Passa al contenuto principale

Configurazione di LDAP

Utilizzare le informazioni in questo argomento per visualizzare o modificare le impostazioni LDAP di XClarity Controller.

Il supporto LDAP include:
  • Supporto della versione 3 del protocollo LDAP (RFC-2251)
  • Supporto delle API del client LDAP standard (RFC-1823)
  • Supporto della sintassi del filtro di ricerca LDAP standard (RFC-2254)
  • Supporto dell'estensione Lightweight Directory Access Protocol (v3) per Transport Layer Security (RFC-2830)
L'implementazione LDAP supporta i seguenti server LDAP:
  • Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Microsoft Active Directory Application Mode (Windows 2003, Windows 2008)
  • Microsoft Lightweight Directory Service (Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Novell eDirectory Server, versione 8.7 e 8.8
  • OpenLDAP Server 2.1, 2.2, 2.3, 2.4, 2.5 e 2.6

Selezionare la scheda LDAP per visualizzare o modificare le impostazioni LDAP di XClarity Controller.

XClarity Controller permette di autenticare da remoto l'accesso di un utente tramite un server LDAP centrale, in sostituzione o in aggiunta agli account degli utenti locali memorizzati in XClarity Controller. I privilegi possono essere definiti per ogni account utente utilizzando il valore di "Attributo di autorizzazione di login". È inoltre possibile utilizzare il server LDAP per assegnare gli utenti ai gruppi ed eseguire l'autenticazione del gruppo, oltre alla normale autenticazione utente (controllo della password). Ad esempio, un XClarity Controller può essere associato a uno o più gruppi, l'utente supererà l'autenticazione del gruppo solo se appartiene almeno a un gruppo associato a XClarity Controller.

Per configurare un server LDAP, effettuare le seguenti operazioni:
  1. In Informazioni sul server LDAP, sono disponibili le seguenti opzioni all'elenco degli elementi:
    • Utilizza il server LDAP solo per l'autenticazione (con autorizzazione locale): se si seleziona questa opzione, XClarity Controller utilizzerà le credenziali soltanto per l'autenticazione presso il server LDAP e per recuperare informazioni sull'appartenenza ai gruppi. I nomi dei gruppi e i ruoli possono essere configurati nella sezione Gruppi per autorizzazione locale.
    • Utilizza il server LDAP per autenticazione e autorizzazione: se si seleziona questa opzione, XClarity Controller utilizzerà le credenziali sia per l'autenticazione presso il server LDAP che per identificare l'autorizzazione di un utente.
    Nota
    I server LDAP da utilizzare per l'autenticazione possono essere configurati manualmente o rilevati in modo dinamico tramite i record SRV del DNS.
    • Utilizza server preconfigurati: è possibile configurare fino a tre server LDAP immettendo l'indirizzo IP o il nome host di ciascun server, se DNS è abilitato. Il numero di porta per ciascun server è facoltativo. Se questo campo è lasciato vuoto, per le connessioni LDAP non sicure sarà utilizzato il valore predefinito 389. Per le connessioni sicure, il valore predefinito della porta è 636. È necessario configurare almeno un server LDAP.
    • Usa DNS per trovare i server: è possibile scegliere di rilevare i server LDAP in modo dinamico. I meccanismi descritti in RFC2782 (A DNS RR per specificare l'ubicazione dei servizi) vengono utilizzati per localizzare i server LDAP. Questo metodo è noto come DNS SRV. È necessario specificare un FQDN (Fully Qualified Domain Name, nome di dominio completo) da utilizzare come nome di dominio nella richiesta SRV del DNS.
      • Foresta di AD: in un ambiente con gruppi universali in domini incrociati, il nome della foresta (set di domini) deve essere configurato per rilevare i cataloghi globali richiesti (GC). In un ambiente in cui l'appartenenza al gruppo tra domini non si applica, questo campo può essere lasciato vuoto.
      • Dominio di AD: sarà necessario specificare un FQDN (Fully Qualified Domain Name, nome di dominio completo) da utilizzare come nome di dominio nella richiesta SRV del DNS.
    Se si desidera abilitare il protocollo LDAP sicuro, selezionare la casella di controllo Abilita LDAP sicuro. Per supportare il protocollo LDAP sicuro, è necessario disporre di un certificato SSL valido e aver importato almeno un certificato attendibile del client SSL in XClarity Controller. Il server LDAP deve supportare la versione 1.2 di Transport Layer Security (TLS) per essere compatibile con il client LDAP sicuro XClarity Controller. Per ulteriori informazioni sulla gestione dei certificati, fare riferimento a Gestione dei certificati SSL.
  2. Immettere le informazioni in Parametri aggiuntivi. Di seguito sono riportate le spiegazioni dei parametri.
    Tipo di LDAP
    Selezionare il tipo di server LDAP per l'autenticazione basata su LDAP. Sono disponibili i seguenti tipi di server:

