跳至主要内容

配置 LDAP

使用本主題中的資訊來檢視或變更 XClarity Controller LDAP 設定。

LDAP 支援包含:
  • 支援 LDAP 通訊協定第 3 版 (RFC-2251)
  • 支援標準 LDAP 用戶端 API (RFC-1823)
  • 支援標準 LDAP 搜尋過濾器語法 (RFC-2254)
  • 支援適用於傳輸層安全的輕量型目錄存取通訊協定 (v3) 擴充 (RFC-2830)
LDAP 實作支援下列 LDAP 伺服器:
  • Microsoft Active Directory(Windows 2003、Windows 2008、Windows 2012、Windows 2016、Windows 2019)
  • Microsoft Active Directory 應用程式模式(Windows 2003、Windows 2008)
  • Microsoft 輕量型目錄服務(Windows 2008、Windows 2012、Windows 2016、Windows 2019)
  • Novell eDirectory Server 8.7 和 8.8 版
  • OpenLDAP Server 2.1、2.2、2.3、2.4、2.5 和 2.6

按一下 LDAP 標籤可檢視或修改 XClarity Controller LDAP 設定。

XClarity Controller 可以透過中央 LDAP 伺服器,還有儲存在 XClarity Controller 本身內的本端使用者帳戶遠端鑑別使用者的存取權。您可以使用「登入權限屬性」值為每個使用者帳戶指定權限。您還可以使用 LDAP 伺服器將使用者指派給群組,並執行除了一般使用者(密碼檢查)鑑別之外的群組鑑別。例如,XClarity Controller 可以與一個以上的群組相關聯,唯有當使用者屬於至少一個與 XClarity Controller 相關聯的群組時,使用者才能通過群組鑑別。

如果要配置 LDAP 伺服器,請完成下列步驟:
  1. LDAP 伺服器資訊下,項目清單中提供下列選項:
    • 使用 LDAP 伺服器只進行鑑別(使用本端授權):此選項會指示 XClarity Controller 僅使用認證來鑑別 LDAP 伺服器,以及擷取群組成員資格資訊。您可以在本端授權的群組區段中配置群組名稱和角色。
    • 使用 LDAP 伺服器進行鑑別和授權:此選項會指示 XClarity Controller 使用認證來鑑別 LDAP 伺服器,以及識別使用者權限。
    您可以手動配置或透過 DNS SRV 記錄動態探索要用於鑑別的 LDAP 伺服器。
    • 使用預先配置的伺服器:您可以透過輸入各伺服器的 IP 位址或主機名稱(如果已啟用 DNS),來配置最多三個 LDAP 伺服器。每一個伺服器的埠號是選用的。如果此欄位保留空白,不安全的 LDAP 連線會使用預設值 389。對於安全的連線,預設埠值為 636。您必須至少配置一個 LDAP 伺服器。
    • 使用 DNS 尋找伺服器:您可以選擇動態探索 LDAP 伺服器。會使用 RFC2782 中所述的機制(DNS RR 適用於指定服務位置)來找出 LDAP 伺服器。這稱為 DNS SRV。您必須指定完整網域名稱 (FQDN) 以做為 DNS SRV 要求中的網域名稱。
      • AD 樹系:在具有跨網域中通用群組的環境中,必須配置樹系名稱(網域集)以便探索所需的廣域型錄(GC)。在跨網域群組成員資格不適用的環境中,可將此欄位保留空白。
      • AD 網域:您必須指定完整網域名稱 (FQDN) 以做為 DNS SRV 要求中的網域名稱。
    如果您要啟用安全 LDAP,請按一下啟用安全 LDAP 勾選框。若要支援安全 LDAP,必須備妥有效的 SSL 憑證,且必須將至少一個 SSL 用戶端授信憑證匯入 XClarity Controller。LDAP 伺服器必須支援傳輸層安全 (TLS) 1.2 版本,以使其與 XClarity Controller 安全 LDAP 用戶端相容。如需憑證處理的相關資訊,請參閱SSL 憑證處理
  2. 請填寫其他參數下的資訊。參數說明如下。
    LDAP 類型
    選取用於 LDAP 型鑑別的 LDAP 伺服器類型。可使用下列伺服器類型:

    • OpenLDAP

      OpenLDAP

    • Active Directory

      Directory:Windows Active Directory

    • 其他

      Directory:Apache Directory、eDirectory 等

    連結方法
    您必須先傳送連結要求,才能搜尋或查詢 LDAP 伺服器。此欄位控制對 LDAP 伺服器執行此起始連結的方式。下列連結方法可供使用:

