Aller au contenu principal

Configuration LDAP

Les informations de cette rubrique vous indiquent comment afficher ou modifier les paramètres LDAP de XClarity Controller.

La prise en charge LDAP contient :
  • Prise en charge pour la version de protocole LDAP 3 (RFC-2251)
  • Prise en charge pour le client LDAP standard API (RFC-1823)
  • Prise en charge pour la syntaxe de filtre recherche LDAP standard (RFC-2254)
  • Prise en charge pour l'extension de Lightweight Directory Access Protocol (v3) pour le Transport Layer Security (RFC-2830)
L’implémentation LDAP prend en charge les serveurs LDAP suivants :
  • Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Microsoft Active Directory Application Mode (Windows 2003, Windows 2008)
  • Microsoft Lightweight Directory Service (Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Serveur Novell eDirectory, version 8.7 et 8.8
  • OpenLDAP Server 2.1, 2.2, 2.3, 2.4, 2.5 et 2.6

Cliquez sur l'onglet LDAP pour afficher ou modifier les paramètres LDAP de XClarity Controller.

XClarity Controller peut authentifier à distance l'accès d'un utilisateur via un serveur LDAP central, ou en plus des comptes utilisateur locaux qui sont stockés dans XClarity Controller lui-même. Des privilèges peuvent être désignés pour chaque compte d’utilisateur à l’aide de l’indicateur « Attribut d’autorisation de connexion ». Vous pouvez aussi utiliser le serveur LDAP pour affecter des utilisateurs à des groupes et effectuer une authentification de groupe, en plus de l'authentification utilisateur (vérification de mot de passe) normale. Par exemple, XClarity Controller peut être associé à un ou plusieurs groupes, l'utilisateur réussit l'authentification de groupe uniquement s'il appartient à au moins un groupe qui est associé à XClarity Controller.

Pour configurer un serveur LDAP, procédez comme suit :
  1. Sous Informations du serveur LDAP, les options suivantes sont disponibles dans la liste d'éléments :
    • Utiliser le serveur LDAP pour l'authentification uniquement (avec autorisation) : Cette sélection permet d'indiquer à XClarity Controller d'utiliser les données d'identification uniquement pour s'authentifier auprès du serveur LDAP et pour extraire les informations d'appartenance de membre au groupe. Les noms et les rôles des groupes peuvent être configurés dans la section Groupes pour l’autorisation locale.
    • Utiliser le serveur LDAP pour l'authentification et l'autorisation : Cette section permet d'indiquer à XClarity Controller d'utiliser les données d'identification à la fois pour s'authentifier auprès du serveur LDAP et pour identifier les autorisations de l'utilisateur.
    Remarque
    Les serveurs LDAP à utiliser pour l'authentification peuvent être configurés manuellement ou détectés de manière dynamique via des enregistrements SRV DNS.
    • Utiliser des serveurs préconfigurés : Vous pouvez configurer jusqu’à trois serveurs LDAP en saisissant l’adresse IP ou le nom d’hôte de chaque serveur si le DNS est activé. Le numéro de port de chaque serveur est facultatif. Si cette zone est laissée vide, la valeur par défaut 389 est utilisée pour les connexions LDAP non sécurisées. Pour les connexions sécurisées, la valeur de port par défaut est 636. Vous devez configurer au moins un serveur LDAP.
    • Utiliser DNS pour rechercher des serveurs : Vous pouvez choisir de détecter le ou les serveurs LDAP de manière dynamique. Les mécanismes décrits dans RFC2782 (A DNS RR pour l'indication de l'emplacement des services) permettent de localiser le ou les serveurs LDAP. Il s’agit du SRV DNS. Vous devez spécifier un nom FQDN à utiliser comme nom de domaine dans la demande SRV DNS.
      • Forêt AD : Dans un environnement avec des groupes universels communs à plusieurs domaines, le nom de la forêt (ensemble de domaines) doit être configuré pour reconnaître les catalogues globaux (GC) requis. Dans un environnement où l'appartenance à un groupe commun à plusieurs domaines ne s'applique pas, cette zone peut rester vide.
      • Domaine AD : Vous devez spécifier un nom de domaine qualifié complet (FQDN) à utiliser comme nom de domaine dans la demande SRV DNS.
    Si vous souhaitez activer LDAP sécurisé, cochez la case Activer le LDAP sécurisé. Pour permettre la prise en charge de LDAP sécurisé, il est nécessaire de mettre en place un certificat SSL valide et au moins un certificat sécurisé client SSL doit être importé dans XClarity Controller. Votre serveur LDAP doit prendre en charge Transport Layer Security (TLS) version 1.2 pour être compatible avec le client LDAP sécurisé de XClarity Controller. Pour plus d’information sur le traitement des certificats, voir Traitement des certificats SSL.
  2. Renseignez les information sous Paramètres supplémentaires. Les paramètres sont décrits ci-dessous.
    Type de LDAP
    Sélectionnez le type de serveur LDAP pour l’authentification basée sur LDAP. Les types de serveur suivants sont disponibles :
    • OpenLDAP

