Configurando LDAP
Use as informações neste tópico para visualizar ou alterar as configurações de LDAP do XClarity Controller.
- Suporte para protocolo LDAP versão 3 (RFC-2251)
- Suporte para APIs de cliente LDAP padrão (RFC-1823)
- Suporte para a sintaxe padrão de filtro de pesquisa do LDAP (RFC-2254)
- Suporte para extensão Lightweight Directory Access Protocol (v3) para Transport Layer Security (RFC-2830)
- Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Modo de aplicativo do Microsoft Active Directory (Windows 2003, Windows 2008)
- Serviço de diretório Microsoft Lightweight (Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Novell eDirectory Server, versão 8.7 e 8.8
- Servidor OpenLDAP 2.1, 2.2, 2.3, 2.4, 2.5 e 2.6
Clique na guia LDAP para visualizar ou modificar as de LDAP do XClarity Controller.
O XClarity Controller pode autenticar remotamente o acesso de um usuário por um servidor LDAP central em vez das contas de usuário locais que estão armazenadas no próprio XClarity Controller ou além delas. Os privilégios podem ser designados para cada conta de usuário usando o valor do "atributo de Permissão de Login". Também é possível usar o servidor LDAP para designar usuários a grupos e executar a autenticação de grupos, além da autenticação normal do usuário (verificação de senha). Por exemplo, um XClarity Controller pode ser associado a um ou mais grupos; o usuário só aprovará a autenticação do grupo se o usuário pertencer a pelo menos um grupo que está associado ao XClarity Controller.
- Em Informações do servidor LDAP, as opções a seguir estão disponíveis na lista de itens:
- Usar o servidor LDAP apenas para autenticação (com autorização local): essa seleção direcionará o XClarity Controller para usar as credenciais apenas para fazer a autenticação no servidor LDAP e para recuperar informações de associação ao grupo. Os nomes e as funções do grupo podem ser configurados na seção Grupos para Autorização Local.
- Usar o servidor LDAP para autenticação e autorização: essa seleção direcionará o XClarity Controller para usar as credenciais para fazer a autenticação no servidor LDAP e para identificar a permissão de um usuário.
NotaOs servidores LDAP a serem usados para autenticação podem ser configurados manualmente ou descobertos dinamicamente por meio de registros DNS SRV.- Usar servidores pré-configurados: você pode configurar até três servidores LDAP digitando o endereço IP ou o nome do host de cada servidor se o DNS estiver habilitado. O número da porta para cada servidor é opcional. Se esse campo for deixado em branco, o valor padrão de 389 será usado para conexões LDAP não asseguradas. Para conexões seguras, o padrão da porta padrão é 636. Pelo menos um servidor LDAP deve ser configurado.
- Usar DNS para localizar servidores: é possível optar por descobrir dinamicamente os servidores LDAP. Os mecanismos descritos em RFC2782 (um DNS RR para especificar o local de serviços) são utilizados para localizar o servidor LDAP. Isso é conhecido como DNS SRV. É necessário especificar um nome de domínio totalmente qualificado (FQDN) para ser usado como o nome do domínio na solicitação DNS SRV.
- Floresta AD: em um ambiente com grupos universais em domínios cruzados, o nome de floresta (conjunto de domínios) deve ser configurado para descobrir os catálogos globais necessários (GC). Em um ambiente no qual a associação ao grupo de domínio cruzado não é aplicável, esse campo pode ser deixado em branco.
- Domínio AD: será necessário especificar um nome de domínio totalmente qualificado (FQDN) para ser usado como o nome do domínio na solicitação DNS SRV.
- Preencha as informações em Parâmetros adicionais. Veja a seguir as explicações dos parâmetros.
- Tipo de LDAP
- Selecione o tipo de servidor LDAP para autenticação baseada em LDAP. Os seguintes tipos de servidor estão disponíveis:
OpenLDAP
OpenLDAP
Active Directory
Diretório: Windows Active Directory
Outro
Diretório: Apache Directory, eDirectory etc.
- Método de ligação
- Para poder procurar ou consultar o servidor LDAP, você deve enviar uma solicitação de ligação. Esse campo controla como essa ligação inicial para o servidor LDAP é executada. Os métodos de ligação a seguir estão disponíveis:
Usar credenciais configuradas
Use esse método para ligação com o DN e senha do cliente configurados.
