Настройка LDAP

Воспользуйтесь информацией из этого раздела для просмотра или изменения параметров LDAP XClarity Controller.

Поддержка LDAP включает:

Поддержку протокола LDAP версии 3 (RFC 2251);
Поддержку стандартных интерфейсов API клиентов LDAP (RFC 1823);
Поддержку стандартного синтаксиса фильтра поиска LDAP (RFC 2254);
Поддержку расширения протокола LDAP (версии 3) для протокола TLS (RFC 2830).

Реализация LDAP поддерживает следующие серверы LDAP:

Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
Microsoft Active Directory Application Mode (Windows 2003, Windows 2008)
Microsoft Lightweight Directory Service (Windows 2008, Windows 2012, Windows 2016, Windows 2019)
Novell eDirectory Server версий 8.7 и 8.8
OpenLDAP Server 2.1, 2.2, 2.3, 2.4, 2.5 и 2.6

Перейдите на вкладку LDAP для просмотра или изменения параметров LDAP XClarity Controller.

XClarity Controller может удаленно аутентифицировать доступ пользователя с помощью центрального сервера LDAP вместо локальных учетных записей пользователя (или в дополнение к ним), которые сохранены в самом контроллере XClarity Controller. Можно назначить привилегии для каждой учетной записи пользователя, используя значение «Атрибут разрешений на вход». Кроме того, можно использовать сервер LDAP, чтобы назначить пользователей группам и выполнять групповую аутентификацию, помимо стандартной аутентификации пользователей (по проверке пароля). Например, можно назначить XClarity Controller одной или нескольким группам; пользователь сможет пройти групповую аутентификацию, только если он относится хотя бы к одной группе, связанной с XClarity Controller.

Для настройки сервера LDAP выполните следующие действия:

В разделе Сведения о сервере LDAP в списке элементов доступны следующие параметры:
- Использовать сервер LDAP только для аутентификации (с локальной авторизацией): если выбран этот параметр, XClarity Controller будет использовать учетные данные только для аутентификации на сервере LDAP и извлечения информации о принадлежности к группе. Названия групп и роли можно настроить в разделе Группы для локальной авторизации.
- Использовать сервер LDAP для аутентификации и авторизации: если выбран этот параметр, XClarity Controller будет использовать учетные данные и для аутентификации на сервере LDAP, и для идентификации разрешений пользователя.
Прим.
Серверы LDAP, которые следует использовать для аутентификации, можно настроить вручную или обнаружить с помощью записей DNS SRV в динамическом режиме.
- Использовать преднастроенные серверы: можно настроить до трех серверов LDAP, введя IP-адрес или имя хоста каждого из них, если DNS включена. Номер порта для каждого сервера указывать не обязательно. Если это поле оставлено пустым, для незащищенных подключений LDAP используется значение по умолчанию — 389. Для защищенных подключений значение порта по умолчанию — 636. Необходимо настроить по меньшей мере один сервер LDAP.
- Использовать DNS для поиска серверов: можно настроить динамический режим обнаружения серверов LDAP. Механизмы, описанные в статье RFC2782 (DNS RR для указания расположения служб), используются для определения расположения серверов LDAP. Этот процесс известен под названием DNS SRV. Необходимо указать полное доменное имя, которое будет использоваться в качестве доменного имени в запросе DNS SRV.
  - Лес AD: в среде с универсальными группами в перекрестных доменах необходимо настроить имя леса (набора доменов) для обнаружения обязательных глобальных каталогов (GC). В среде без кросс-доменного членства в группах это поле можно оставить пустым.
  - Домен AD: потребуется указать полное доменное имя, которое будет использоваться в качестве доменного имени в запросе DNS SRV.
Если требуется включить защищенный LDAP, установите флажок Включить защищенный LDAP. Для поддержки защищенного LDAP необходимо наличие действительного сертификата SSL; кроме того, требуется импортировать по меньшей мере один доверенный сертификат клиента SSL в XClarity Controller. Сервер LDAP должен поддерживать протокол TLS версии 1.2 — только в этом случае он будет совместим с защищенным клиентом LDAP контроллера XClarity Controller. Дополнительные сведения о работе с сертификатами см. в разделе Обработка сертификатов SSL.

