การกำหนดค่า LDAP
ใช้ข้อมูลในหัวข้อนี้เพื่อดูหรือเปลี่ยนการตั้งค่า LDAP ของ XClarity Controller
- การสนับสนุนสำหรับโปรโตคอล LDAP เวอร์ชัน 3 (RFC-2251)
- การสนับสนุนสำหรับ API มาตรฐานของไคลเอ็นต์ LDAP (RFC-1823)
- การสนับสนุนสำหรับรูปแบบคำสั่งตัวกรองการค้นหา LDAP มาตรฐาน (RFC-2254)
- การสนับสนุนสำหรับ Lightweight Directory Access Protocol (v3) Extension สำหรับ Transport Layer Security (RFC-2830)
- Microsoft Active Directory (Windows 2003, Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- Microsoft Active Directory Application Mode (Windows 2003, Windows 2008)
- Microsoft Lightweight Directory Service (Windows 2008, Windows 2012, Windows 2016, Windows 2019)
- เซิร์ฟเวอร์ Novell eDirectory เวอร์ชัน 8.7 และ 8.8
- เซิร์ฟเวอร์ OpenLDAP 2.1, 2.2, 2.3, 2.4, 2.5 และ 2.6
คลิกแท็บ LDAP เพื่อดูหรือแก้ไขการตั้งค่า LDAP ของ XClarity Controller
XClarity Controller สามารถตรวจสอบการเข้าถึงของผู้ใช้จากระยะไกลผ่านเซิร์ฟเวอร์ LDAP แทนหรือเพิ่มเติมจากบัญชีผู้ใช้ภายในที่จัดเก็บไว้ในตัวของ XClarity Controller เอง สามารถกำหนดสิทธิ์สำหรับแต่ละบัญชีผู้ใช้โดยใช้ตัวประเมินของ “Login Permission Attribute” คุณยังสามารถใช้เซิร์ฟเวอร์ LDAP ในการกำหนดผู้ใช้ให้กับกลุ่มและตรวจสอบความถูกต้องเป็นกลุ่ม นอกเหนือจากการตรวจสอบความถูกต้องของผู้ใช้ตามปกติ (การตรวจสอบรหัสผ่าน) ตัวอย่างเช่น คุณสามารถเชื่อมโยง XClarity Controller กับกลุ่มอย่างน้อยหนึ่งกลุ่ม ผู้ใช้จะผ่านการตรวจสอบความถูกต้องเป็นกลุ่มก็ต่อเมื่อผู้ใช้อยู่ในกลุ่มที่เชื่อมโยงกับ XClarity Controller อย่างน้อยหนึ่งกลุ่ม
- ภายใต้ ข้อมูลเซิร์ฟเวอร์ LDAP จะมีตัวเลือกจากรายการดังต่อไปนี้:
- ใช้เซิร์ฟเวอร์ LDAP สำหรับการตรวจสอบความถูกต้องเท่านั้น (พร้อมการอนุญาตภายใน): การเลือกนี้จะกำหนดให้ XClarity Controller ใช้ข้อมูลประจำตัวเฉพาะในการตรวจสอบเซิร์ฟเวอร์ LDAP และรับข้อมูลความเป็นสมาชิกของกลุ่ม ชื่อกลุ่มและบทบาทสามารถกำหนดค่าได้ในส่วน กลุ่มสำหรับการอนุญาตในท้องถิ่น
