Configurazione di LDAP
Utilizzare le informazioni in questo argomento per visualizzare o modificare le impostazioni LDAP di XClarity Controller.
- Supporto della versione 3 del protocollo LDAP (RFC-2251)
- Supporto delle API del client LDAP standard (RFC-1823)
- Supporto della sintassi del filtro di ricerca LDAP standard (RFC-2254)
- Supporto dell'estensione Lightweight Directory Access Protocol (v3) per Transport Layer Security (RFC-2830)
- Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Microsoft Active Directory Application Mode (Windows 2003, Windows 2008)
- Microsoft Lightweight Directory Service (Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Novell eDirectory Server, versione 8.7 e 8.8
- OpenLDAP Server 2.1, 2.2, 2.3, 2.4, 2.5 e 2.6
Selezionare la scheda LDAP per visualizzare o modificare le impostazioni LDAP di XClarity Controller.
XClarity Controller permette di autenticare da remoto l'accesso di un utente tramite un server LDAP centrale, in sostituzione o in aggiunta agli account degli utenti locali memorizzati in XClarity Controller. I privilegi possono essere definiti per ogni account utente utilizzando il valore di "Attributo di autorizzazione di login". È inoltre possibile utilizzare il server LDAP per assegnare gli utenti ai gruppi ed eseguire l'autenticazione del gruppo, oltre alla normale autenticazione utente (controllo della password). Ad esempio, un XClarity Controller può essere associato a uno o più gruppi, l'utente supererà l'autenticazione del gruppo solo se appartiene almeno a un gruppo associato a XClarity Controller.
- In Informazioni sul server LDAP, sono disponibili le seguenti opzioni all'elenco degli elementi:
- Utilizza il server LDAP solo per l'autenticazione (con autorizzazione locale): se si seleziona questa opzione, XClarity Controller utilizzerà le credenziali soltanto per l'autenticazione presso il server LDAP e per recuperare informazioni sull'appartenenza ai gruppi. I nomi dei gruppi e i ruoli possono essere configurati nella sezione Gruppi per autorizzazione locale.
- Utilizza il server LDAP per autenticazione e autorizzazione: se si seleziona questa opzione, XClarity Controller utilizzerà le credenziali sia per l'autenticazione presso il server LDAP che per identificare l'autorizzazione di un utente.
NotaI server LDAP da utilizzare per l'autenticazione possono essere configurati manualmente o rilevati in modo dinamico tramite i record SRV del DNS.- Utilizza server preconfigurati: è possibile configurare fino a tre server LDAP immettendo l'indirizzo IP o il nome host di ciascun server, se DNS è abilitato. Il numero di porta per ciascun server è facoltativo. Se questo campo è lasciato vuoto, per le connessioni LDAP non sicure sarà utilizzato il valore predefinito 389. Per le connessioni sicure, il valore predefinito della porta è 636. È necessario configurare almeno un server LDAP.
- Usa DNS per trovare i server: è possibile scegliere di rilevare i server LDAP in modo dinamico. I meccanismi descritti in RFC2782 (A DNS RR per specificare l'ubicazione dei servizi) vengono utilizzati per localizzare i server LDAP. Questo metodo è noto come DNS SRV. È necessario specificare un FQDN (Fully Qualified Domain Name, nome di dominio completo) da utilizzare come nome di dominio nella richiesta SRV del DNS.
- Foresta di AD: in un ambiente con gruppi universali in domini incrociati, il nome della foresta (set di domini) deve essere configurato per rilevare i cataloghi globali richiesti (GC). In un ambiente in cui l'appartenenza al gruppo tra domini non si applica, questo campo può essere lasciato vuoto.
- Dominio di AD: sarà necessario specificare un FQDN (Fully Qualified Domain Name, nome di dominio completo) da utilizzare come nome di dominio nella richiesta SRV del DNS.
- Immettere le informazioni in Parametri aggiuntivi. Di seguito sono riportate le spiegazioni dei parametri.
- Tipo di LDAP
- Selezionare il tipo di server LDAP per l'autenticazione basata su LDAP. Sono disponibili i seguenti tipi di server:
OpenLDAP
OpenLDAP
Active Directory
Directory: Windows Active Directory
Altro
Directory: Apache Directory, eDirectory e così via.
- Metodo di collegamento
- Prima di poter ricercare o interrogare il server LDAP è necessario inviare una richiesta di collegamento. Questo campo controlla il modo in cui viene eseguito il collegamento iniziale al server LDAP. Sono disponibili i seguenti metodi di collegamento:
Usa credenziali configurate
Utilizzare questo metodo per collegarsi con il DN e la password del client configurati.