    • 使用配置的認證

      使用此方法可使用配置的用戶端 DN 和密碼進行連結。

    • 使用登入認證

      使用此方法可使用在登入程序期間提供的認證進行連結。透過 DN、部分 DN、完整網域名稱,或透過符合在 XClarity Controller 所配置 UID 搜尋屬性的使用者 ID,皆可提供使用者 ID。如果提供的認證類似於部分 DN(例如 cn=joe),在嘗試建立符合該使用者記錄的 DN 時,即會將此部分 DN 做為已配置根 DN 的字首。如果此連結嘗試失敗,最終的嘗試是將字首 cn= 新增至登入認證,然後將此結果字串新增至已配置根 DN 前方。

    若起始連結成功,便會執行搜尋,以在 LDAP 伺服器上尋找屬於所登入使用者的項目。必要的話,會再次嘗試進行連結,此時會使用從使用者的 LDAP 記錄擷取的 DN 和在登入程序期間輸入的密碼。如果第二次嘗試連結失敗,則會拒絕使用者存取。第二次連結僅在使用使用配置的認證連結方法時執行。
    用戶端識別名稱
    要用於起始連結的用戶端識別名稱 (DN)。限制為最多 300 個字元。
    用戶端密碼
    此識別用戶端的密碼。
    根 DN
    這是 LDAP 伺服器上目錄樹根項目的識別名稱 (DN)(例如,dn=mycompany,dc=com)。此 DN 用做所有搜尋要求的基本物件。
    使用者的登入名稱搜尋屬性
    連結方法設定為使用配置的認證時,LDAP 伺服器的起始連結後接搜尋要求,以擷取使用者的相關特定資訊,包括使用者的 DN、登入權限及群組成員資格。此搜尋要求必須指定代表該伺服器上使用者 ID 的屬性名稱。此屬性名稱是在此欄位中配置。在 Active Directory 伺服器上,屬性名稱通常是 CNsAMAccountName。在 Novell eDirectory 和 OpenLDAP 伺服器上,屬性名稱為 uid。如果此欄位保留空白,預設值為 sAMAccountName
    群組過濾器
    群組過濾器欄位用於群組鑑別。在順利驗證使用者的認證之後,會嘗試進行群組鑑別。如果群組鑑別失敗,則會拒絕使用者的登入嘗試。配置群組過濾器後,它會用於指定 XClarity Controller 所屬的群組。這表示使用者必須屬於至少其中一個所配置的群組,群組鑑別才會成功。如果群組過濾器欄位保留空白,群組鑑別會自動成功。如果配置了群組過濾器,系統會嘗試將清單中的至少一個群組與使用者所屬的群組進行比對。如果沒有相符項,使用者鑑別即會失敗,且會拒絕使用者存取。如果有至少一個相符項,群組鑑別會成功。
    此比對會區分大小寫。過濾器限制為 511 個字元,且可以由一個以上的群組名稱組成。必須使用冒號 (:) 字元來分隔多個群組名稱。將會忽略前導和尾端空格,但其他任何空格都會視為群組名稱的一部分。
    不再將萬用字元 (*) 視為萬用字元。已停用萬用字元概念,以避免暴露安全性問題。您可以將群組名稱指定為完整 DN,或僅使用 cn 部分來指定群組名稱。例如,您可以使用實際 DN 或 adminGroup,來指定 DN 為 cn=adminGroup, dc=mycompany, dc=com 的群組。
    群組成員資格搜尋屬性
    群組搜尋屬性欄位可指定用於識別使用者所屬群組的屬性名稱。在 Active Directory 伺服器上,屬性名稱通常是 memberOf。在 Novell eDirectory 伺服器上,屬性名稱為 groupMembership。在 OpenLDAP 伺服器上,通常會將使用者指派給其 objectClass 等於 PosixGroup 的群組。在該環境定義中,此欄位指定用於識別特定 PosixGroup 成員的屬性名稱。此屬性名稱為 memberUid。如果此欄位保留空白,則過濾器中的屬性名稱預設為 memberOf
    登入權限屬性
    透過 LDAP 伺服器順利鑑別使用者時,必須擷取使用者的登入權限。若要擷取登入權限,傳送至伺服器的搜尋過濾器必須指定與登入權限相關聯的屬性名稱。登入權限屬性欄位可指定該屬性名稱。如果使用 LDAP 伺服器進行鑑別和授權,但此欄位保留空白,則將拒絕使用者存取。
    LDAP 伺服器搜尋傳回的屬性值應該是輸入為 13 個連續的 0 或 1 的位元字串,或是總共輸入為 13 個連續的 0 或 1 的位元字串。每一個位元都代表一組功能。這些位元將根據其位置進行編號。最左側的位元是位元位置 0,最右側的位元是位元位置 12。位元位置的值 1 將啟用與該位元位置相關聯的功能。在位元位置的值 0 則停用與該位元位置相關聯的功能。
    字串 0100000000000 是一個有效的範例,用於允許將其放置在任何欄位中。您使用的屬性容許自由格式的字串。順利擷取屬性時,會根據下表中的資訊解譯 LDAP 伺服器傳回的值。
    表 1. 權限位元.