- ใช้เซิร์ฟเวอร์ LDAP สำหรับการตรวจสอบความถูกต้องและการอนุญาต: การเลือกนี้จะกำหนดให้ XClarity Controller ใช้ข้อมูลประจำตัวทั้งในการตรวจสอบเซิร์ฟเวอร์ LDAP และระบุสิทธิ์ของผู้ใช้
หมายเหตุคุณสามารถกำหนดค่าเซิร์ฟเวอร์ LDAP ที่จะใช้สำหรับการตรวจสอบความถูกต้องได้ด้วยตนเอง หรือค้นหาผ่านระเบียน DNS SRV แบบไดนามิก- ใช้เซิร์ฟเวอร์ที่กำหนดค่าไว้ล่วงหน้า: คุณสามารถกำหนดค่าเซิร์ฟเวอร์ LDAP สูงสุดสามเซิร์ฟเวอร์โดยป้อนที่อยู่ IP หรือชื่อโฮสต์ของแต่ละเซิร์ฟเวอร์ หากเปิดใช้งาน DNS หมายเลขพอร์ตสำหรับแต่ละเซิร์ฟเวอร์จะระบุหรือไม่ก็ได้ หากฟิลด์นี้เว้นว่างไว้ ระบบจะใช้ค่าเริ่มต้นที่ 389 สำหรับการเชื่อมต่อ LDAP ที่ไม่มีการรักษาความปลอดภัย สำหรับการเชื่อมต่อที่มีการรักษาความปลอดภัย ค่าพอร์ตเริ่มต้นคือ 636 คุณต้องกำหนดค่าเซิร์ฟเวอร์ LDAP อย่างน้อยหนึ่งเซิร์ฟเวอร์
- ใช้ DNS เพื่อค้นหาเซิร์ฟเวอร์: คุณสามารถเลือกค้นหาเซิร์ฟเวอร์ LDAP แบบไดนามิก กลไกที่อธิบายใน RFC2782 (DNS RR สำหรับระบุตำแหน่งที่ตั้งของบริการ) จะใช้ในการค้นหาเซิร์ฟเวอร์ LDAP ซึ่งเรียกว่า DNS SRV คุณต้องระบุชื่อโดเมนที่มีคุณสมบัติครบถ้วน (FQDN) ที่จะใช้เป็นชื่อโดเมนในคำขอ DNS SRV
- ฟอเรสต์ AD: ในสภาพแวดล้อมที่มีกลุ่มสากลข้ามโดเมน ต้องกำหนดค่าชื่อฟอเรสต์ (ชุดโดเมน) เพื่อค้นหา Global Catalogs (GC) ที่ต้องการ ในสภาพแวดล้อมที่ไม่มีการสมัครสมาชิกกลุ่มข้ามโดเมน ฟิลด์นี้สามารถเว้นว่างไว้ได้
- โดเมน AD: คุณต้องระบุชื่อโดเมนที่มีคุณสมบัติครบถ้วน (FQDN) ที่จะใช้เป็นชื่อโดเมนในคำขอ DNS SRV
- กรอกข้อมูลภายใต้ พารามิเตอร์เพิ่มเติม ด้านล่างนี้คือคำอธิบายของพารามิเตอร์
- ชนิด LDAP
- เลือกชนิดเซิร์ฟเวอร์ LDAP สำหรับการรับรองความถูกต้องตาม LDAP มีชนิดของเซิร์ฟเวอร์ดังต่อไปนี้:
OpenLDAP
OpenLDAP
Active Directory
ไดเรกทอรี: Windows Active Directory
อื่นๆ
ไดเรกทอรี: Apache Directory, eDirectory ฯลฯ
- วิธีการ Binding
- ก่อนที่คุณจะสามารถค้นหาหรือสืบค้นเซิร์ฟเวอร์ LDAP คุณต้องส่งคำขอสำหรับการผูก ฟิลด์นี้จะควบคุมวิธีการดำเนินการผูกเริ่มต้นกับเซิร์ฟเวอร์ LDAP วิธีการผูกมีดังต่อไปนี้:
ใช้ข้อมูลประจำตัวที่กำหนดค่า
ใช้วิธีนี้ในการผูกกับ DN ของไคลเอ็นต์หรือรหัสผ่านที่กำหนดค่า
ใช้ข้อมูลประจำตัวสำหรับการเข้าสู่ระบบ
