hacer coincidir al menos un grupo en la lista con un grupos al que el usuario pertenezca. Si no hay ninguna coincidencia, la autenticación de usuario falla y se niega el acceso. Si existe al menos una coincidencia, la autenticación de grupo se realiza correctamente.
- Atributo de búsqueda de pertenencia a grupo
- El campo Atributo de búsqueda de grupos especifica el nombre del atributo que se utiliza para identificar los grupos a los que pertenece el usuario. En los servidores de Active Directory, el nombre de atributo generalmente es memberOf. En los servidores Novell eDirectory, el nombre del atributo es groupMembership. En los servidores OpenLDAP, los usuarios suelen asignarse a grupos cuya objectClass es igual a PosixGroup. En ese contexto, este campo especifica el nombre de atributo usado para identificar los miembros de un PosixGroup en particular. Este nombre de atributo es memberUid. Si este campo se deja en blanco, el nombre del atributo en el filtro usa memberOf de forma predeterminada.
- Atributo de permiso de inicio de sesión
- Cuando un usuario se autentica a través de un servidor LDAP satisfactoriamente, deben recuperarse los permisos de inicio de sesión para el usuario. Para poder recuperar los permisos de inicio de sesión, el filtro de búsqueda enviado al servidor debe especificar el nombre de atributo asociado con los permisos de inicio de sesión. El campo Atributo de permiso de inicio de sesión especifica el nombre del atributo. Si se usa el servidor LDAP para la autenticación y la autorización, pero este campo se deja en blanco, el usuario no tendrá acceso.
Si no se establece ninguno de los bits, se denegará el acceso al usuarioTabla 1. Bits de permiso. Tabla de tres columnas que contiene las explicaciones de la posición de bit. Posición de bit Función Explicación 0 Rechazar siempre Un usuario siempre fallará la autenticación. Esta función puede utilizarse para bloquear a un usuario o usuarios asociados a un grupo específico. 1 Acceso de supervisor Se le asignan privilegios de administrador a un usuario. El usuario tiene acceso de lectura/escritura a todas las funciones. Cuando establece este bit, no es necesario configurar individualmente los otros bits. 2 Acceso de solo lectura El usuario posee acceso de solo lectura y no puede realizar ningún procedimiento de mantenimiento (por ejemplo, reiniciar, acciones remotas, actualizaciones de firmware) y nada se puede modificar (mediante las funciones de guardar, borrar o restaurar). La posición de bit 2 y todos los otros bits son mutuamente exclusivos y la posición de bit 2 posee la precedencia más baja. Cuando se establece cualquier otro bit, se ignorará este bit. 3 Configuración: seguridad de redes y BMC Un usuario puede modificar la configuración en Seguridad, Protocolos de red, Interfaz de red, Asignaciones de puertos y Puerto de serie. 4 Gestión de cuenta de usuario Un usuario puede añadir, modificar o eliminar usuarios y cambiar la configuración de inicio de sesión global en la ventana de perfiles de inicio de sesión. 5 Acceso a consola remota Un usuario puede acceder a la consola remota del servidor. 6 Acceso a la consola remota y al disco remoto Un usuario puede acceder a la consola remota del servidor y a las funciones del disco remoto para el servidor remoto. 7 Acceso al encendido/reinicio del servidor remoto Un usuario puede acceder a las funciones de encendido y reinicio del servidor remoto. 8 Configuración: básico Un usuario puede modificar los parámetros de configuración en las ventanas de configuración del sistema y alertas. 9 Capacidad de borrar registros de eventos Un usuario puede borrar los registros de eventos. NotaTodos los usuarios pueden ver los registros de eventos; pero para borrar los registros de eventos se pedirá al usuario tener este nivel de permiso.10 Configuración: avanzado (actualización de firmware, reiniciar el BMC, restaurar la configuración) Un usuario no tiene restricciones al configurar XClarity Controller. Además, el usuario tiene acceso administrativo a XClarity Controller. El usuario puede realizar las siguientes funciones avanzadas: actualizaciones de firmware, arranque de red PXE, restauración de los valores predeterminados de fábrica del adaptador, modificación y restauración de la configuración del adaptador desde un archivo de configuración y reinicio/restablecimiento del adaptador. 11 Configuración: seguridad de UEFI Un usuario puede configurar valores relacionados con la seguridad de UEFI, que también se pueden configurar desde la página de configuración de seguridad F1 de UEFI. 12 Reservado Reservado para uso futuro y actualmente ignorado. NotaTenga en cuenta que se le da prioridad a los permisos de inicio de sesión recuperados directamente desde el registro del usuario. Si el usuario no tiene el atributo de permiso de inicio de sesión en el registro, se intentará recuperar los permisos de los grupos a los que pertenece el usuario y, si está configurado, que coincidan con el filtro de grupo. En este caso, al usuario se le asignará el OR inclusivo para todos los bits para todos los grupos. Del mismo modo, el bitAcceso solo de lectura solo se establece si todo el resto de los bits son cero. Además, tenga presente que si se establece el bit Rechazar siempre para cualquier de los grupos, el usuario no tendrá acceso. El bit Rechazar siempre posee precedencia siempre sobre cualquier otro bit. ImportanteSi le otorga a un usuario la capacidad de modificar parámetros de configuración del adaptador básicos, de red o relacionados con la seguridad, debe considerar otorgar a este mismo usuario la capacidad de reiniciar XClarity Controller (posición de bit 10). De lo contrario, sin esta capacidad, el usuario puede ser capaz de cambiar los parámetros (por ejemplo la dirección IP del adaptador), pero no podrá hacer que surtan efecto. Si se utiliza el modo Usar el servidor LDAP únicamente para autenticación (con autorización local), configure Grupos para autorización local. El nombre de grupo, el dominio de grupo y el rol están configurados para proporcionar autorización local a grupos de usuarios. A cada grupo se le puede asignar un rol (permisos) que es el mismo que se configuró en los roles en Usuario local. Las cuentas de usuario se asignan a diferentes grupos en el servidor LDAP. Se asignará una cuenta de usuario con el rol (permisos) del grupo al que pertenece esta cuenta de usuario después de iniciar sesión en el BMC. El dominio de grupo debe tener el mismo formato que el nombre distinguido, como: dc=miempresa, dc=com, se utilizará como objeto base para las búsquedas de grupo. Si el campo se deja en blanco, utilizará el mismo valor que el campo “DN raíz”. Se pueden agregar grupos adicionales pulsando en el icono “+” o eliminarlos pulsando en el icono “x”.
Seleccione el atributo utilizado para mostrar el nombre de usuario en el menú desplegable Especificar el atributo utilizado para mostrar el nombre de usuario.