配置 LDAP
按照本主题中的信息查看或更改 XClarity Controller 的 LDAP 设置。
- 支持 LDAP 协议版本 3(RFC-2251)
- 支持标准 LDAP 客户机 API(RFC 1823)
- 支持标准 LDAP 搜索过滤器语法(RFC 2254)
- 支持适用于传输层安全的轻型目录访问协议(v3)扩展(RFC-2830)
- Microsoft Active Directory(Windows 2003、Windows 2008、Windows 2012、Windows 2016、Windows 2019)
- Microsoft Active Directory 应用程序模式(Windows 2003、Windows 2008)
- Microsoft 轻型目录服务(Windows 2008、Windows 2012、Windows 2016、Windows 2019)
- Novell eDirectory Server 版本 8.7 和 8.8
- OpenLDAP Server 2.1、2.2、2.3、2.4、2.5 和 2.6
单击 LDAP 选项卡可查看或修改 XClarity Controller 的 LDAP 设置。
XClarity Controller 除使用存储在 XClarity Controller 自身中的本地用户帐户之外(或无需该本地用户帐户),还可通过中央 LDAP 服务器远程认证用户的访问。可以使用“登录权限属性”的值为每个用户帐户指定权限。除普通用户(密码检查)认证外,您还可以使用 LDAP 服务器向组中分配用户并执行组认证。例如,XClarity Controller 可以与一个或多个组关联,仅当用户属于至少一个与 XClarity Controller 关联的组时,该用户才能通过组认证。
- 在 LDAP 服务器信息下,有如下选项可用:
- 使用 LDAP 服务器仅进行认证(和本地授权):选择此选项将指示 XClarity Controller 将凭证仅用于向 LDAP 服务器进行认证及检索组成员身份信息。可以在本地授权组部分中配置组名称和角色。
- 使用 LDAP 服务器进行认证和授权:选择此选项将指示 XClarity Controller 将凭证既用于向 LDAP 服务器进行认证,也用于识别用户权限。
注可手动配置或通过 DNS SRV 记录动态发现用于认证的 LDAP 服务器。- 使用预先配置的服务器:如果启用了 DNS,可通过输入每个服务器的 IP 地址或主机名配置最多三个 LDAP 服务器。每个服务器的端口号是可选的。如果此字段留空,那么为非加密 LDAP 连接使用默认值 389。对于安全连接,默认端口值为 636。您必须至少配置一个 LDAP 服务器。
- 使用 DNS 查找服务器:可选择动态发现 LDAP 服务器。RFC2782(用于指定服务位置的 DNS RR)中所述的机制可用于查找 LDAP 服务器。该机制称为 DNS SRV。您需要指定一个完全限定域名(FQDN),以用作 DNS SRV 请求中的域名。
- AD 林:在包含跨域通用组的环境中,必须配置林名称(域集)才能发现所需的全局目录(GC)。在不适用跨域组成员资格的环境中,可以将此字段留空。
- AD 域:您需要指定一个完全限定域名(FQDN),以用作 DNS SRV 请求中的域名。
- 在其他参数下填写信息。以下是参数说明。
- LDAP 类型
- 选择用于基于 LDAP 的认证的 LDAP 服务器类型。可用的服务器类型包括以下几种:
OpenLDAP
OpenLDAP
Active Directory
目录:Windows Active Directory
其他
目录:Apache Directory、eDirectory 等
- 绑定方法
- 必须先发送绑定请求,然后才能搜索或查询 LDAP 服务器。此字段控制初始绑定到 LDAP 服务器的执行方式。绑定方法有以下几种:
使用已配置的凭证
使用此方法,可使用已配置的客户端 DN 和密码进行绑定。
使用登录凭证
使用此方法,可使用在登录过程中提供的凭证进行绑定。用户 ID 可以是 DN、局部 DN、完全限定域名,或是与 XClarity Controller 上配置的“UID 搜索属性”相匹配的用户 ID。如果提供的凭证类似于局部 DN(例如,cn=joe),则会将此局部 DN 添加为已配置的根 DN 的前缀,以尝试创建与用户记录匹配的 DN。如果绑定尝试失败,则将 cn= 添加为登录凭证的前缀,然后将生成的字符串添加为已配置的根 DN 的前缀,以进行最终绑定尝试。
- 客户端可分辨名称
- 要用于初始绑定的客户端可分辨名称(DN)。此名称限制在 300 个字符以内。
- 客户端密码
- 此可分辨客户端的密码。
- 根 DN
- 这是 LDAP 服务器上目录树根条目的可分辨名称(DN)(例如,dn=mycompany,dc=com)。此 DN 用作所有搜索请求的基础对象。
- 用户的登录名搜索属性
