Pular para o conteúdo principal

Configurando LDAP

Use as informações neste tópico para visualizar ou alterar as configurações de LDAP do XClarity Controller.

O suporte de LDAP inclui:
  • Suporte para protocolo LDAP versão 3 (RFC-2251)
  • Suporte para APIs de cliente LDAP padrão (RFC-1823)
  • Suporte para a sintaxe padrão de filtro de pesquisa do LDAP (RFC-2254)
  • Suporte para extensão Lightweight Directory Access Protocol (v3) para Transport Layer Security (RFC-2830)
A implementação de LDAP oferece suporte aos seguintes servidores LDAP:
  • Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Modo de aplicativo do Microsoft Active Directory (Windows 2003, Windows 2008)
  • Serviço de diretório Microsoft Lightweight (Windows 2008, Windows 2012, Windows 2016, Windows 2019)
  • Novell eDirectory Server, versão 8.7 e 8.8
  • Servidor OpenLDAP 2.1, 2.2, 2.3, 2.4, 2.5 e 2.6

Clique na guia LDAP para visualizar ou modificar as de LDAP do XClarity Controller.

O XClarity Controller pode autenticar remotamente o acesso de um usuário por um servidor LDAP central em vez das contas de usuário locais que estão armazenadas no próprio XClarity Controller ou além delas. Os privilégios podem ser designados para cada conta de usuário usando o valor do "atributo de Permissão de Login". Também é possível usar o servidor LDAP para designar usuários a grupos e executar a autenticação de grupos, além da autenticação normal do usuário (verificação de senha). Por exemplo, um XClarity Controller pode ser associado a um ou mais grupos; o usuário só aprovará a autenticação do grupo se o usuário pertencer a pelo menos um grupo que está associado ao XClarity Controller.

Para configurar um servidor LDAP, conclua as seguintes etapas:
  1. Em Informações do servidor LDAP, as opções a seguir estão disponíveis na lista de itens:
    • Usar o servidor LDAP apenas para autenticação (com autorização local): essa seleção direcionará o XClarity Controller para usar as credenciais apenas para fazer a autenticação no servidor LDAP e para recuperar informações de associação ao grupo. Os nomes e as funções do grupo podem ser configurados na seção Grupos para Autorização Local.
    • Usar o servidor LDAP para autenticação e autorização: essa seleção direcionará o XClarity Controller para usar as credenciais para fazer a autenticação no servidor LDAP e para identificar a permissão de um usuário.
    Nota
    Os servidores LDAP a serem usados para autenticação podem ser configurados manualmente ou descobertos dinamicamente por meio de registros DNS SRV.
    • Usar servidores pré-configurados: você pode configurar até três servidores LDAP digitando o endereço IP ou o nome do host de cada servidor se o DNS estiver habilitado. O número da porta para cada servidor é opcional. Se esse campo for deixado em branco, o valor padrão de 389 será usado para conexões LDAP não asseguradas. Para conexões seguras, o padrão da porta padrão é 636. Pelo menos um servidor LDAP deve ser configurado.
    • Usar DNS para localizar servidores: é possível optar por descobrir dinamicamente os servidores LDAP. Os mecanismos descritos em RFC2782 (um DNS RR para especificar o local de serviços) são utilizados para localizar o servidor LDAP. Isso é conhecido como DNS SRV. É necessário especificar um nome de domínio totalmente qualificado (FQDN) para ser usado como o nome do domínio na solicitação DNS SRV.
      • Floresta AD: em um ambiente com grupos universais em domínios cruzados, o nome de floresta (conjunto de domínios) deve ser configurado para descobrir os catálogos globais necessários (GC). Em um ambiente no qual a associação ao grupo de domínio cruzado não é aplicável, esse campo pode ser deixado em branco.
      • Domínio AD: será necessário especificar um nome de domínio totalmente qualificado (FQDN) para ser usado como o nome do domínio na solicitação DNS SRV.
    Se desejar habilitar o LDAP seguro, clique na caixa de seleção Habilitar LDAP seguro. Para oferecer suporte ao LDAP seguro, um certificado SSL válido deve ser instalado e pelo menos um certificado confiável de cliente SSL deve ser importado para o XClarity Controller. Seu servidor LDAP deve oferecer suporte ao TLS versão 1.2 para ser compatível com o cliente LDAP seguro XClarity Controller. Para obter informações adicionais sobre manipulação de certificado, consulte Manipulação de certificado SSL.
  2. Preencha as informações em Parâmetros adicionais. Veja a seguir as explicações dos parâmetros.
    Tipo de LDAP
    Selecione o tipo de servidor LDAP para autenticação baseada em LDAP. Os seguintes tipos de servidor estão disponíveis:
    • OpenLDAP