Usar credenciais de login
Use esse método para ligação com as credenciais que são fornecidas durante o processo de login. O ID do usuário pode ser fornecido utilizando um DN, um DN parcial, um nome de domínio totalmente qualificado ou por meio de um ID do usuário que corresponda ao campo Atributo de Pesquisa de UID configurado no XClarity Controller. Se as credenciais apresentadas forem semelhantes a um DN parcial (por exemplo, cn=joe), esse DN parcial será adicionado ao DN Raiz configurado, em uma tentativa de criar um DN que corresponda ao registro do usuário. Se a tentativa de ligação falhar, será feita uma tentativa final de ligar adicionando cn = à credencial de login e adicionando a cadeia de caracteres resultante ao DN raiz configurado.
- Nome distinto do cliente
- O DN (Nome Distinto do Cliente) a ser usado para a associação inicial. E é limitado a um máximo de 300 caracteres.
- Senha do cliente
- A senha para este cliente distinto.
- DN raiz
- Esse é o nome distinto (DN) da entrada raiz da árvore de diretórios no servidor LDAP (por exemplo, dn=mycompany,dc=com). Esse DN é usado como o objeto base para todas as solicitações de pesquisa.
- Atributo de pesquisa do nome de login do usuário
- Quando o método de associação é definido como Usar Credenciais Configuradas, a associação inicial ao servidor LDAP é seguida por uma solicitação de pesquisa que recupera informações específicas sobre o usuário, incluindo o DN do usuário, permissões de login e associação de grupo. Essa solicitação de pesquisa deve especificar o nome do atributo que representa os IDs de usuário nesse servidor. Esse nome de atributo é configurado nesse campo. Em servidores Active Directory, o nome do atributo é geralmente CN ou sAMAccountName. Em servidores Novell eDirectory e OpenLDAP, o nome do atributo é uid. Se esse campo for deixado em branco, o padrão será sAMAccountName.
- Filtro de Grupo
- O campo Filtro de Grupo é usado para autenticação de grupo. A autenticação de grupo será tentada após as credenciais do usuário serem verificadas com êxito. Se a autenticação de grupo falhar, a tentativa do usuário de efetuar logon será negada. Quando configurado, o filtro de grupo é usado para especificar a quais grupos o XClarity Controller pertence. Isso significa que, para ter êxito, o usuário deve pertencer a pelo menos um dos grupos configurados para a autenticação de grupo. Se o campo Filtro de Grupo for deixado em branco, a autenticação de grupo automaticamente será bem-sucedida. Se o filtro de grupo for configurado, será feita uma tentativa de corresponder pelo menos um grupo na lista a um grupo ao qual o usuário pertence. Se não houver nenhuma correspondência, o usuário falhará na autenticação e terá o acesso negado. Se houver pelo menos uma correspondência, a autenticação de grupo será bem-sucedida.
- Atributo de Pesquisa de Associação de Grupo
- O campo Atributo de Pesquisa de Grupo especifica o nome do atributo usado para identificar os grupos aos quais um usuário pertence. Em servidores Active Directory, o nome do atributo é geralmente memberOf. Nos servidores Novell eDirectory, o nome do atributo é groupMembership. Em servidores OpenLDAP, os usuários geralmente são atribuídos a grupos cujo objectClass é igual a PosixGroup. Neste contexto, esse campo especifica o nome do atributo que é usado para identificar os membros de um PosixGroup específico. O nome do atributo é memberUid. Se esse campo ficar em branco, o nome do atributo no filtro assumirá por padrão memberOf.
- Atributo de Permissão de Login
- Quando um usuário é autenticado por meio de um servidor LDAP com sucesso, as permissões de login para o usuário devem ser recuperadas. Para recuperar as permissões de login, o filtro de procura que é enviado ao servidor deve especificar o nome do atributo que está associado às permissões de login. O campo Atributo de Permissão de Login especifica o nome do atributo. Se estiver usando o servidor LDAP para autenticação e autorização, mas esse campo ficar em branco, o usuário recusará o acesso.