Usa credenziali di login
Utilizzare questo metodo per collegarsi con le credenziali fornite durante il processo di login. L'ID utente può essere fornito mediante un nome distinto (DN, Distinguished Name), un DN parziale, un nome di dominio completo o tramite un ID utente che corrisponde all'attributo di ricerca UID configurato su XClarity Controller. Se le credenziali presentate assomigliano a un DN parziale (ad esempio cn=joe), questo DN parziale verrà presentato al DN radice configurato nel tentativo di creare un DN che corrisponda al record dell'utente. Se il tentativo di collegamento non riesce, verrà effettuato un ultimo tentativo anteponendo cn= alle credenziali di login e la stringa risultante al DN radice configurato.
- Nome distinto client
- Nome distinto (DN) client da utilizzare per il collegamento iniziale. Può essere costituito da un massimo di 300 caratteri.
- Password client
- Password per il client distinto.
- DN radice
- Questo è il nome distinto (DN) della voce root della struttura di directory sul server LDAP (ad esempio, dn=società,dc=com). Questo DN viene utilizzato come oggetto di base per tutte le richieste di ricerca.
- Attributo di ricerca del nome di login dell'utente
- Quando il metodo di collegamento è impostato su Utilizza credenziali configurate, il collegamento iniziale al server LDAP è seguito da una richiesta di ricerca che recupera informazioni specifiche sull'utente, compreso il DN utente, le autorizzazioni di login e l'appartenenza al gruppo. Questa richiesta di ricerca deve specificare il nome dell'attributo che rappresenta gli ID utente su tale server. Il nome attributo è configurato in questo campo. Nei server Active Directory il nome dell'attributo è in genere CN o sAMAccountName. Su server Novell eDirectory e OpenLDAP, il nome dell'attributo è uid. Se questo campo viene lasciato vuoto, il valore predefinito è sAMAccountName.
- Filtro di gruppi
- Il campo Filtro di gruppi è utilizzato per l'autenticazione dei gruppi. L'autenticazione dei gruppi viene tentata una volta verificate le credenziali dell'utente. Se l'autenticazione di un gruppo non riesce, l'accesso dell'utente verrà negato. Se si configura il filtro di un gruppo, questo sarà utilizzato per specificare a quali gruppi appartiene XClarity Controller. Ciò significa che, affinché l'autenticazione del gruppo riesca correttamente, l'utente deve appartenere almeno a uno dei gruppi configurati. Se il campo Filtro di gruppo viene lasciato vuoto, l'autenticazione del gruppo riuscirà automaticamente. Se il filtro di gruppo è configurato, verrà effettuato un tentativo di corrispondenza di almeno un gruppo nell'elenco a un gruppo a cui appartiene l'utente. Se non c'è alcuna corrispondenza, l'autenticazione dell'utente non riesce e viene negato l'accesso. Se invece esiste almeno una corrispondenza, l'autenticazione del gruppo riesce correttamente.
- Attributo di ricerca gruppi
- Il campo Attributo di ricerca gruppi specifica il nome dell'attributo utilizzato per identificare i gruppi a cui appartiene un utente. Nei server Active Directory il nome dell'attributo è in genere memberOf. Nei server Novell eDirectory il nome dell'attributo è groupMembership. Nei server OpenLDAP gli utenti sono solitamente assegnati a gruppi il cui objectClass è uguale a PosixGroup. In questo contesto, questo campo specifica il nome dell'attributo utilizzato per identificare i membri di un determinato PosixGroup. Il nome di questo attributo è memberUid. Se questo campo è lasciato vuoto, il nome dell'attributo nel filtro sarà memberOf.
- Attributo di autorizzazione di login
- Quando un utente viene correttamente autenticato mediante un server LDAP, dovranno essere recuperate le autorizzazioni di login per l'utente. Per recuperare le autorizzazioni di login, il filtro di ricerca inviato al server dovrà specificare il nome dell'attributo associato alle autorizzazioni stesse. Il campo Attributo di autorizzazione di login specifica il nome attributo. Se si utilizza il server LDAP per l'autenticazione e l'autorizzazione, ma questo campo viene lasciato vuoto, all'utente verrà rifiutato l'accesso.