Заполните информацию в разделе Дополнительные атрибуты. Ниже приводятся пояснения этих атрибутов.

Тип LDAP

Выберите тип сервера LDAP для проверки подлинности на основе LDAP. Доступны следующие типы серверов:

OpenLDAP
OpenLDAP
Active Directory
Каталог: Windows Active Directory
Другое
Каталог: Apache Directory, eDirectory и т. д.

Метод привязки

Прежде чем начинать поиск на сервере LDAP или отправлять на него запросы, необходимо отправить запрос привязки. Это поле управляет выполнением первоначальной привязки к серверу LDAP. Доступны следующие методы привязки:

Использовать настроенные учетные данные
Используйте этот метод для привязки с использованием настроенного различающегося имени и пароля клиента.
Использовать учетные данные входа
Используйте этот метод для привязки с учетными данными, предоставленными в процессе входа. ИД пользователя может быть предоставлен с помощью различающегося имени, частичного различающегося имени, полного доменного имени или идентификатора пользователя, соответствующего атрибуту поиска UID, который настроен в XClarity Controller. Если предоставленные учетные данные напоминают частичное различающееся имя (например, cn=joe), оно будет присоединено спереди настроенного различающегося имени корня в попытке создать различающееся имя, соответствующее записи пользователя. Если попытка привязки завершится сбоем, будет сделана заключительная попытка создания привязки путем присоединения cn= to спереди к учетным данным входа, а полученной строки — к настроенному различающемуся имени корня.

Если первоначальная привязка выполнена успешно, выполняется поиск записи на сервере LDAP, которая относится к выполняющему вход в систему пользователю. При необходимости выполняется вторая попытка привязки — на этот раз с различающимся именем, извлеченным из записи LDAP пользователя, и паролем, введенным в процессе входа. Если вторая попытка привязки завершается сбоем, пользователю отказано в доступе. Вторая привязка выполняется, только если используются методы привязки Использовать настроенные учетные данные.

Различающееся имя клиента: Различающееся имя клиента (DN), которое будет использоваться для начальной привязки. Оно ограничено максимум 300 символами.

Пароль клиента: Пароль для этого различающегося имени клиента.

Корневое DN: Это различающееся имя корневой записи в дереве каталога на сервере LDAP (например, dn=mycompany,dc=com). Это различающееся имя используется в качестве базового объекта для всех поисковых запросов.

Атрибут поиска имени пользователя: Если в качестве метода привязки задано значение Использовать настроенные учетные данные, за первоначальной привязкой к серверу LDAP следует поисковый запрос, извлекающий конкретную информацию о пользователе, включая различающееся имя пользователя, разрешения на вход и принадлежность к группе. В поисковом запросе необходимо указать имя атрибута, представляющего идентификаторы пользователей на этом сервере. Имя атрибута настраивается в этом поле. На серверах Active Directory имя атрибута обычно имеет следующий вид: CN или sAMAccountName. На серверах Novell eDirectory и OpenLDAP имя атрибута имеет вид uid. Если это поле оставлено пустым, по умолчанию используется sAMAccountName.