    此三欄表格提供位元位置的說明。

    位元位置功能說明
    0一律拒絕使用者將一律鑑別失敗。此功能可用於封鎖特定使用者或與特定群組相關聯的使用者。
    1Supervisor 存取權將管理者專用權授與使用者。使用者具有對每個功能的讀寫權。如果您設定此位元,則無需個別地設定其他位元。
    2Read Only 存取權使用者具有唯讀存取權,且無法執行任何維護程序(例如,重新啟動、遠端動作或韌體更新),或進行修改(例如,儲存、清除或還原功能)。位元位置 2 與所有其他位元互斥,且位元位置 2 具有最低的優先順序。如果設定了任何其他位元,則會忽略此位元。
    3配置 - 網路功能和 BMC 安全性使用者可以修改安全性、網路通訊協定、網路介面、埠指派及序列埠配置。
    4使用者帳戶管理使用者可以新增、修改或刪除使用者,以及變更登入設定檔視窗中的「廣域登入設定」。
    5遠端主控台存取權使用者可以存取遠端伺服器主控台。
    6遠端主控台和遠端磁碟存取權使用者可以存取遠端伺服器主控台,及遠端伺服器的遠端磁碟功能。
    7遠端伺服器電源/重新啟動存取權使用者可以存取遠端伺服器的電源開啟和重新啟動功能。
    8配置 - 基本使用者可以修改「系統設定」和「警示」視窗中的配置參數。
    9清除事件日誌的能力使用者可以清除事件日誌。
    所有使用者都可以檢視事件日誌;但是,使用者需要具有此層次的權限才能清除事件日誌。
    10配置 - 進階(韌體更新、重新啟動 BMC、還原配置)使用者在配置 XClarity Controller 時沒有任何限制。此外,使用者具有對 XClarity Controller 的管理存取權。使用者可以執行下列進階功能:韌體升級、PXE 網路開機、還原配接卡原廠預設值、從配置檔修改和還原配接卡配置,以及重新啟動/重設配接卡。
    11配置 - UEFI 安全性使用者可以配置 UEFI 安全性相關設定,也可以從 UEFI F1 安全性設定頁面進行配置。
    12保留保留以供日後使用,目前會忽略。
    如果未設定任何位元,則會拒絕使用者存取
    請注意,直接從使用者記錄擷取的登入權限將享有優先順序。如果使用者在其記錄中沒有登入權限屬性,則會嘗試從使用者所屬且符合群組過濾器(如果已配置)的群組中擷取權限。在此情況下,將為使用者指派所有群組的所有位元之內含 OR。同樣地,僅當所有其他位元為零時,才會設定唯讀存取權位元。此外請注意,如果為任何群組設定一律拒絕位元,將拒絕使用者存取。一律拒絕位元一律優先於其他所有位元。
    重要
    若您允許使用者修改基本、網路和/或安全相關的配接卡配置參數,您應該考量賦予這位使用者重新啟動 XClarity Controller 的能力(位元位置 10)。否則,如果沒有此能力,使用者或許能夠變更參數(例如,配接卡的 IP 位址),但參數無法生效。

  3. 如果使用使用 LDAP 伺服器只進行鑑別(使用本端授權)模式,請配置本端授權的群組。這會配置群組名稱、群組網域和角色,為使用者群組提供本端授權。您可以為每個群組指派一個角色(權限),該角色與在「本端使用者」的角色中配置的角色相同。使用者帳戶會指派給 LDAP 伺服器上的不同群組。登入 BMC 之後,會為使用者帳戶指派此使用者帳戶所屬群組的角色(權限)。群組網域的格式應與識別名稱的格式相同(例如:dc=mycompany,dc=com),這將用作群組搜尋的基本物件。如果此欄位保留空白,則會使用與「根 DN」欄位相同的值。按一下「+」圖示可新增更多群組,按一下「x」圖示可刪除群組。

  4. 指定用於顯示使用者名稱的屬性下拉功能表中選取用於顯示使用者名稱的屬性。