跳到主要内容

配置 LDAP

按照本主题中的信息查看或更改 XClarity Controller 的 LDAP 设置。

LDAP 支持包括:
  • 支持 LDAP 协议版本 3(RFC-2251)
  • 支持标准 LDAP 客户机 API(RFC 1823)
  • 支持标准 LDAP 搜索过滤器语法(RFC 2254)
  • 支持适用于传输层安全的轻型目录访问协议(v3)扩展(RFC-2830)
LDAP 实施支持以下 LDAP 服务器:
  • Microsoft Active Directory(Windows 2003、Windows 2008、Windows 2012、Windows 2016、Windows 2019)
  • Microsoft Active Directory 应用程序模式(Windows 2003、Windows 2008)
  • Microsoft 轻型目录服务(Windows 2008、Windows 2012、Windows 2016、Windows 2019)
  • Novell eDirectory Server 版本 8.7 和 8.8
  • OpenLDAP Server 2.1、2.2、2.3、2.4、2.5 和 2.6

单击 LDAP 选项卡可查看或修改 XClarity Controller 的 LDAP 设置。

XClarity Controller 除使用存储在 XClarity Controller 自身中的本地用户帐户之外(或无需该本地用户帐户),还可通过中央 LDAP 服务器远程认证用户的访问。可以使用“登录权限属性”的值为每个用户帐户指定权限。除普通用户(密码检查)认证外,您还可以使用 LDAP 服务器向组中分配用户并执行组认证。例如,XClarity Controller 可以与一个或多个组关联,仅当用户属于至少一个与 XClarity Controller 关联的组时,该用户才能通过组认证。

要配置 LDAP 服务器,请完成以下步骤:
  1. LDAP 服务器信息下,有如下选项可用:
    • 使用 LDAP 服务器仅进行认证(和本地授权):选择此选项将指示 XClarity Controller 将凭证仅用于向 LDAP 服务器进行认证及检索组成员身份信息。可以在本地授权组部分中配置组名称和角色。
    • 使用 LDAP 服务器进行认证和授权:选择此选项将指示 XClarity Controller 将凭证既用于向 LDAP 服务器进行认证,也用于识别用户权限。
    可手动配置或通过 DNS SRV 记录动态发现用于认证的 LDAP 服务器。
    • 使用预先配置的服务器:如果启用了 DNS,可通过输入每个服务器的 IP 地址或主机名配置最多三个 LDAP 服务器。每个服务器的端口号是可选的。如果此字段留空,那么为非加密 LDAP 连接使用默认值 389。对于安全连接,默认端口值为 636。您必须至少配置一个 LDAP 服务器。
    • 使用 DNS 查找服务器:可选择动态发现 LDAP 服务器。RFC2782(用于指定服务位置的 DNS RR)中所述的机制可用于查找 LDAP 服务器。该机制称为 DNS SRV。您需要指定一个完全限定域名(FQDN),以用作 DNS SRV 请求中的域名。
      • AD 林:在包含跨域通用组的环境中,必须配置林名称(域集)才能发现所需的全局目录(GC)。在不适用跨域组成员资格的环境中,可以将此字段留空。
      • AD 域:您需要指定一个完全限定域名(FQDN),以用作 DNS SRV 请求中的域名。
    如果要启用安全 LDAP,请单击启用安全 LDAP 复选框。要支持安全 LDAP,必须具备有效的 SSL 证书,且必须将至少一个 SSL 客户端可信证书导入到 XClarity Controller。您的 LDAP 服务器必须支持传输层安全性(TLS)版本 1.2 以使其与 XClarity Controller 安全 LDAP 客户端兼容。有关证书处理的更多信息,请参阅SSL 证书处理
  2. 其他参数下填写信息。以下是参数说明。
    LDAP 类型
    选择用于基于 LDAP 的认证的 LDAP 服务器类型。可用的服务器类型包括以下几种:

    • OpenLDAP

      OpenLDAP

    • Active Directory

      目录:Windows Active Directory

    • 其他

      目录:Apache Directory、eDirectory 等

    绑定方法
    必须先发送绑定请求,然后才能搜索或查询 LDAP 服务器。此字段控制初始绑定到 LDAP 服务器的执行方式。绑定方法有以下几种:

    • 使用已配置的凭证

      使用此方法,可使用已配置的客户端 DN 和密码进行绑定。

    • 使用登录凭证

      使用此方法,可使用在登录过程中提供的凭证进行绑定。用户 ID 可以是 DN、局部 DN、完全限定域名,或是与 XClarity Controller 上配置的“UID 搜索属性”相匹配的用户 ID。如果提供的凭证类似于局部 DN(例如,cn=joe),则会将此局部 DN 添加为已配置的根 DN 的前缀,以尝试创建与用户记录匹配的 DN。如果绑定尝试失败,则将 cn= 添加为登录凭证的前缀,然后将生成的字符串添加为已配置的根 DN 的前缀,以进行最终绑定尝试。

    如果初始绑定成功,则执行搜索以查找属于登录用户的 LDAP 服务器上的条目。如有必要,将使用从用户的 LDAP 记录中检索的 DN 以及在登录过程中输入的密码来执行第二次绑定尝试。如果第二次绑定尝试失败,则将拒绝用户访问。仅当使用使用已配置的凭证绑定方法时,才会执行第二次绑定。
    客户端可分辨名称
    要用于初始绑定的客户端可分辨名称(DN)。此名称限制在 300 个字符以内。
    客户端密码
    此可分辨客户端的密码。
    根 DN
    这是 LDAP 服务器上目录树根条目的可分辨名称(DN)(例如,dn=mycompany,dc=com)。此 DN 用作所有搜索请求的基础对象。
    用户的登录名搜索属性
    当绑定方法设置为使用已配置的凭证时,在初始绑定到 LDAP 服务器后将跟随一个搜索请求,该请求将检索有关用户的特定信息,其中包括用户的 DN、登录权限和组成员资格。此搜索请求必须指定代表该服务器上用户 ID 的属性名称。此属性名称在此字段中配置。在 Active Directory 服务器上,此属性名称通常为 CNsAMAccountName。在 Novell eDirectory 和 OpenLDAP 服务器上,属性名称是 uid。如果此字段留空,则默认值为 sAMAccountName
    组筛选条件
    组筛选条件字段用于组认证。用户凭证验证成功后,将尝试进行组认证。如果组认证失败,那么将拒绝用户的登录尝试。配置组筛选条件后,它将用于指定 XClarity Controller 所属的组。这意味着用户必须至少属于一个已配置组认证的组,才能登录成功。如果组筛选条件字段留空,那么组认证将自动成功。如果配置了组筛选条件,将尝试将该列表中的至少一个组与用户所属的组进行匹配。如果无匹配项,那么用户将认证失败并被拒绝访问。如果至少有一个匹配项,那么组认证将成功。
    该匹配是区分大小写的。筛选条件限制为 511 个字符,并且可以包含一个或多个组名称。必须使用冒号(:)字符对多个组名进行定界。前导空格和尾随空格将被忽略,但任何其他空格将会视为组名称的一部分。
    通配符(*)将不再视为通配符。为防止安全漏洞,已停止使用通配符概念。组名称可以指定为完整 DN 或只使用 cn 部分。例如,可以使用实际 DN 或使用 adminGroup 来指定 DN 为 cn=adminGroup, dc=mycompany, dc=com 的组。
    组成员资格搜索属性
    组搜索属性字段指定用于标识用户所属组的属性名称。在 Active Directory 服务器上,此属性名称通常为 memberOf。在 Novell eDirectory 服务器上,此属性名称为 groupMembership。在 OpenLDAP 服务器上,用户通常被分配到 objectClass 等于 PosixGroup 的组。在此环境中,此字段指定用于识别特定 PosixGroup 成员的属性名称。此属性名称是 memberUid。如果此字段留空,那么过滤器中的属性名称默认设置为 memberOf
    登录权限属性
    当用户通过 LDAP 服务器认证成功后,必须检索该用户的登录权限。要检索登录权限,发送到该服务器的搜索筛选条件必须指定与登录权限关联的属性名称。登录权限属性字段指定属性名称。如果使用 LDAP 服务器进行身份验证和授权,但此字段留空,则用户将被拒绝访问。
    LDAP 服务器搜索返回的属性值应为以 13 个连续的 0 或 1 的形式输入的位字符串,或者以总共 13 个连续的 0 或 1 的形式输入的位字符串。每一位表示一组功能。这些位根据位置进行编号。最左边的位是位位置 0,最右边的位是位位置 12。如果某个位位置上的值为 1,则表示将启用与该位位置关联的功能。如果某个位位置上的值为 0,则表示将禁用与该位位置相关联的功能。
    一个有效示例为字符串 0100000000000,用于允许将其放置在任何字段中。您使用的属性可以允许自由格式的字符串。成功检索到此属性后,可根据下表中的信息对 LDAP 服务器返回的值进行解读。
    表 1. 权限位.