Se nenhum dos bits estiver definido, o usuário terá o acesso recusadoTabela 1. Bits de permissão. Tabela de três colunas que contém explicações de posição de bit. Posição do Bit Função Explicação 0 Negar Sempre A autenticação de um usuário sempre falhará. Essa função pode ser usada para bloquear um determinado usuário ou usuários associados a um determinado grupo. 1 Acesso de Supervisor Privilégios de administrador são concedidos a um usuário. O usuário tem acesso de leitura/gravação a cada função. Se você configurar esse bit, não terá de configurar individualmente os outros bits. 2 Acesso Somente Leitura Um usuário possui acesso somente leitura e não pode executar nenhum procedimento de manutenção (por exemplo, reinicialização, ações remotas ou atualizações de firmware) nem fazer modificações (por exemplo, as funções salvar, limpar ou restaurar). A posição de bit 2 e todos os demais bits são mutuamente exclusivos, com a posição de bit 2 tendo a precedência mais baixa. Quando qualquer outro bit for configurado, esse bit será ignorado. 3 Configuração – Rede e Segurança do BMC Um usuário pode modificar as configurações de Segurança, Protocolos de Rede, Interface de Rede, Designações de Porta e Porta Serial. 4 Gerenciamento de Contas do Usuário Um usuário pode incluir, modificar ou excluir usuários e alterar as Configurações de Login Global na janela Perfis de Login. 5 Acesso ao Console Remoto Um usuário pode acessar o console do servidor remoto. 6 Acesso ao Console Remoto e ao Disco Remoto Um usuário pode acessar o console do servidor remoto e as funções de disco remoto para o servidor remoto. 7 Acesso para Ligar/Reiniciar Servidor Remoto Um usuário pode acessar as funções de ligação e reinicialização para o servidor remoto. 8 Configuração – Básica Um usuário pode modificar parâmetros de configuração nas janelas Configurações do Sistema e Alertas. 9 Capacidade de Limpar Logs de Eventos Um usuário pode limpar os logs de eventos. NotaTodos os usuários podem visualizar os logs de eventos; mas, para limpar os logs, o usuário precisa ter esse nível de permissão.10 Configuração – Avançada (Atualização de firmware, Reiniciar BMC, Restaurar configuração) Um usuário não tem restrições ao configurar o XClarity Controller. Além disso, o usuário tem acesso administrativo ao XClarity Controller. O usuário pode executar as seguintes funções avançadas: atualizar o firmware, inicializar a rede PXE, restaurar os padrões de fábrica do adaptador, modificar e restaurar a configuração de adaptador a partir de um arquivo de configuração e reiniciar/reconfigurar o adaptador. 11 Configuração – Segurança do UEFI Um usuário pode definir as configurações relacionadas à segurança UEFI, que também podem ser configuradas na página de configuração de segurança UEFI F1. 12 Reservado Reservado para uso futuro e atualmente ignorado. NotaObserve que é dada prioridade às permissões de login recuperadas diretamente do registro do usuário. Se o usuário não tiver o atributo de permissão de login no registro, será feita uma tentativa de recuperar as permissões dos grupos aos quais o usuário pertence e, se configurado, que correspondem ao filtro de grupo. Nesse caso, será designado ao usuário o OR inclusivo de todos os bits para todos os grupos. De forma similar, o bitAcesso Somente Leitura será definido apenas se os demais bits forem zero. Além disso, observe que, se o bit Negar Sempre estiver definido para qualquer um dos grupos, o usuário terá o acesso recusado. O bit Negar Sempre tem sempre precedência sobre os demais bits. ImportanteSe você conceder a um usuário a capacidade de modificar os parâmetros básicos de configuração do adaptador relacionados à rede e/ou à segurança, você deverá conceder a esse mesmo usuário a capacidade de reiniciar o XClarity Controller (posição de bit 10). Caso contrário, sem essa capacidade, um usuário poderá alterar parâmetros (por exemplo, endereço IP do adaptador) mas essas alterações não terão efeito. Se o modo Usar o servidor LDAP somente para autenticação (com autorização local) for usado, configure os Grupos para Autorização Local. Nome do Grupo, Domínio do Grupo e Função são configurados para fornecer autorização local para grupos de usuários. Cada grupo pode ser atribuído com uma Função (permissões) que é a mesma configurada nas funções em Usuário Local. As contas de usuário são atribuídas a grupos diferentes no servidor LDAP. Uma conta de usuário será atribuída com a Função (permissões) do grupo ao qual essa conta de usuário pertence depois de fazer login no BMC. O Domínio de Grupo deve estar no mesmo formato que o Nome Distinto, como: dc=mycompany,dc=com, será usado como objeto base para pesquisas de grupo. Se o campo for deixado em branco, ele usará o mesmo valor que o campo "DN raiz". Grupos adicionais podem ser adicionados clicando no ícone "+" ou excluídos clicando no ícone "x".
Selecione o atributo usado para exibir o nome do usuário no menu suspenso Especificar o atributo usado para exibir nome do usuário.