ใช้วิธีนี้ในการผูกกับข้อมูลประจำตัวที่ให้มาระหว่างขั้นตอนการเข้าสู่ระบบ สามารถระบุ ID ผู้ใช้ผ่าน DN, DN บางส่วน, ชื่อโดเมนที่มีคุณสมบัติครบถ้วน หรือผ่าน ID ผู้ใช้ที่ตรงกับแอตทริบิวต์การค้นหา UID ที่ได้รับการกำหนดค่าบน XClarity Controller หากข้อมูลประจำตัวที่ปรากฏคล้ายคลึงกับ DN บางส่วน (เช่น cn=joe) DN บางส่วนนี้จะขึ้นต้นด้วย DN รูทที่กำหนดค่าในความพยายามที่จะสร้าง DN ที่ตรงกับระเบียนของผู้ใช้ หากความพยายามในการผูกล้มเหลว ระบบจะดำเนินความพยายามครั้งสุดท้ายเพื่อทำการผูกโดยเติม cn= นำหน้าข้อมูลประจำตัวสำหรับการเข้าสู่ระบบ และเติมสตริงผลลัพธ์นำหน้า DN รูทที่กำหนดค่า
- ชื่อที่ใช้ระบุไคลเอ็นต์
- Client Distinguished Name (DN) ที่จะใช้สำหรับการผูกเริ่มต้น และจำกัดจำนวนอักขระไม่เกิน 300 ตัว
- รหัสผ่านไคลเอ็นต์
- รหัสผ่านสำหรับ Distinguished Client รายนี้
- ราก DN
- นี่คือชื่อที่ใช้ระบุ (DN) ของรายการรูทของโครงสร้างไดเรกทอรีบนเซิร์ฟเวอร์ LDAP (ตัวอย่างเช่น dn=mycompany,dc=com) DN นี้จะใช้เป็นออบเจกต์ฐานสำหรับคำขอค้นหาทั้งหมด
- แอตทริบิวต์การค้นหาชื่อเข้าสู่ระบบของผู้ใช้
- เมื่อตั้งค่าวิธีการผูกเป็น ใช้ข้อมูลประจำตัวที่กำหนดค่า การผูกกับเซิร์ฟเวอร์ LDAP เริ่มต้นจะตามด้วยคำขอการค้นหาที่เรียกใช้ข้อมูลเฉพาะเกี่ยวกับผู้ใช้ รวมถึง DN ของผู้ใช้ สิทธิ์การเข้าสู่ระบบ และสมาชิกกลุ่ม คำขอค้นหานี้ต้องระบุชื่อแอตทริบิวต์ที่แสดงแทน ID ผู้ใช้บนเซิร์ฟเวอร์ ชื่อแอตทริบิวต์นี้ได้รับการกำหนดค่าในฟิลด์นี้ บนเซิร์ฟเวอร์ Active Directory โดยปกติแล้ว ชื่อแอตทริบิวต์คือ CN หรือ sAMAccountName บนเซิร์ฟเวอร์ Novell eDirectory และ OpenLDAP ชื่อแอตทริบิวต์คือ uid หากฟิลด์นี้เว้นว่างไว้ ค่าเริ่มต้นคือ sAMAccountName
- ตัวกรองกลุ่ม
- ฟิลด์ ตัวกรองกลุ่ม จะใช้สำหรับการตรวจสอบความถูกต้องเป็นกลุ่ม ระบบจะพยายามทำการตรวจสอบความถูกต้องเป็นกลุ่มหลังจากมีการตรวจสอบข้อมูลประจำตัวของผู้ใช้เสร็จสิ้นแล้ว หากการตรวจสอบความถูกต้องเป็นกลุ่มล้มเหลว ความพยายามของผู้ใช้ในการเข้าสู่ระบบจะถูกปฏิเสธ เมื่อมีการกำหนดค่าตัวกรองกลุ่ม ตัวกรองจะใช้ระบุว่า XClarity Controller อยู่ในกลุ่มใด