- 当绑定方法设置为使用已配置的凭证时,在初始绑定到 LDAP 服务器后将跟随一个搜索请求,该请求将检索有关用户的特定信息,其中包括用户的 DN、登录权限和组成员资格。此搜索请求必须指定代表该服务器上用户 ID 的属性名称。此属性名称在此字段中配置。在 Active Directory 服务器上,此属性名称通常为 CN 或 sAMAccountName。在 Novell eDirectory 和 OpenLDAP 服务器上,属性名称是 uid。如果此字段留空,则默认值为 sAMAccountName。
- 组筛选条件
- 组筛选条件字段用于组认证。用户凭证验证成功后,将尝试进行组认证。如果组认证失败,那么将拒绝用户的登录尝试。配置组筛选条件后,它将用于指定 XClarity Controller 所属的组。这意味着用户必须至少属于一个已配置组认证的组,才能登录成功。如果组筛选条件字段留空,那么组认证将自动成功。如果配置了组筛选条件,将尝试将该列表中的至少一个组与用户所属的组进行匹配。如果无匹配项,那么用户将认证失败并被拒绝访问。如果至少有一个匹配项,那么组认证将成功。
- 组成员资格搜索属性
- 组搜索属性字段指定用于标识用户所属组的属性名称。在 Active Directory 服务器上,此属性名称通常为 memberOf。在 Novell eDirectory 服务器上,此属性名称为 groupMembership。在 OpenLDAP 服务器上,用户通常被分配到 objectClass 等于 PosixGroup 的组。在此环境中,此字段指定用于识别特定 PosixGroup 成员的属性名称。此属性名称是 memberUid。如果此字段留空,那么过滤器中的属性名称默认设置为 memberOf。
- 登录权限属性
- 当用户通过 LDAP 服务器认证成功后,必须检索该用户的登录权限。要检索登录权限,发送到该服务器的搜索筛选条件必须指定与登录权限关联的属性名称。登录权限属性字段指定属性名称。如果使用 LDAP 服务器进行身份验证和授权,但此字段留空,则用户将被拒绝访问。
如果未设置上述任何位,则将拒绝用户访问表 1. 权限位. 以下三列表格包含对位位置的说明。 位位置 功能 说明 0 始终拒绝 用户将始终认证失败。此功能可用于阻止与特定组关联的一个或多个特定用户。 1 管理员访问权限 授予用户管理员权限。用户对每个功能具有读/写访问权限。如果设置此位,那么不必分别设置其他位。 2 只读访问权限 用户具有只读访问权限,并且无法执行任何维护过程(例如,重新启动、远程操作或固件更新)或进行修改(例如,保存、清除或还原功能)。位位置 2 和所有其他位互斥,其中位位置 2 具有最低优先顺序。当设置了任何其他位时,将忽略此位。 3 配置 - 网络和 BMC 安全性 用户可以修改安全性、网络协议、网络接口、端口分配和串口配置。 4 用户帐户管理 用户可以添加、修改或删除用户,并可以在登录概要文件窗口中更改全局登录设置。 5 远程控制台访问权限 用户可以访问远程服务器控制台。 6 远程控制台和远程磁盘访问权限 用户可以访问远程服务器控制台和远程磁盘功能。 7 远程服务器电源操作/重新启动权限 用户可以对远程服务器执行打开电源和重新启动操作。 8 配置 - 基本 用户可以在系统设置和警报窗口中修改配置参数。 9 清除事件日志的能力 用户可以清除事件日志。 注所有用户都可查看事件日志;但是,用户需要具有此权限级别才能清除日志。10 配置 - 高级(固件更新、重新启动 BMC、还原配置) 用户在配置 XClarity Controller 时没有任何限制。此外,用户对 XClarity Controller 具有管理访问权限。用户可以执行以下高级功能:固件升级、PXE 网络引导、还原适配器出厂默认值、根据配置文件修改和还原适配器配置以及重新启动/重置适配器。 11 配置 - UEFI 安全性 用户可以配置与 UEFI 安全性相关的设置,此类设置也可以通过 UEFI F1 安全性设置页面进行配置。 12 预留 保留供将来使用,目前忽略此位。 注请注意,直接从用户记录中检索到的登录权限将拥有最高优先级。如果记录中没有用户的登录权限属性,那么将尝试从用户所属的组中检索权限(如果已配置,则检索与组筛选条件匹配的权限)。在此情况下,系统将针对所有组向用户以兼或方式分配所有位。同样,仅当所有其他位为零时,才会设置只读访问权限位。另请注意,如果为任何组设置了始终拒绝位,则用户将被拒绝访问。始终拒绝位始终优先于其他所有位。重要如果您向用户授予修改基本适配器配置参数、网络适配器配置参数和/或与安全性相关的适配器配置参数的权限,则应考虑向同一用户授予重新启动 XClarity Controller(位位置 10)的权限。如果没有此权限,用户可能能够更改参数(例如,适配器的 IP 地址),但是将无法使参数生效。 如果使用仅使用 LDAP 服务器进行认证(本地授权)模式,则需要配置本地授权组。配置组名称、组域和角色,为用户组提供本地授权。可以为每个组分配一个角色(权限),该角色(权限)与在“本地用户”中配置的一致。用户帐户被分配到 LDAP 服务器上的不同组中。登录 BMC 后,将为用户帐户分配该用户帐户所属组的角色(权限)。组域应采用与可分辨名称相同的格式,例如:dc=mycompany,dc=com,并将用作组搜索的基本对象。如果此字段留空,它将使用与“根 DN”字段相同的值。单击“+”图标可添加更多组,单击“x”图标可删除组。
从指定用于显示用户名的属性下拉菜单中选择用于显示用户名的属性。