      OpenLDAP

    • Active Directory

      Diretório: Windows Active Directory

    • Outro

      Diretório: Apache Directory, eDirectory etc.

    Método de ligação
    Para poder procurar ou consultar o servidor LDAP, você deve enviar uma solicitação de ligação. Esse campo controla como essa ligação inicial para o servidor LDAP é executada. Os métodos de ligação a seguir estão disponíveis:
    • Usar credenciais configuradas

      Use esse método para ligação com o DN e senha do cliente configurados.

    • Usar credenciais de login

      Use esse método para ligação com as credenciais que são fornecidas durante o processo de login. O ID do usuário pode ser fornecido utilizando um DN, um DN parcial, um nome de domínio totalmente qualificado ou por meio de um ID do usuário que corresponda ao campo Atributo de Pesquisa de UID configurado no XClarity Controller. Se as credenciais apresentadas forem semelhantes a um DN parcial (por exemplo, cn=joe), esse DN parcial será adicionado ao DN Raiz configurado, em uma tentativa de criar um DN que corresponda ao registro do usuário. Se a tentativa de ligação falhar, será feita uma tentativa final de ligar adicionando cn = à credencial de login e adicionando a cadeia de caracteres resultante ao DN raiz configurado.

    Se a ligação inicial for bem-sucedida, será realizada uma pesquisa para localizar no servidor LDAP uma entrada que pertença ao usuário que está efetuando login. Se necessário, será feita uma segunda tentativa de ligação, desta vez, com o DN recuperado do registro LDAP do usuário e a senha inserida durante o processo de login. Se a segunda tentativa de ligação falhar, o usuário terá o acesso negado. A segunda associação é executada somente quando os métodos de associação Usar Credenciais Configuradas são usados.
    Nome distinto do cliente
    O DN (Nome Distinto do Cliente) a ser usado para a associação inicial. E é limitado a um máximo de 300 caracteres.
    Senha do cliente
    A senha para este cliente distinto.
    DN raiz
    Esse é o nome distinto (DN) da entrada raiz da árvore de diretórios no servidor LDAP (por exemplo, dn=mycompany,dc=com). Esse DN é usado como o objeto base para todas as solicitações de pesquisa.
    Atributo de pesquisa do nome de login do usuário
    Quando o método de associação é definido como Usar Credenciais Configuradas, a associação inicial ao servidor LDAP é seguida por uma solicitação de pesquisa que recupera informações específicas sobre o usuário, incluindo o DN do usuário, permissões de login e associação de grupo. Essa solicitação de pesquisa deve especificar o nome do atributo que representa os IDs de usuário nesse servidor. Esse nome de atributo é configurado nesse campo. Em servidores Active Directory, o nome do atributo é geralmente CN ou sAMAccountName. Em servidores Novell eDirectory e OpenLDAP, o nome do atributo é uid. Se esse campo for deixado em branco, o padrão será sAMAccountName.
    Filtro de Grupo
    O campo Filtro de Grupo é usado para autenticação de grupo. A autenticação de grupo será tentada após as credenciais do usuário serem verificadas com êxito. Se a autenticação de grupo falhar, a tentativa do usuário de efetuar logon será negada. Quando configurado, o filtro de grupo é usado para especificar a quais grupos o XClarity Controller pertence. Isso significa que, para ter êxito, o usuário deve pertencer a pelo menos um dos grupos configurados para a autenticação de grupo. Se o campo Filtro de Grupo for deixado em branco, a autenticação de grupo automaticamente será bem-sucedida. Se o filtro de grupo for configurado, será feita uma tentativa de corresponder pelo menos um grupo na lista a um grupo ao qual o usuário pertence. Se não houver nenhuma correspondência, o usuário falhará na autenticação e terá o acesso negado. Se houver pelo menos uma correspondência, a autenticação de grupo será bem-sucedida.