    • OpenLDAP

      OpenLDAP

    • Active Directory

      Directory: Windows Active Directory

    • Altro

      Directory: Apache Directory, eDirectory e così via.

    Metodo di collegamento
    Prima di poter ricercare o interrogare il server LDAP è necessario inviare una richiesta di collegamento. Questo campo controlla il modo in cui viene eseguito il collegamento iniziale al server LDAP. Sono disponibili i seguenti metodi di collegamento:

    • Usa credenziali configurate

      Utilizzare questo metodo per collegarsi con il DN e la password del client configurati.

    • Usa credenziali di login

      Utilizzare questo metodo per collegarsi con le credenziali fornite durante il processo di login. L'ID utente può essere fornito mediante un nome distinto (DN, Distinguished Name), un DN parziale, un nome di dominio completo o tramite un ID utente che corrisponde all'attributo di ricerca UID configurato su XClarity Controller. Se le credenziali presentate assomigliano a un DN parziale (ad esempio cn=joe), questo DN parziale verrà presentato al DN radice configurato nel tentativo di creare un DN che corrisponda al record dell'utente. Se il tentativo di collegamento non riesce, verrà effettuato un ultimo tentativo anteponendo cn= alle credenziali di login e la stringa risultante al DN radice configurato.

    Se il collegamento iniziale riesce correttamente, verrà eseguita una ricerca per trovare una voce sul server LDAP appartenente all'utente che si sta collegando. Se necessario, verrà effettuato un secondo tentativo di collegamento, questa volta con il DN recuperato dal record LDAP dell'utente e con la password immessa durante il processo di login. Se il secondo tentativo di collegamento non riesce, l'accesso dell'utente verrà negato. Il secondo collegamento viene eseguito solo se vengono utilizzati i metodi di collegamento Utilizza credenziali configurate.
    Nome distinto client
    Nome distinto (DN) client da utilizzare per il collegamento iniziale. Può essere costituito da un massimo di 300 caratteri.
    Password client
    Password per il client distinto.
    DN radice
    Questo è il nome distinto (DN) della voce root della struttura di directory sul server LDAP (ad esempio, dn=società,dc=com). Questo DN viene utilizzato come oggetto di base per tutte le richieste di ricerca.
    Attributo di ricerca del nome di login dell'utente
    Quando il metodo di collegamento è impostato su Utilizza credenziali configurate, il collegamento iniziale al server LDAP è seguito da una richiesta di ricerca che recupera informazioni specifiche sull'utente, compreso il DN utente, le autorizzazioni di login e l'appartenenza al gruppo. Questa richiesta di ricerca deve specificare il nome dell'attributo che rappresenta gli ID utente su tale server. Il nome attributo è configurato in questo campo. Nei server Active Directory il nome dell'attributo è in genere CN o sAMAccountName. Su server Novell eDirectory e OpenLDAP, il nome dell'attributo è uid. Se questo campo viene lasciato vuoto, il valore predefinito è sAMAccountName.
    Filtro di gruppi