      OpenLDAP

    • Active Directory

      Répertoire : Windows Active Directory

    • Autre

      Répertoire : Apache Directory, eDirectory, etc.

    Méthode de liaison
    Avant d'effectuer une recherche ou d'interroger le serveur LDAP, vous devez envoyer une demande de liaison. Cette zone contrôle la façon dont cette liaison initiale au serveur LDAP est réalisée. Les méthodes de liaison suivantes sont disponibles :
    • Utiliser les données d'identification configurées

      Utilisez cette méthode pour effectuer une liaison avec le DN et le mot de passe du client configuré.

    • Utiliser les données d'identification de connexion

      Utilisez cette méthode pour effectuer une liaison avec les données d'identification fournies au cours du processus de connexion. L'ID utilisateur peut être fourni via un nom distinctif (DN), un DN partiel, un nom de domaine qualifié complet ou via un ID utilisateur qui correspond à l'attribut de recherche UID qui est configuré dans XClarity Controller. Si les données d'identification présentées ressemblent à un nom distinctif partiel (par exemple, cn=joe), celui-ci sera apposé en préfixe au nom distinctif racine configuré afin de tenter de créer un nom distinctif correspondant à l'enregistrement de l'utilisateur. Si la tentative de liaison échoue, une tentative finale sera effectuée en ajoutant le préfixe cn= aux données d'identification de connexion, puis en ajoutant la chaîne résultante au nom distinctif racine configuré.