Групповой фильтр: Поле Групповой фильтр используется для групповой аутентификации. Попытка групповой аутентификации предпринимается после успешной проверки учетных данных пользователя. Если групповая аутентификация завершается сбоем, пользователю отказывают в доступе. Если настроен групповой фильтр, он служит для указания принадлежности XClarity Controller к тем или иным группам. Это означает, что для успешного выполнения операции пользователь должен относиться по меньшей мере к одной группе, настроенной для групповой аутентификации. Если поле Групповой фильтр оставлено пустым, групповая аутентификация автоматически завершается успехом. Если групповой фильтр настроен, предпринимается попытка сопоставить по меньшей мере одну группу в списке группе, к которой относится пользователь. Если соответствие не найдено, пользователь не проходит аутентификацию, в доступе ему отказано. Если найдено хотя бы одно соответствие, групповая аутентификация завершается успешно.; При сравнении учитывается регистр. Длина фильтра ограничена 511 символами, фильтр может включать одно или несколько имен группы. Символ двоеточия (:) следует использовать для разделения нескольких имен групп. Пробелы в начале и в конце строки игнорируются, однако все остальные пробелы считаются частью имени группы.
Прим.
Подстановочный символ (*) более не является подстановочным. Концепция подстановочных символов более не используется в целях устранения уязвимостей безопасности. Имя группы можно задать в качестве полного различающегося имени или с помощью части cn. Например, группу с различающимся именем cn=adminGroup, dc=mycompany, dc=com можно задать с использованием фактического различающегося имени или adminGroup.

Атрибут поиска по групповому членству: В поле Атрибут группового поиска задается имя атрибута, используемое для идентификации групп, к которым относится пользователь. На серверах Active Directory имя атрибута обычно имеет следующий вид: memberOf. На серверах Novell eDirectory имя атрибута — groupMembership. На серверах OpenLDAP пользователи обычно распределяются по группам, чей objectClass равен PosixGroup. В этом контексте это поле задает имя атрибута, используемое для идентификации участников определенной группы PosixGroup. Это имя атрибута — memberUid. Если это поле оставлено пустым, имя атрибута в фильтре по умолчанию равно memberOf.

Атрибут разрешений на вход: Если пользователь успешно проходит аутентификацию на сервере LDAP, необходимо извлечь разрешения на вход для этого пользователя. Чтобы сделать это, фильтр поиска, отправляемый на сервер, должен содержать указание на имя атрибута, связанное с разрешениями на вход. В поле Атрибута разрешений на вход задано имя атрибута. Если сервер LDAP используется для аутентификации и авторизации, но это поле оставлено пустым, пользователю будет отказано в доступе.; Значение атрибута, возвращаемое поиском на сервере LDAP, должно быть битовой строкой в виде 13 последовательных нулей или единиц или битовой строкой в виде 13 последовательных нулей или единиц в общей сложности. Каждый бит представляет набор функций Биты нумеруются в соответствии с расположением. Крайний левый бит — это битовая позиция 0, а крайний правый — битовая позиция 12. Значение 1 в позиции бита включает функцию, связанную с этой позицией бита. Значение 0 в битовой позиции отключает функцию, связанную с соответствующей битовой позицией.; Строка 0100000000000 является наглядным примером, который используется для того, чтобы разрешить размещение в любом поле. Используемый атрибут позволяет составить строку свободного формата.а В случае успешного извлечения атрибута возвращаемое сервером LDAP значение интерпретируется в соответствии с информацией в следующей таблице.