นั่นหมายความว่าการดำเนินการนี้จะสำเร็จได้ก็ต่อเมื่อผู้ใช้ต้องอยู่ในกลุ่มที่ได้รับการกำหนดค่าสำหรับการตรวจสอบความถูกต้องเป็นกลุ่มอย่างน้อยหนึ่งกลุ่ม หากฟิลด์ ตัวกรองกลุ่ม เว้นว่างไว้ การตรวจสอบความถูกต้องเป็นกลุ่มจะสำเร็จโดยอัตโนมัติ หากกำหนดค่าตัวกรองกลุ่ม ระบบจะพยายามจับคู่กลุ่มในรายการอย่างน้อยหนึ่งกลุ่มกับกลุ่มที่ผู้ใช้อยู่ หากไม่มีกลุ่มที่ตรงกัน ผู้ใช้จะไม่สามารถตรวจสอบความถูกต้องและการเข้าถึงจะถูกปฏิเสธ หากมีกลุ่มที่ตรงกันอย่างน้อยหนึ่งกลุ่ม การตรวจสอบความถูกต้องเป็นกลุ่มจะเสร็จสมบูรณ์
- แอตทริบิวต์การค้นหาสมาชิกกลุ่ม
- ฟิลด์ Group Search Attribute จะระบุชื่อแอตทริบิวต์ที่ใช้เพื่อระบุกลุ่มที่ผู้ใช้อยู่ บนเซิร์ฟเวอร์ Active Directory โดยปกติแล้ว ชื่อแอตทริบิวต์คือ memberOf บนเซิร์ฟเวอร์ Novell eDirectory ชื่อแอตทริบิวต์คือ groupMembership ในเซิร์ฟเวอร์ OpenLDAP โดยปกติแล้ว ผู้ใช้จะถูกกำหนดไปยังกลุ่มที่มี objectClass เท่ากับ PosixGroup ในบริบทดังกล่าว ฟิลด์นี้จะระบุชื่อแอตทริบิวต์ที่ใช้ในการระบุสมาชิกของ PosixGroup โดยเฉพาะ ชื่อแอตทริบิวต์นี้คือ memberUid หากฟิลด์นี้เว้นว่างไว้ ชื่อแอตทริบิวต์ในตัวกรองจะกลับไปเป็น memberOf ตามค่าเริ่มต้น
- แอตทริบิวต์สิทธิ์การเข้าใช้งาน
- เมื่อผู้ใช้ได้รับการตรวจสอบความถูกต้องผ่านเซิร์ฟเวอร์ LDAP เสร็จสมบูรณ์แล้ว ต้องเรียกใช้สิทธิ์การเข้าสู่ระบบสำหรับผู้ใช้ ในการเรียกใช้สิทธิ์การเข้าสู่ระบบ ตัวกรองการค้นหาที่ส่งไปยังเซิร์ฟเวอร์ต้องระบุชื่อแอตทริบิวต์ที่เกี่ยวข้องกับสิทธิ์การเข้าสู่ระบบ ฟิลด์ แอตทริบิวต์สิทธิ์การเข้าสู่ระบบ จะระบุชื่อแอตทริบิวต์ หากใช้เซิร์ฟเวอร์ LDAP สำหรับการตรวจสอบสิทธิ์และการอนุญาต แต่ฟิลด์นี้เว้นว่างไว้ ผู้ใช้จะถูกปฏิเสธการเข้าถึง
หากไม่มีการตั้งค่าบิตใด ๆ ผู้ใช้จะถูกปฏิเสธการเข้าถึงตารางที่ 1. บิตที่อนุญาต. ตารางสามคอลัมน์ที่มีคำอธิบายเกี่ยวกับตำแหน่งบิต ตำแหน่งบิต ฟังก์ชัน คำอธิบาย 0 ปฏิเสธเสมอ ผู้ใช้จะไม่ผ่านการตรวจสอบความถูกต้องเสมอ สามารถใช้ฟังก์ชันนี้เพื่อบล็อกผู้ใช้เฉพาะราย หรือผู้ใช้ที่เกี่ยวข้องกับกลุ่มๆ หนึ่งโดยเฉพาะ 1 สิทธิ์การเข้าถึงระดับผู้ควบคุม ผู้ใช้ได้รับสิทธิพิเศษของผู้ดูแลระบบ ผู้ใช้มีสิทธิ์เข้าถึงทุกฟังก์ชันแบบอ่าน/เขียน หากคุณตั้งค่าบิตนี้ คุณไม่ต้องตั้งค่าบิตอื่นๆ แต่ละบิต 2 สิทธิ์การเข้าถึงแบบอ่านอย่างเดียว ผู้ใช้มีสิทธิ์การเข้าถึงแบบอ่านอย่างเดียว และไม่สามารถดำเนินการกระบวนการบำรุงรักษา (ตัวอย่างเช่น รีสตาร์ท การดำเนินการระยะไกล หรือการอัปเดตเฟิร์มแวร์) หรือทำการแก้ไข (ตัวอย่างเช่น บันทึก ล้างข้อมูล หรือคืนค่าฟังก์ชัน) ตำแหน่งบิตที่ 2 และบิตอื่นๆ ทั้งหมดจะไม่เกิดขึ้นพร้อมกัน โดยที่ตำแหน่งบิตที่ 2 มีลำดับความสำคัญต่ำสุด เมื่อตั้งค่าบิตอื่นๆ ทั้งหมด บิตนี้จะถูกละทิ้ง 3 การกำหนดค่า - เครือข่ายและการรักษาความปลอดภัย BMC ผู้ใช้สามารถแก้ไขการรักษาความปลอดภัย โปรโตคอลเครือข่าย อินเทอร์เฟซเครือข่าย การกำหนดพอร์ต และการกำหนดค่าพอร์ตอนุกรม 4 การจัดการบัญชีผู้ใช้ ผู้ใช้สามารถเพิ่ม แก้ไข หรือลบผู้ใช้ รวมทั้งเปลี่ยนการตั้งค่าการเข้าสู่ระบบแบบส่วนกลางในหน้าต่างโปรไฟล์การเข้าสู่ระบบ 5 การเข้าถึงคอนโซลระยะไกล ผู้ใช้สามารถเข้าถึงคอนโซลเซิร์ฟเวอร์ระยะไกลได้ 6 การเข้าถึงคอนโซลระยะไกลและดิสก์ระยะไกล ผู้ใช้สามารถเข้าถึงคอนโซลเซิร์ฟเวอร์ระยะไกลและฟังก์ชันของดิสก์ระยะไกลสำหรับเซิร์ฟเวอร์ระยะไกล 7 การเข้าถึงการเปิด/รีสตาร์ทเซิร์ฟเวอร์จากระยะไกล ผู้ใช้สามารถเข้าถึงฟังก์ชันการเปิดเครื่องและรีสตาร์ทเซิร์ฟเวอร์จากระยะไกล 8 การกำหนดค่า - พื้นฐาน ผู้ใช้สามารถแก้ไขพารามิเตอร์การกำหนดค่าในหน้าต่าง System Settings และ Alerts 9 ความสามารถในการล้างข้อมูลบันทึกเหตุการณ์ ผู้ใช้สามารถล้างข้อมูลบันทึกเหตุการณ์ หมายเหตุผู้ใช้ทุกรายสามารถดูบันทึกเหตุการณ์ได้ แต่จะต้องมีสิทธิ์ในระดับนี้จึงจะล้างข้อมูลบันทึกเหตุการณ์ได้10 การกำหนดค่า - ขั้นสูง (การอัปเดตเฟิร์มแวร์, รีสตาร์ท BMC, กู้คืนการกำหนดค่า) ผู้ใช้ไม่มีข้อจำกัดเมื่อกำหนดค่า XClarity Controller นอกจากนี้ ผู้ใช้จะมีสิทธิ์การเข้าถึงด้านการดูแลเพื่อใช้งาน XClarity Controller ผู้ใช้สามารถดำเนินการฟังก์ชันขั้นสูงดังไปนี้: อัปเกรดเฟิร์มแวร์, บูตเครือข่าย PXE, คืนค่าอะแดปเตอร์เป็นค่าเริ่มต้นจากโรงงาน, แก้ไขและคืนค่าการกำหนดค่าอะแดปเตอร์จากไฟล์การกำหนดค่า และรีสตาร์ทและรีเซ็ตอะแดปเตอร์ 11 การกําหนดค่า - การรักษาความปลอดภัย UEFI ผู้ใช้สามารถกำหนดการตั้งค่าที่เกี่ยวข้องกับการรักษาความปลอดภัย UEFI