    Il campo Filtro di gruppi è utilizzato per l'autenticazione dei gruppi. L'autenticazione dei gruppi viene tentata una volta verificate le credenziali dell'utente. Se l'autenticazione di un gruppo non riesce, l'accesso dell'utente verrà negato. Se si configura il filtro di un gruppo, questo sarà utilizzato per specificare a quali gruppi appartiene XClarity Controller. Ciò significa che, affinché l'autenticazione del gruppo riesca correttamente, l'utente deve appartenere almeno a uno dei gruppi configurati. Se il campo Filtro di gruppo viene lasciato vuoto, l'autenticazione del gruppo riuscirà automaticamente. Se il filtro di gruppo è configurato, verrà effettuato un tentativo di corrispondenza di almeno un gruppo nell'elenco a un gruppo a cui appartiene l'utente. Se non c'è alcuna corrispondenza, l'autenticazione dell'utente non riesce e viene negato l'accesso. Se invece esiste almeno una corrispondenza, l'autenticazione del gruppo riesce correttamente.
    I confronti sono sensibili al maiuscolo/minuscolo. Il filtro è limitato a 511 caratteri e può essere costituito da uno o più nomi di gruppo. Per delimitare più nomi di gruppi, utilizzare i due punti (:). Gli spazi iniziali e finali vengono ignorati, ma qualsiasi altro spazio viene considerato come parte del nome del gruppo.
    Nota
    Il carattere jolly (*) non è più considerato come tale. Il concetto di carattere jolly non è più supportato per evitare rischi per la sicurezza. Il nome di un gruppo può essere specificato come DN completo oppure utilizzando solo la parte cn . Ad esempio, un gruppo con un DN uguale a cn=adminGroup, dc=mycompany, dc=com può essere specificato utilizzando il DN effettivo o con adminGroup.
    Attributo di ricerca gruppi
    Il campo Attributo di ricerca gruppi specifica il nome dell'attributo utilizzato per identificare i gruppi a cui appartiene un utente. Nei server Active Directory il nome dell'attributo è in genere memberOf. Nei server Novell eDirectory il nome dell'attributo è groupMembership. Nei server OpenLDAP gli utenti sono solitamente assegnati a gruppi il cui objectClass è uguale a PosixGroup. In questo contesto, questo campo specifica il nome dell'attributo utilizzato per identificare i membri di un determinato PosixGroup. Il nome di questo attributo è memberUid. Se questo campo è lasciato vuoto, il nome dell'attributo nel filtro sarà memberOf.
    Attributo di autorizzazione di login
    Quando un utente viene correttamente autenticato mediante un server LDAP, dovranno essere recuperate le autorizzazioni di login per l'utente. Per recuperare le autorizzazioni di login, il filtro di ricerca inviato al server dovrà specificare il nome dell'attributo associato alle autorizzazioni stesse. Il campo Attributo di autorizzazione di login specifica il nome attributo. Se si utilizza il server LDAP per l'autenticazione e l'autorizzazione, ma questo campo viene lasciato vuoto, all'utente verrà rifiutato l'accesso.
    Il valore dell'attributo restituito dalle ricerche del server LDAP deve essere una stringa di bit immessa come 13 0 o 1 consecutivi oppure una stringa di bit come 13 0 o 1 consecutivi in totale. Ogni bit rappresenta una serie di funzioni. I bit sono numerati in base alle loro posizioni. Il bit più a sinistra è la posizione del bit 0 e il bit più a destra è la posizione del bit 12. Un valore pari a 1 in una posizione di bit abilita la funzione associata a tale posizione di bit. Un valore 0 alla posizione di bit disabilita la funzione associata a tale posizione.
    La stringa 0100000000000 è un esempio valido, che viene utilizzato per consentirne l'inserimento in qualsiasi campo. L'attributo che viene utilizzato può consentire una stringa senza formattazione. Quando l'attributo viene recuperato correttamente, il valore restituito dal server LDAP viene interpretato in base alle informazioni riportate nella seguente tabella.
    Tabella 1. Bit di autorizzazione.

    Una tabella con tre colonne contenente le spiegazioni delle posizioni di bit.