    As comparações fazem distinção entre maiúsculas e minúsculas. O filtro é limitado a 511 caracteres e pode consistir em um ou mais nomes de grupos. O caractere de dois-pontos (:) deve ser usado para delimitar diversos nomes de grupos. Os espaços à esquerda e à direita são ignorados, mas qualquer outro espaço é tratado como parte do nome do grupo.
    Nota
    O caractere curinga (*) não é mais tratado como um curinga. O conceito de curinga foi descontinuado para evitar exposições de segurança. Um nome de grupo pode ser especificado como um DN completo ou usando apenas a parte de cn. Por exemplo, um grupo com um DN cn=adminGroup, dc=mycompany, dc=com pode ser especificado usando o DN real ou com adminGroup.
    Atributo de Pesquisa de Associação de Grupo
    O campo Atributo de Pesquisa de Grupo especifica o nome do atributo usado para identificar os grupos aos quais um usuário pertence. Em servidores Active Directory, o nome do atributo é geralmente memberOf. Nos servidores Novell eDirectory, o nome do atributo é groupMembership. Em servidores OpenLDAP, os usuários geralmente são atribuídos a grupos cujo objectClass é igual a PosixGroup. Neste contexto, esse campo especifica o nome do atributo que é usado para identificar os membros de um PosixGroup específico. O nome do atributo é memberUid. Se esse campo ficar em branco, o nome do atributo no filtro assumirá por padrão memberOf.
    Atributo de Permissão de Login
    Quando um usuário é autenticado por meio de um servidor LDAP com sucesso, as permissões de login para o usuário devem ser recuperadas. Para recuperar as permissões de login, o filtro de procura que é enviado ao servidor deve especificar o nome do atributo que está associado às permissões de login. O campo Atributo de Permissão de Login especifica o nome do atributo. Se estiver usando o servidor LDAP para autenticação e autorização, mas esse campo ficar em branco, o usuário recusará o acesso.
    O valor do atributo retornado pelas pesquisas do servidor LDAP deve ser uma cadeia de caracteres de bits inserida como 13 0s ou 1s consecutivos ou uma cadeia de caracteres de bits como 13 0s ou 1s consecutivos no total. Cada bit representa um conjunto de funções. Os bits são numerados de acordo com suas posições. O bit mais à esquerda é a posição de bit 0 e o bit mais à direita é a posição de bit 12. Um valor de 1 em uma posição de bit habilita a função associada a essa posição de bits. Um valor de 0 em uma posição de bit desativa a função que está associada a essa posição de bit.
    A cadeia de caracteres 0100000000000 é um exemplo válido, que é usado para permitir que ele seja colocado em qualquer campo. O atributo que você usar pode permitir uma sequência de formatação livre. Quando o atributo é recuperado com êxito, o valor retornado pelo servidor LDAP é interpretado de acordo com as informações na tabela a seguir.
    Tabela 1. Bits de permissão. Tabela de três colunas que contém explicações de posição de bit.
    Posição do BitFunçãoExplicação
    0Negar SempreA autenticação de um usuário sempre falhará. Essa função pode ser usada para bloquear um determinado usuário ou usuários associados a um determinado grupo.
    1Acesso de SupervisorPrivilégios de administrador são concedidos a um usuário. O usuário tem acesso de leitura/gravação a cada função. Se você configurar esse bit, não terá de configurar individualmente os outros bits.
    2Acesso Somente LeituraUm usuário possui acesso somente leitura e não pode executar nenhum procedimento de manutenção (por exemplo, reinicialização, ações remotas ou atualizações de firmware) nem fazer modificações (por exemplo, as funções salvar, limpar ou restaurar). A posição de bit 2 e todos os demais bits são mutuamente exclusivos, com a posição de bit 2 tendo a precedência mais baixa. Quando qualquer outro bit for configurado, esse bit será ignorado.
    3Configuração – Rede e Segurança do BMCUm usuário pode modificar as configurações de Segurança, Protocolos de Rede, Interface de Rede, Designações de Porta e Porta Serial.