ซึ่งสามารถกำหนดค่าได้จากหน้าการตั้งค่าความปลอดภัย UEFI F1 12 สงวนไว้ สงวนไว้สำหรับใช้ในอนาคตและปัจจุบันถูกเพิกเฉย หมายเหตุโปรดทราบว่าระบบจะให้ความสำคัญกับสิทธิ์การเข้าสู่ระบบที่เรียกใช้จากระเบียนของผู้ใช้โดยตรง หากผู้ใช้ไม่มีแอตทริบิวต์สิทธิ์การเข้าใช้งานในระเบียน ระบบจะพยายามเรียกใช้สิทธิ์จากกลุ่มที่ผู้ใช้อยู่ และตรงกับตัวกรองกลุ่ม หากมีการกำหนดค่า ในกรณีนี้ ระบบจะกำหนด inclusive OR ของบิตทั้งหมดสำหรับกลุ่มทุกกลุ่มให้ผู้ใช้ ในทำนองเดียวกัน บิตสิทธิ์การเข้าถึงแบบอ่านอย่างเดียว จะได้รับการตั้งค่าเฉพาะเมื่อบิตอื่นๆ ทั้งหมดเป็น 0 เท่านั้น นอกจากนี้ โปรดทราบว่าหากมีการตั้งค่าบิต ปฏิเสธเสมอ สำหรับกลุ่มใดๆ ผู้ใช้จะถูกปฏิเสธการเข้าถึง บิต ปฏิเสธเสมอ มีความสำคัญเหนือกว่าบิตอื่นๆ ทุกบิต สำคัญหากคุณมอบความสามารถในการแก้ไขพารามิเตอร์การกำหนดค่าอะแดปเตอร์ที่เกี่ยวข้องกับข้อมูลพื้นฐาน เครือข่าย และ/หรือการรักษาความปลอดภัยให้ผู้ใช้ คุณควรพิจารณามอบความสามารถในการรีสตาร์ท XClarity Controller (บิตตำแหน่ง 10) ให้กับผู้ใช้รายเดียวกันนี้ด้วย หากไม่มีความสามารถนี้ ผู้ใช้อาจจะเปลี่ยนแปลงพารามิเตอร์ได้ (ตัวอย่างเช่น ที่อยู่ IP ของอะแดปเตอร์) แต่จะไม่สามารถทำให้พารามิเตอร์มีผลใช้งานได้ หากใช้โหมด ใช้เซิร์ฟเวอร์ LDAP สำหรับการตรวจสอบความถูกต้องเท่านั้น (โดยมีการตรวจสอบความถูกต้องภายใน) ให้กำหนดค่า กลุ่มสำหรับการอนุญาตในท้องถิ่น ชื่อกลุ่ม โดเมนกลุ่ม และบทบาทได้รับการกำหนดค่าเพื่อให้การตรวจสอบความถูกต้องภายในสำหรับกลุ่มผู้ใช้ แต่ละกลุ่มสามารถกำหนดด้วยบทบาท (สิทธิ์) ที่เหมือนกับการกำหนดค่าในบทบาทใน Local User ระบบจะกำหนดบัญชีผู้ใช้ให้กับกลุ่มต่างๆ บนเซิร์ฟเวอร์ LDAP บัญชีผู้ใช้จะได้รับการกำหนดพร้อมกับบทบาท (สิทธิ์) ของกลุ่มที่บัญชีผู้ใช้นี้อยู่ หลังจากเข้าสู่ระบบ BMC โดเมนกลุ่มควรอยู่ในรูปแบบเดียวกับชื่อเฉพาะ เช่น dc=mycompany,dc=com จะถูกใช้เป็นออบเจ็กต์พื้นฐานสำหรับการค้นหากลุ่ม หากฟิลด์เว้นว่างไว้ จะใช้ค่าเดียวกับฟิลด์ “Root DN” สามารถเพิ่มกลุ่มเพิ่มเติมได้โดยคลิกไอคอน “+” หรือลบโดยคลิกไอคอน “x”
เลือกแอตทริบิวต์ที่ใช้สำหรับแสดงชื่อผู้ใช้จากเมนูดรอปดาวน์ ระบุแอตทริบิวต์ที่ใช้สำหรับแสดงชื่อผู้ใช้