    Posizione di bitFunzioneSpiegazione
    0Nega sempreUn utente non verrà mai autenticato. Questa funzione può essere utilizzata per bloccare un determinato utente associato a un determinato gruppo.
    1Accesso supervisoreAll'utente viene assegnato il privilegio da amministratore. L'utente avrà accesso in lettura e scrittura per ogni funzione. Se si imposta questo bit, non sarà necessario impostare singolarmente gli altri bit.
    2Accesso in sola letturaUn utente ha accesso in sola lettura e non potrà eseguire procedure di manutenzione (ad esempio riavvio, azioni remote o aggiornamenti firmware), né potrà apportare modifiche (ad esempio funzioni di salvataggio, cancellazione o ripristino). La posizione di bit 2 e tutti gli altri bit si escludono a vicenda, ma la posizione di bit 2 ha una precedenza più bassa. Se è impostato un qualsiasi altro bit, questo bit sarà ignorato.
    3Configurazione - Rete e sicurezza del BMCUn utente può modificare le configurazioni della sicurezza, dei protocolli di rete, dell'interfaccia di rete, delle assegnazioni delle porte e della porta seriale.
    4Gestione account utenteUn utente può aggiungere, modificare o eliminare utenti e modificare le impostazioni globali di login nella finestra Profili di login.
    5Accesso alla console remotaUn utente può accedere alla console del server remoto.
    6Accesso alla console remota e al disco remotoUn utente può accedere alla console del server remoto e alle funzioni del disco remoto per il server remoto.
    7Accesso accensione/riavvio del server remotoUn utente può accedere alle funzioni di accensione e riavvio per il server remoto.
    8Configurazione - BaseUn utente può modificare i parametri di configurazione nelle finestre Impostazioni del sistema e Avvisi.
    9Possibilità di cancellare i log eventiUn utente può cancellare il log di eventi.
    Nota
    Tutti gli utenti possono visualizzare i log di eventi, ma solo l'utente con questo livello di autorizzazione potrà cancellarli.
    10Configurazione - Avanzate (aggiornamento firmware, riavvio BMC, ripristino configurazione)Un utente non ha limitazioni per la configurazione di XClarity Controller. Inoltre, l'utente avrà accesso in gestione a XClarity Controller. L'utente può eseguire queste funzioni avanzate: aggiornamenti del firmware, avvio della rete PXE, ripristino delle impostazioni predefinite originali dell'adattatore, modifica e ripristino della configurazione dell'adattatore da un file di configurazione e riavvio/reimpostazione dell'adattatore.
    11Configurazione - Sicurezza UEFIUn utente può configurare le impostazioni correlate alla sicurezza UEFI. Tale operazione può anche essere eseguita nella pagina di configurazione della sicurezza UEFI F1.
    12RiservatoRiservato per un uso futuro e attualmente ignorato.
    Se nessuno dei bit è impostato, all'utente verrà rifiutato l'accesso
    Nota
    Questa priorità è data alle autorizzazioni di accesso richiamate direttamente dal record utente. Se l'utente non dispone di un attributo di autorizzazione al login nel relativo record, verrà eseguito un tentativo di recupero delle autorizzazioni dai gruppi a cui appartiene l'utente e, se configurato, a cui corrisponde il filtro del gruppo. In questo caso, all'utente verrà assegnato l'operatore OR inclusivo di tutti i bit per tutti i gruppi. Allo stesso modo, il bit Accesso in sola lettura verrà impostato solo se tutti gli altri bit sono zero. Inoltre, se per uno dei gruppi è impostato il bit Nega sempre, all'utente verrà negato l'accesso. Il bit Nega sempre ha la precedenza su tutti gli altri bit.
    Importante
    Se si permette all'utente di modificare le impostazioni di base, di rete e/o di sicurezza correlate ai parametri di configurazione dell'adattatore, si dovrebbe prendere in considerazione la possibilità di consentire allo stesso utente di riavviare XClarity Controller (posizione di bit 10). In caso contrario, senza questa possibilità, un utente potrebbe essere in grado di modificare i parametri (ad esempio, l'indirizzo IP dell'adattatore), ma non di rendere effettive tali modifiche.

  3. Se è utilizzata la modalità Utilizza il server LDAP solo per l'autenticazione (con autorizzazione locale), configurare Gruppi per autorizzazione locale. Il nome del gruppo, il dominio del gruppo e il ruolo sono configurati per fornire l'autorizzazione locale per i gruppi di utenti. A ogni gruppo può essere assegnato un ruolo (autorizzazioni) identico a quello configurato nei ruoli in Utente locale. Gli account utente vengono assegnati a gruppi diversi sul server LDAP. A un utente viene assegnato il ruolo (autorizzazioni) del gruppo a cui appartiene l'account utente dopo il login a BMC. Il dominio del gruppo deve avere lo stesso formato del nome distinto. Ad esempio, dc=mycompany,dc=com verrà utilizzato come oggetto di base per le ricerche del gruppo. Se il campo viene lasciato vuoto, verrà utilizzato lo stesso valore del campo "DN radice". Altri gruppi possono essere aggiunti facendo clic sull'icona "+". Per eliminare i gruppi, fare invece clic sull'icona "x".

  4. Selezionare l'attributo utilizzato per la visualizzazione del nome utente nel menu a discesa Specifica attributo utilizzato per visualizzare il nome utente.