配置 LDAP
使用本主題中的資訊來檢視或變更 XClarity Controller LDAP 設定。
- 支援 LDAP 通訊協定第 3 版 (RFC-2251)
- 支援標準 LDAP 用戶端 API (RFC-1823)
- 支援標準 LDAP 搜尋過濾器語法 (RFC-2254)
- 支援適用於傳輸層安全的輕量型目錄存取通訊協定 (v3) 擴充 (RFC-2830)
- Microsoft Active Directory(Windows 2003、Windows 2008、Windows 2012、Windows 2016、Windows 2019)
- Microsoft Active Directory 應用程式模式(Windows 2003、Windows 2008)
- Microsoft 輕量型目錄服務(Windows 2008、Windows 2012、Windows 2016、Windows 2019)
- Novell eDirectory Server 8.7 和 8.8 版
- OpenLDAP Server 2.1、2.2、2.3、2.4、2.5 和 2.6
按一下 LDAP 標籤可檢視或修改 XClarity Controller LDAP 設定。
XClarity Controller 可以透過中央 LDAP 伺服器,還有儲存在 XClarity Controller 本身內的本端使用者帳戶遠端鑑別使用者的存取權。您可以使用「登入權限屬性」值為每個使用者帳戶指定權限。您還可以使用 LDAP 伺服器將使用者指派給群組,並執行除了一般使用者(密碼檢查)鑑別之外的群組鑑別。例如,XClarity Controller 可以與一個以上的群組相關聯,唯有當使用者屬於至少一個與 XClarity Controller 相關聯的群組時,使用者才能通過群組鑑別。
- 在 LDAP 伺服器資訊下,項目清單中提供下列選項:
- 使用 LDAP 伺服器只進行鑑別(使用本端授權):此選項會指示 XClarity Controller 僅使用認證來鑑別 LDAP 伺服器,以及擷取群組成員資格資訊。您可以在本端授權的群組區段中配置群組名稱和角色。
- 使用 LDAP 伺服器進行鑑別和授權:此選項會指示 XClarity Controller 使用認證來鑑別 LDAP 伺服器,以及識別使用者權限。
註您可以手動配置或透過 DNS SRV 記錄動態探索要用於鑑別的 LDAP 伺服器。- 使用預先配置的伺服器:您可以透過輸入各伺服器的 IP 位址或主機名稱(如果已啟用 DNS),來配置最多三個 LDAP 伺服器。每一個伺服器的埠號是選用的。如果此欄位保留空白,不安全的 LDAP 連線會使用預設值 389。對於安全的連線,預設埠值為 636。您必須至少配置一個 LDAP 伺服器。
- 使用 DNS 尋找伺服器:您可以選擇動態探索 LDAP 伺服器。會使用 RFC2782 中所述的機制(DNS RR 適用於指定服務位置)來找出 LDAP 伺服器。這稱為 DNS SRV。您必須指定完整網域名稱 (FQDN) 以做為 DNS SRV 要求中的網域名稱。
- AD 樹系:在具有跨網域中通用群組的環境中,必須配置樹系名稱(網域集)以便探索所需的廣域型錄(GC)。在跨網域群組成員資格不適用的環境中,可將此欄位保留空白。
- AD 網域:您必須指定完整網域名稱 (FQDN) 以做為 DNS SRV 要求中的網域名稱。
- 請填寫其他參數下的資訊。參數說明如下。
- LDAP 類型
- 選取用於 LDAP 型鑑別的 LDAP 伺服器類型。可使用下列伺服器類型:
OpenLDAP
OpenLDAP
Active Directory
Directory:Windows Active Directory
其他
Directory:Apache Directory、eDirectory 等
- 連結方法
- 您必須先傳送連結要求,才能搜尋或查詢 LDAP 伺服器。此欄位控制對 LDAP 伺服器執行此起始連結的方式。下列連結方法可供使用:
使用配置的認證
使用此方法可使用配置的用戶端 DN 和密碼進行連結。
使用登入認證
使用此方法可使用在登入程序期間提供的認證進行連結。透過 DN、部分 DN、完整網域名稱,或透過符合在 XClarity Controller 所配置 UID 搜尋屬性的使用者 ID,皆可提供使用者 ID。如果提供的認證類似於部分 DN(例如 cn=joe),在嘗試建立符合該使用者記錄的 DN 時,即會將此部分 DN 做為已配置根 DN 的字首。如果此連結嘗試失敗,最終的嘗試是將字首 cn= 新增至登入認證,然後將此結果字串新增至已配置根 DN 前方。