Табл. 1. Биты разрешений.
Таблица из трех столбцов, в которой объясняются позиции битов.
Позиция бита	Функция	Объяснение
0	Всегда отказывать	Пользователь никогда не сможет пройти аутентификацию. Эту функцию можно использовать, чтобы заблокировать конкретного пользователя или пользователей, связанных с определенной группой.
1	Доступ уровня «Администратор»	Пользователю присваиваются привилегии администратора. У пользователя появляется доступ на чтение и запись в отношении каждой функции. Если настроить этот бит, настраивать другие биты по отдельности не потребуется.
2	Доступ «Только чтение»	Пользователь получает доступ «Только чтение» и не может выполнять никакие процедуры обслуживания (например, перезапускать систему, выполнять удаленные действия или обновления микропрограмм) или вносить изменения (то есть выполнять функции сохранения, очистки и восстановления). Позиция бита 2 и все остальные биты являются взаимно исключающими, позиция бита 2 имеет самый низкий приоритет. Если заданы какие-либо другие биты, этот бит будет игнорироваться.
3	Конфигурация — сетевые подключения и безопасность BMC	Пользователь может менять параметры сети, сетевые протоколы, сетевой интерфейс, назначение портов и конфигурации последовательных портов.
4	Управление учетными записями пользователей	Пользователь может добавлять, изменять и удалять пользователей, а также менять параметры глобального входа в окне «Профили входа».
5	Доступ к удаленной консоли	Пользователь может осуществлять доступ к удаленной консоли сервера.
6	Доступ к удаленной консоли и удаленному диску	Пользователь может осуществлять доступ к удаленной консоли сервера и функциям удаленного диска для удаленного сервера.
7	Удаленный доступ к питанию/перезапуску сервера	Пользователь может осуществлять доступ к функциям включения и перезапуска удаленного сервера.
8	Конфигурация — базовая	Пользователь может менять параметры конфигурации на страницах «Системные параметры» и «Оповещения».
9	Возможность очищать журналы событий	Пользователь может очищать журналы событий. Прим. Все пользователи могут просматривать журналы событий, однако для очистки журналов требуется разрешение этого уровня.
10	Конфигурация — расширенная (обновление микропрограмм, перезапуск BMC, восстановление конфигурации)	У пользователя нет ограничений по настройке XClarity Controller. Кроме того, пользователь имеет административные права доступа к XClarity Controller. Пользователь может выполнять следующие расширенные функции: обновление микропрограмм, загрузка сети PXE, восстановление заводских значений адаптера, изменение и восстановление конфигурации адаптера из файла конфигурации, а также перезапуск и сброс адаптера.
11	Конфигурация — безопасность UEFI	Пользователь может настроить параметры, связанные с безопасностью UEFI, которые также можно настроить на странице настройки безопасности UEFI F1.
12	Зарезервирован	Зарезервировано для использования в будущем и в настоящее время игнорируется.

Если ни один из битов не установлен, пользователю будет отказано в доступе

Прим.

Обратите внимание, что приоритет отдается разрешениям на вход, которые извлекаются непосредственно из записи пользователя. Если атрибут разрешений на вход отсутствует в записи пользователя, предпринимается попытка извлечь разрешения из групп, к которым относится пользователь, и которые соответствуют групповому фильтру (если он настроен). В этом случае пользователю назначаются все биты во всех группах с включающим «ИЛИ». Аналогично, бит доступа Только чтение будет задан, если все остальные биты равны нулю. Кроме того, обратите внимание, что если бит Всегда отказывать задается для любой из групп, пользователю будет отказано в доступе. Бит Всегда отказывать имеет приоритет над всеми остальными битами.

Важное замечание

Если предоставить пользователю возможность менять базовые, сетевые параметры и параметры конфигурации адаптера, связанные с безопасностью, целесообразно предоставить пользователю и возможность перезапускать контроллер XClarity Controller (позиция бита 10). В противном случае пользователь сможет изменить параметры (например, IP-адрес адаптера), но не сможет сделать так, чтобы они вступили в силу.

Если используется режим Использовать сервер LDAP только для аутентификации (с локальной авторизацией), настройте Группы для локальной авторизации. Имя группы, домен группы и роль настраиваются для обеспечения локальной авторизации для групп пользователей. Каждой группе может быть назначена роль (разрешения), совпадающая с ролями, настроенными в разделе «Локальный пользователь». Учетные записи пользователей назначаются разным группам на сервере LDAP. После входа в BMC учетной записи пользователя будет назначена роль (разрешения) группы, к которой она относится. Групповой домен должен быть в том же формате, что и различающееся имя, например: dc=mycompany,dc=com. Он будет использоваться в качестве базового объекта для поиска в группах. Если поле оставлено пустым, будет использоваться то же значение, что и в поле «Корневое DN». Дополнительные группы можно добавить, нажав на значок «+», или удалить, нажав на значок «x».
Выберите атрибут, используемый для отображения имени пользователя, в раскрывающемся меню Укажите атрибут, используемый для отображения имени пользователя.

Предоставить обратную связь