    4Gerenciamento de Contas do UsuárioUm usuário pode incluir, modificar ou excluir usuários e alterar as Configurações de Login Global na janela Perfis de Login.
    5Acesso ao Console RemotoUm usuário pode acessar o console do servidor remoto.
    6Acesso ao Console Remoto e ao Disco RemotoUm usuário pode acessar o console do servidor remoto e as funções de disco remoto para o servidor remoto.
    7Acesso para Ligar/Reiniciar Servidor RemotoUm usuário pode acessar as funções de ligação e reinicialização para o servidor remoto.
    8Configuração – BásicaUm usuário pode modificar parâmetros de configuração nas janelas Configurações do Sistema e Alertas.
    9Capacidade de Limpar Logs de EventosUm usuário pode limpar os logs de eventos.
    Nota
    Todos os usuários podem visualizar os logs de eventos; mas, para limpar os logs, o usuário precisa ter esse nível de permissão.
    10Configuração – Avançada (Atualização de firmware, Reiniciar BMC, Restaurar configuração)Um usuário não tem restrições ao configurar o XClarity Controller. Além disso, o usuário tem acesso administrativo ao XClarity Controller. O usuário pode executar as seguintes funções avançadas: atualizar o firmware, inicializar a rede PXE, restaurar os padrões de fábrica do adaptador, modificar e restaurar a configuração de adaptador a partir de um arquivo de configuração e reiniciar/reconfigurar o adaptador.
    11Configuração – Segurança do UEFIUm usuário pode definir as configurações relacionadas à segurança UEFI, que também podem ser configuradas na página de configuração de segurança UEFI F1.
    12ReservadoReservado para uso futuro e atualmente ignorado.
    Se nenhum dos bits estiver definido, o usuário terá o acesso recusado
    Nota
    Observe que é dada prioridade às permissões de login recuperadas diretamente do registro do usuário. Se o usuário não tiver o atributo de permissão de login no registro, será feita uma tentativa de recuperar as permissões dos grupos aos quais o usuário pertence e, se configurado, que correspondem ao filtro de grupo. Nesse caso, será designado ao usuário o OR inclusivo de todos os bits para todos os grupos. De forma similar, o bit Acesso Somente Leitura será definido apenas se os demais bits forem zero. Além disso, observe que, se o bit Negar Sempre estiver definido para qualquer um dos grupos, o usuário terá o acesso recusado. O bit Negar Sempre tem sempre precedência sobre os demais bits.
    Importante
    Se você conceder a um usuário a capacidade de modificar os parâmetros básicos de configuração do adaptador relacionados à rede e/ou à segurança, você deverá conceder a esse mesmo usuário a capacidade de reiniciar o XClarity Controller (posição de bit 10). Caso contrário, sem essa capacidade, um usuário poderá alterar parâmetros (por exemplo, endereço IP do adaptador) mas essas alterações não terão efeito.
  3. Se o modo Usar o servidor LDAP somente para autenticação (com autorização local) for usado, configure os Grupos para Autorização Local. Nome do Grupo, Domínio do Grupo e Função são configurados para fornecer autorização local para grupos de usuários. Cada grupo pode ser atribuído com uma Função (permissões) que é a mesma configurada nas funções em Usuário Local. As contas de usuário são atribuídas a grupos diferentes no servidor LDAP. Uma conta de usuário será atribuída com a Função (permissões) do grupo ao qual essa conta de usuário pertence depois de fazer login no BMC. O Domínio de Grupo deve estar no mesmo formato que o Nome Distinto, como: dc=mycompany,dc=com, será usado como objeto base para pesquisas de grupo. Se o campo for deixado em branco, ele usará o mesmo valor que o campo "DN raiz". Grupos adicionais podem ser adicionados clicando no ícone "+" ou excluídos clicando no ícone "x".

  4. Selecione o atributo usado para exibir o nome do usuário no menu suspenso Especificar o atributo usado para exibir nome do usuário.