    Si la liaison initiale est réussie, une recherche est lancée pour trouver une entrée sur le serveur LDAP correspondant à l'utilisateur se connectant. Si nécessaire, une seconde tentative de liaison est effectuée, cette fois-ci avec le DN extrait de l'enregistrement LDAP de l'utilisateur et le mot de passe entré lors du processus de connexion. Si la seconde tentative de liaison échoue, la demande d'accès de l'utilisateur est refusée. La seconde liaison est effectuée uniquement lorsque les méthodes de liaison Utiliser des données d’identification configurées sont utilisées.
    Nom distinctif du client
    Nom distinctif du client (DN) à utiliser pour la liaison initiale. En outre, il est limité à un maximum de 300 caractères.
    Mot de passe du client
    Le mot de passe de ce client distinctif.
    Nom distinctif (DN) racine
    Il s'agit du nom distinctif (DN) de l'entrée racine de l'arborescence de répertoires sur le serveur LDAP (par exemple, dn=mycompany,dc=com). Ce nom distinctif est utilisé comme objet de base pour toutes les demandes de recherche.
    Attribut de recherche du nom de connexion de l’utilisateur
    Lorsque la méthode de liaison est définie sur Utiliser des données d’identification configurées, la liaison initiale vers le serveur LDAP est suivie d’une demande de recherche qui extrait des informations spécifiques sur l’utilisateur, y compris son nom distinctif, ses droits de connexion et son appartenance à un groupe. Cette demande de recherche doit spécifier le nom d'attribut représentant les ID d'utilisateur sur ce serveur. Ce nom d'attribut est configuré dans cette zone. Sur les serveurs Active Directory, le nom de l’attribut est généralement CN ou sAMAccountName. Sur les serveurs Novell eDirectory et OpenLDAP, le nom d'attribut est uid. Si ce champ est laissé vide, la valeur par défaut est sAMAccountName.
    Filtre de groupe
    La zone Filtre de groupe est utilisée pour l'authentification des groupes. L'authentification de groupe est tentée une fois que la vérification des données d'identification de l'utilisateur a été réalisée avec succès. Si l'authentification de groupe échoue, la tentative de connexion de l'utilisateur est refusée. Lorsque le filtre de groupe est configuré, il est utilisé pour spécifier à quels groupes XClarity Controller appartient. Cela signifie que l'utilisateur doit appartenir au moins à l'un des groupes configurés pour que l'authentification de groupe réussisse. Si la zone Filtre de groupe est laissée vide, l'authentification de groupe réussit automatiquement. Si le filtre de groupe est configuré, le système vérifie si au moins un groupe de la liste correspond à l'un des groupes auxquels l'utilisateur appartient. S'il n'y a pas de groupe concordant, l'authentification de l'utilisateur échoue et l'accès est refusé. Si au moins une concordance est trouvée, l'authentification de groupe réussit.
    Les comparaisons sont sensibles à la casse. Le filtre est limité à 511 caractères et peut comprendre un ou plusieurs noms de groupe. Le signe deux-points (:) doit être utilisé pour délimiter plusieurs noms de groupes. Les espaces de début et de fin sont ignorés. Tous les autres espaces sont traités comme faisant partie du nom du groupe.
    Remarque
    Le caractère générique (*) n'est plus traité comme un caractère générique. Le concept de caractère générique n'est plus utilisé en raison des risques qui peuvent affecter la sécurité. Un nom de groupe peut être spécifié en utilisant un nom distinctif complet ou seulement la portion cn. Par exemple, un groupe dont le nom distinctif est cn=adminGroup, dc=mycompany, dc=com peut être spécifié en utilisant ce nom distinctif ou adminGroup.
    Attribut de recherche d’appartenance à un groupe
    Le champ Attribut de recherche de groupe indique le nom de l’attribut utilisé pour identifier les groupes auxquels appartient un utilisateur. Sur les serveurs Active Directory, le nom de l’attribut est généralement memberOf. Sur les serveurs Novell eDirectory, le nom de l’attribut est groupMembership. Sur les serveurs OpenLDAP, les utilisateurs sont généralement affectés à des groupes dont objectClass est égal à PosixGroup. Dans ce contexte, cette zone spécifie le nom d'attribut utilisé pour identifier les membres d'un groupe PosixGroup particulier. Ce nom d'attribut est memberUid. Si cette zone est laissée vide, le nom d'attribut du filtre correspond par défaut à memberOf.
    Attribut d'autorisation de connexion
    Lorsqu'un utilisateur s'authentifie avec succès à travers un serveur LDAP, les droits de connexion de l'utilisateur doivent être récupérés. Pour récupérer les droits de connexion, le filtre de recherche envoyé au serveur doit indiquer le nom d'attribut associé aux droits de connexion. Le champ Attribut d’autorisation de connexion indique le nom d’attribut. Si vous utilisez le serveur LDAP pour l’authentification et l’autorisation, mais que ce champ est laissé vide, l’utilisateur se voit refuser l’accès.
    La valeur d’attribut renvoyée par les recherches du serveur LDAP doit être une chaîne de bits saisie sous la forme de 13 « 0 » ou « 1 » consécutifs, ou une chaîne de bits sous la forme de 13 « 0 » ou « 1 » consécutifs au total. Chaque bit représente un ensemble de fonctions. Les bits sont numérotés selon leur position. Le bit le plus à gauche est la position de bit 0 et le bit le plus à droite est la position de bit 12. Une valeur de 1 à la position d’un bit active la fonction associée à cette position de bit. Si une position de bit a la valeur 0, la fonction associée à cette position de bit est désactivée.
    La chaîne 0100000000000 est un exemple valide, qui est utilisé pour permettre de le placer dans n’importe quel champ. L'attribut utilisé permet une chaîne au format libre. Lorsque l'attribut est récupéré avec succès, la valeur renvoyée par le serveur LDAP est interprétée conformément à l'information du tableau suivant.
