Перейти к основному содержимому

Создание новой учетной записи пользователя

Используйте информацию в этом разделе для создания нового локального пользователя.

Создание пользователя

Перейдите на вкладку Локальные пользователи и нажмите Создать, чтобы создать новую учетную запись пользователя.

Заполните следующие поля: Имя пользователя, Пароль, Подтвердить пароль и выберите Роль из раскрывающегося меню. Дополнительные сведения о поле Роль см. в следующем разделе.

Роль

Следующие роли предопределяются, а новая пользовательская роль может быть создана в соответствии с потребностями пользователя:
Администратор
Для роли администратора нет ограничений, он может выполнять все операции.
Только чтение
Пользователь с ролью «Только чтение» может отображать сведения о сервере, но не может выполнять операции, влияющие на состояние системы, такие как сохранение, изменение, очистка, перезагрузка и обновление микропрограммы.
Оператор
Пользователь с ролью оператора имеет следующие привилегии:
  • Конфигурация — сетевые подключения и безопасность BMC

  • Удаленное питание/перезапуск сервера

  • Конфигурация — базовая

  • Возможность очищать журналы событий

  • Конфигурация — расширенная (обновление микропрограмм, перезапуск BMC, восстановление конфигурации)

Параметры SNMP

Чтобы включить доступ SNMPv3 для пользователя, нажмите кнопку Изменить рядом с соответствующим пользователем, затем установите флажок SNMP в раскрывающемся списке Доступный пользователю интерфейс. Поясняются следующие варианты доступа пользователей:
Тип доступа
Поддерживаются только операции GET. XClarity Controller не поддерживает операции SET SNMPv3. SNMP3 может выполнять только операции запросов.
Протокол аутентификации
Этот алгоритм используется для аутентификации моделью безопасности SNMPv3. Поддерживаются следующие протоколы:
  • Нет
  • HMAC-SHA (по умолчанию)
  • HMAC-SHA224
  • HMAC-SHA256
  • HMAC-SHA384
  • HMAC-SHA512
Протокол конфиденциальности
Перенос данных между клиентом SNMP и агентом можно защитить с помощью шифрования. Поддерживаются следующие методы:
  • Нет
  • CBC-DES
  • AES (по умолчанию)
  • AES192
  • AES256
  • AES192C
  • AES256C
Прим.

Даже если пользователь SNMPv3 использует повторные строки пароля, можно будет по-прежнему получить доступ к XClarity Controller. Ниже приводится два примера для справки.

  • Если в качестве пароля задано 11111111 (число из восьми цифр, содержащее восемь цифр 1), пользователь по-прежнему сможет получить доступ к XClarity Controller, если при вводе пароля случайно будет введено более восьми цифр 1. Например, если ввести пароль 1111111111 (число из десяти цифр, содержащее десять цифр 1), доступ по-прежнему предоставляется. Будет считаться, что у повторной строки тот же ключ.
  • Если задан пароль bertbert, пользователь по-прежнему сможет получить доступ к XClarity Controller, если случайно был введен пароль bertbertbert. Считается, что у обоих паролей одинаковый ключ.

Дополнительные сведения см. в разделе Вопросы безопасности документа «Интернет-стандарт RFC 3414» (https://tools.ietf.org/html/rfc3414).

Ключ SSH

XClarity Controller поддерживает аутентификацию с использованием открытых ключей SSH (тип ключа RSA). Чтобы добавить ключ SSH к локальной учетной записи пользователя, нажмите кнопку Изменить для соответствующего пользователя, затем установите флажок Ключ SSH в раскрывающемся списке Доступный пользователю интерфейс. Предоставляются два следующих параметра:
Выбор файла ключа
Выберите файл ключа SSH для импорта в XClarity Controller с сервера.
Ввод ключа в текстовое поле
Вставьте или введите данные ключа SSH в текстовое поле.
Прим.
  • Некоторые инструменты Lenovo могут создавать временную учетную запись пользователя для доступа к XClarity Controller, если инструмент используется в серверной операционной системе. Эта временная учетная запись недоступна для просмотра и не использует никакие из 12 позиций учетных записей локальных пользователей. Эта учетная запись создается с произвольным именем пользователя (например, 20luN4SB) и паролем. Эту учетную запись можно использовать только для доступа к XClarity Controller на внутреннем интерфейсе Ethernet через USB и только для интерфейсов Redfish и SFTP. Создание и удаление этой временной учетной записи фиксируется в журнале аудита, равно как и любые действия, выполняемые инструментом с этими учетными данными.

  • Для обозначения ИД механизма SNMPv3 XClarity Controller использует шестнадцатеричную строку. Эта шестнадцатеричная строка преобразуется из имени хоста XClarity Controller по умолчанию. См. пример ниже.

    Имя хоста XCC-7X06-S4AHJ300 сначала преобразуется в формат ASCII: 88 67 67 45 55 88 48 54 45 83 52 65 72 74 51 48 48

    Шестнадцатеричная строка создается с использованием формата ASCII (пробелы игнорируются): 58 43 43 2d 37 58 30 36 2d 53 34 41 48 4a 33 30 30

Многофакторная аутентификация

Многофакторная аутентификация (MFA) — это механизм безопасности, который требует от пользователей предоставления двух или более способов проверки из разных категорий учетных данных для входа в систему или выполнения защищенных операций. Например, использование пароля (который вы знаете) и открытого ключа SSH (который у вас есть) обеспечивает двухфакторную аутентификацию.
Метод MFA для входа через веб-интерфейс
Указывается требуемое сочетание методов аутентификации для входа через веб-интерфейс.
Метод MFA для входа по SSH
Указывается требуемое сочетание методов аутентификации для входа через интерфейс SSH.
Секрет TOTP
Секрет TOTP необходим для создания кодов OTP. В системе предусмотрено автоматическое создание этого секрета. Если нужно использовать один и тот же секрет TOTP в нескольких экземплярах XCC, его можно экспортировать с помощью парольной фразы и импортировать в другие системы.
Прим.
  • Перед экспортом секрета TOTP убедитесь, что ваше приложение-аутентификатор TOTP (например, Google Authenticator, Microsoft Authenticator или FreeOTP) зарегистрировано.

  • Если у текущего пользователя есть доступ только для чтения, его разрешения ограничены определенными действиями, связанными с учетной записью. Помимо возможности изменить свой пароль и подтвердить новый, пользователю также разрешается управлять параметрами TOTP, включая Создать секрет, Импортировать секрет, Экспортировать секрет и Показать секрет. Все остальные функции по настройке системы и изменению данных остаются недоступными для сохранения уровня доступа только для чтения.

  • Убедитесь, что время в BMC точное и соответствует текущему, чтобы зарегистрировать токен OTP или выполнить вход, если после регистрации время изменится.