Se nessuno dei bit è impostato, all'utente verrà rifiutato l'accessoTabella 1. Bit di autorizzazione. Una tabella con tre colonne contenente le spiegazioni delle posizioni di bit. Posizione di bit Funzione Spiegazione 0 Nega sempre Un utente non verrà mai autenticato. Questa funzione può essere utilizzata per bloccare un determinato utente associato a un determinato gruppo. 1 Accesso supervisore All'utente viene assegnato il privilegio da amministratore. L'utente avrà accesso in lettura e scrittura per ogni funzione. Se si imposta questo bit, non sarà necessario impostare singolarmente gli altri bit. 2 Accesso in sola lettura Un utente ha accesso in sola lettura e non potrà eseguire procedure di manutenzione (ad esempio riavvio, azioni remote o aggiornamenti firmware), né potrà apportare modifiche (ad esempio funzioni di salvataggio, cancellazione o ripristino). La posizione di bit 2 e tutti gli altri bit si escludono a vicenda, ma la posizione di bit 2 ha una precedenza più bassa. Se è impostato un qualsiasi altro bit, questo bit sarà ignorato. 3 Configurazione - Rete e sicurezza del BMC Un utente può modificare le configurazioni della sicurezza, dei protocolli di rete, dell'interfaccia di rete, delle assegnazioni delle porte e della porta seriale. 4 Gestione account utente Un utente può aggiungere, modificare o eliminare utenti e modificare le impostazioni globali di login nella finestra Profili di login. 5 Accesso alla console remota Un utente può accedere alla console del server remoto. 6 Accesso alla console remota e al disco remoto Un utente può accedere alla console del server remoto e alle funzioni del disco remoto per il server remoto. 7 Accesso accensione/riavvio del server remoto Un utente può accedere alle funzioni di accensione e riavvio per il server remoto. 8 Configurazione - Base Un utente può modificare i parametri di configurazione nelle finestre Impostazioni del sistema e Avvisi. 9 Possibilità di cancellare i log eventi Un utente può cancellare il log di eventi. NotaTutti gli utenti possono visualizzare i log di eventi, ma solo l'utente con questo livello di autorizzazione potrà cancellarli.10 Configurazione - Avanzate (aggiornamento firmware, riavvio BMC, ripristino configurazione) Un utente non ha limitazioni per la configurazione di XClarity Controller. Inoltre, l'utente avrà accesso in gestione a XClarity Controller. L'utente può eseguire queste funzioni avanzate: aggiornamenti del firmware, avvio della rete PXE, ripristino delle impostazioni predefinite originali dell'adattatore, modifica e ripristino della configurazione dell'adattatore da un file di configurazione e riavvio/reimpostazione dell'adattatore. 11 Configurazione - Sicurezza UEFI Un utente può configurare le impostazioni correlate alla sicurezza UEFI. Tale operazione può anche essere eseguita nella pagina di configurazione della sicurezza UEFI F1. 12 Riservato Riservato per un uso futuro e attualmente ignorato. NotaQuesta priorità è data alle autorizzazioni di accesso richiamate direttamente dal record utente. Se l'utente non dispone di un attributo di autorizzazione al login nel relativo record, verrà eseguito un tentativo di recupero delle autorizzazioni dai gruppi a cui appartiene l'utente e, se configurato, a cui corrisponde il filtro del gruppo. In questo caso, all'utente verrà assegnato l'operatore OR inclusivo di tutti i bit per tutti i gruppi. Allo stesso modo, il bitAccesso in sola lettura verrà impostato solo se tutti gli altri bit sono zero. Inoltre, se per uno dei gruppi è impostato il bit Nega sempre, all'utente verrà negato l'accesso. Il bit Nega sempre ha la precedenza su tutti gli altri bit. ImportanteSe si permette all'utente di modificare le impostazioni di base, di rete e/o di sicurezza correlate ai parametri di configurazione dell'adattatore, si dovrebbe prendere in considerazione la possibilità di consentire allo stesso utente di riavviare XClarity Controller (posizione di bit 10). In caso contrario, senza questa possibilità, un utente potrebbe essere in grado di modificare i parametri (ad esempio, l'indirizzo IP dell'adattatore), ma non di rendere effettive tali modifiche. Se è utilizzata la modalità Utilizza il server LDAP solo per l'autenticazione (con autorizzazione locale), configurare Gruppi per autorizzazione locale. Il nome del gruppo, il dominio del gruppo e il ruolo sono configurati per fornire l'autorizzazione locale per i gruppi di utenti. A ogni gruppo può essere assegnato un ruolo (autorizzazioni) identico a quello configurato nei ruoli in Utente locale. Gli account utente vengono assegnati a gruppi diversi sul server LDAP. A un utente viene assegnato il ruolo (autorizzazioni) del gruppo a cui appartiene l'account utente dopo il login a BMC. Il dominio del gruppo deve avere lo stesso formato del nome distinto. Ad esempio, dc=mycompany,dc=com verrà utilizzato come oggetto di base per le ricerche del gruppo. Se il campo viene lasciato vuoto, verrà utilizzato lo stesso valore del campo "DN radice". Altri gruppi possono essere aggiunti facendo clic sull'icona "+". Per eliminare i gruppi, fare invece clic sull'icona "x".
Selezionare l'attributo utilizzato per la visualizzazione del nome utente nel menu a discesa Specifica attributo utilizzato per visualizzare il nome utente.