    以下三列表格包含对位位置的说明。

    位位置功能说明
    0始终拒绝用户将始终认证失败。此功能可用于阻止与特定组关联的一个或多个特定用户。
    1管理员访问权限授予用户管理员权限。用户对每个功能具有读/写访问权限。如果设置此位,那么不必分别设置其他位。
    2只读访问权限用户具有只读访问权限,并且无法执行任何维护过程(例如,重新启动、远程操作或固件更新)或进行修改(例如,保存、清除或还原功能)。位位置 2 和所有其他位互斥,其中位位置 2 具有最低优先顺序。当设置了任何其他位时,将忽略此位。
    3配置 - 网络和 BMC 安全性用户可以修改安全性、网络协议、网络接口、端口分配和串口配置。
    4用户帐户管理用户可以添加、修改或删除用户,并可以在登录概要文件窗口中更改全局登录设置。
    5远程控制台访问权限用户可以访问远程服务器控制台。
    6远程控制台和远程磁盘访问权限用户可以访问远程服务器控制台和远程磁盘功能。
    7远程服务器电源操作/重新启动权限用户可以对远程服务器执行打开电源和重新启动操作。
    8配置 - 基本用户可以在系统设置和警报窗口中修改配置参数。
    9清除事件日志的能力用户可以清除事件日志。
    所有用户都可查看事件日志;但是,用户需要具有此权限级别才能清除日志。
    10配置 - 高级(固件更新、重新启动 BMC、还原配置)用户在配置 XClarity Controller 时没有任何限制。此外,用户对 XClarity Controller 具有管理访问权限。用户可以执行以下高级功能:固件升级、PXE 网络引导、还原适配器出厂默认值、根据配置文件修改和还原适配器配置以及重新启动/重置适配器。
    11配置 - UEFI 安全性用户可以配置与 UEFI 安全性相关的设置,此类设置也可以通过 UEFI F1 安全性设置页面进行配置。
    12预留保留供将来使用,目前忽略此位。
    如果未设置上述任何位,则将拒绝用户访问
    请注意,直接从用户记录中检索到的登录权限将拥有最高优先级。如果记录中没有用户的登录权限属性,那么将尝试从用户所属的组中检索权限(如果已配置,则检索与组筛选条件匹配的权限)。在此情况下,系统将针对所有组向用户以兼或方式分配所有位。同样,仅当所有其他位为零时,才会设置只读访问权限位。另请注意,如果为任何组设置了始终拒绝位,则用户将被拒绝访问。始终拒绝位始终优先于其他所有位。
    重要
    如果您向用户授予修改基本适配器配置参数、网络适配器配置参数和/或与安全性相关的适配器配置参数的权限,则应考虑向同一用户授予重新启动 XClarity Controller(位位置 10)的权限。如果没有此权限,用户可能能够更改参数(例如,适配器的 IP 地址),但是将无法使参数生效。

  3. 如果使用仅使用 LDAP 服务器进行认证(本地授权)模式,则需要配置本地授权组。配置组名称、组域和角色,为用户组提供本地授权。可以为每个组分配一个角色(权限),该角色(权限)与在“本地用户”中配置的一致。用户帐户被分配到 LDAP 服务器上的不同组中。登录 BMC 后,将为用户帐户分配该用户帐户所属组的角色(权限)。组域应采用与可分辨名称相同的格式,例如:dc=mycompany,dc=com,并将用作组搜索的基本对象。如果此字段留空,它将使用与“根 DN”字段相同的值。单击“+”图标可添加更多组,单击“x”图标可删除组。

  4. 指定用于显示用户名的属性下拉菜单中选择用于显示用户名的属性。