    Tableau 1. Bits d'autorisation. Tableau à trois colonnes contenant des explications sur les positions de bit.
    Position de bitFonctionExplication
    0Refus permanentL'authentification de l'utilisateur échoue toujours. Cette fonction peut être utilisée pour bloquer un ou plusieurs utilisateurs associés à un groupe spécifique.
    1Accès superviseurL'utilisateur obtient les privilèges d'administrateur. L'utilisateur dispose d'un accès en lecture et écriture à chaque fonction. Si vous définissez ce bit, vous n'avez pas à définir individuellement les autres.
    2Accès en lecture seuleL’utilisateur dispose d’un accès en lecture seule et ne peut pas exécuter de procédures de maintenance (par exemple, un redémarrage, des actions à distance ou des mises à jour de microprogramme) ni effectuer de modifications (par exemple, les fonctions de sauvegarde, suppression ou restauration). La position de bit 2 et tous les autres bits s'excluent mutuellement, la position de bit 2 étant celle avec la plus faible priorité. Si un autre bit est défini, ce bit sera ignoré.
    3Configuration - Réseau et sécurité BMCL'utilisateur peut modifier la configuration des pages Sécurité, Protocoles réseau, Interface réseau, Affectations des ports et Port série.
    4Gestion de compte utilisateurL'utilisateur peut ajouter, modifier ou supprimer des utilisateurs et modifier les paramètres de connexion globaux (Paramètres de connexion globaux) dans la fenêtre Profils de connexion.
    5Accès console distanteL'utilisateur peut accéder à la console du serveur distant.
    6Accès console distante et disques distantsL'utilisateur peut accéder à la console du serveur distant et aux fonctions de disque distant du serveur distant.
    7Démarrage serveur distant/Accès redémarrageL'utilisateur peut accéder aux fonctions de mise sous tension et de redémarrage du serveur distant.
    8Configuration - De baseL'utilisateur peut modifier les paramètres de configuration dans les fenêtres Paramètres système et Alertes.
    9Possibilité d'effacer les journaux d'événementsL'utilisateur peut effacer les journaux d'événements.
    Remarque
    Tous les utilisateurs peuvent afficher les journaux des événements mais ce niveau d'autorisation est requis pour pouvoir effacer leur contenu.
    10Configuration - Avancée (mise à jour du microprogramme, redémarrage BMC, restauration de configuration)L'utilisateur n'est soumis à aucune restriction lorsqu'il configure XClarity Controller. De plus, il possède les droits d'accès administrateur à XClarity Controller. L’utilisateur peut exécuter les fonctions avancées suivantes : mises à jour de microprogramme, amorçage réseau PXE, restauration des paramètres usine par défaut de l’adaptateur, modification et restauration de la configuration de l’adaptateur depuis un fichier de configuration et redémarrage/réinitialisation de l’adaptateur.
    11Configuration - Sécurité UEFIUn utilisateur peut configurer les paramètres liés à la sécurité UEFI, qui peuvent également être configurés à partir de la page de configuration de la sécurité UEFI F1.
    12RéservéRéservé pour une utilisation ultérieure et actuellement ignoré.
    Si aucun des bits n’est défini, l’accès sera refusé à l’utilisateur
    Remarque
    Veuillez noter que le système donne la priorité aux droits de connexion récupérés directement de l'enregistrement utilisateur. Si l'utilisateur ne dispose pas de la permission de connexion dans son enregistrement, le système tente d'extraire les autorisations du(des) groupe(s) au(x)quel(s) appartient l'utilisateur et, si configuré, qui corresponde(nt) au filtre de groupe. Dans ce cas, l'utilisateur recevra l'opérateur inclusif OR de tous les bits pour tous ceux des groupes. De même, le bit Accès en lecture seule sera défini uniquement si tous les autres bits correspondent à 0. Notez également que si le bit Refus permanent est défini pour l'un des groupes, l'accès sera refusé à l'utilisateur. Le bit Refus permanent a toujours priorité sur les autres bits.
    Important
    Si l'autorisation de modifier les paramètres de configuration de base, de réseau et/ou de sécurité de l'adaptateur est accordée à l'utilisateur, vous devriez envisager d'autoriser ce même utilisateur à redémarrer XClarity Controller (bit de position 10). Sans cette autorisation, l'utilisateur pourra modifier des paramètres (par exemple, l'adresse IP de l'adaptateur), mais sans qu'ils ne prennent effet.
  3. Si le mode Utiliser le serveur LDAP pour l’authentification uniquement (avec autorisation locale) est utilisé, configurez l’option Groupes pour l’autorisation locale. Le nom du groupe, le domaine du groupe et le rôle sont configurés pour fournir une autorisation locale aux groupes d’utilisateurs. Chaque groupe peut se voir attribuer un rôle (autorisations) identique à celui configuré dans les rôles dans Utilisateur local. Les comptes d’utilisateurs sont affectés à différents groupes sur le serveur LDAP. Un compte utilisateur se verra attribuer le rôle (autorisations) du groupe auquel ce compte d’utilisateur appartient après la connexion au module BMC. Le domaine du groupe doit être au même format que le nom distinctif, par exemple : dc=mycompany,dc=com, sera utilisé comme objet de base pour les recherches de groupe. Si le champ est laissé vide, il utilisera la même valeur que le champ « Root DN ». Des groupes supplémentaires peuvent être ajoutés en cliquant sur l’icône « + » ou supprimés en cliquant sur l’icône « x ».

  4. Sélectionnez l’attribut utilisé pour afficher le nom d’utilisateur dans le menu déroulant Spécifier l’attribut utilisé pour afficher le nom d’utilisateur.