- 用戶端識別名稱
- 要用於起始連結的用戶端識別名稱 (DN)。限制為最多 300 個字元。
- 用戶端密碼
- 此識別用戶端的密碼。
- 根 DN
- 這是 LDAP 伺服器上目錄樹根項目的識別名稱 (DN)(例如,dn=mycompany,dc=com)。此 DN 用做所有搜尋要求的基本物件。
- 使用者的登入名稱搜尋屬性
- 連結方法設定為使用配置的認證時,LDAP 伺服器的起始連結後接搜尋要求,以擷取使用者的相關特定資訊,包括使用者的 DN、登入權限及群組成員資格。此搜尋要求必須指定代表該伺服器上使用者 ID 的屬性名稱。此屬性名稱是在此欄位中配置。在 Active Directory 伺服器上,屬性名稱通常是 CN 或 sAMAccountName。在 Novell eDirectory 和 OpenLDAP 伺服器上,屬性名稱為 uid。如果此欄位保留空白,預設值為 sAMAccountName。
- 群組過濾器
- 群組過濾器欄位用於群組鑑別。在順利驗證使用者的認證之後,會嘗試進行群組鑑別。如果群組鑑別失敗,則會拒絕使用者的登入嘗試。配置群組過濾器後,它會用於指定 XClarity Controller 所屬的群組。這表示使用者必須屬於至少其中一個所配置的群組,群組鑑別才會成功。如果群組過濾器欄位保留空白,群組鑑別會自動成功。如果配置了群組過濾器,系統會嘗試將清單中的至少一個群組與使用者所屬的群組進行比對。如果沒有相符項,使用者鑑別即會失敗,且會拒絕使用者存取。如果有至少一個相符項,群組鑑別會成功。
- 群組成員資格搜尋屬性
- 群組搜尋屬性欄位可指定用於識別使用者所屬群組的屬性名稱。在 Active Directory 伺服器上,屬性名稱通常是 memberOf。在 Novell eDirectory 伺服器上,屬性名稱為 groupMembership。在 OpenLDAP 伺服器上,通常會將使用者指派給其 objectClass 等於 PosixGroup 的群組。在該環境定義中,此欄位指定用於識別特定 PosixGroup 成員的屬性名稱。此屬性名稱為 memberUid。如果此欄位保留空白,則過濾器中的屬性名稱預設為 memberOf。
- 登入權限屬性
- 透過 LDAP 伺服器順利鑑別使用者時,必須擷取使用者的登入權限。若要擷取登入權限,傳送至伺服器的搜尋過濾器必須指定與登入權限相關聯的屬性名稱。登入權限屬性欄位可指定該屬性名稱。如果使用 LDAP 伺服器進行鑑別和授權,但此欄位保留空白,則將拒絕使用者存取。
如果未設定任何位元,則會拒絕使用者存取表 1. 權限位元. 此三欄表格提供位元位置的說明。 位元位置 功能 說明 0 一律拒絕 使用者將一律鑑別失敗。此功能可用於封鎖特定使用者或與特定群組相關聯的使用者。 1 Supervisor 存取權 將管理者專用權授與使用者。使用者具有對每個功能的讀寫權。如果您設定此位元,則無需個別地設定其他位元。 2 Read Only 存取權 使用者具有唯讀存取權,且無法執行任何維護程序(例如,重新啟動、遠端動作或韌體更新),或進行修改(例如,儲存、清除或還原功能)。位元位置 2 與所有其他位元互斥,且位元位置 2 具有最低的優先順序。如果設定了任何其他位元,則會忽略此位元。 3 配置 - 網路功能和 BMC 安全性 使用者可以修改安全性、網路通訊協定、網路介面、埠指派及序列埠配置。 4 使用者帳戶管理 使用者可以新增、修改或刪除使用者,以及變更登入設定檔視窗中的「廣域登入設定」。 5 遠端主控台存取權 使用者可以存取遠端伺服器主控台。 6 遠端主控台和遠端磁碟存取權 使用者可以存取遠端伺服器主控台,及遠端伺服器的遠端磁碟功能。 7 遠端伺服器電源/重新啟動存取權 使用者可以存取遠端伺服器的電源開啟和重新啟動功能。 8 配置 - 基本 使用者可以修改「系統設定」和「警示」視窗中的配置參數。 9 清除事件日誌的能力 使用者可以清除事件日誌。 註所有使用者都可以檢視事件日誌;但是,使用者需要具有此層次的權限才能清除事件日誌。10 配置 - 進階(韌體更新、重新啟動 BMC、還原配置) 使用者在配置 XClarity Controller 時沒有任何限制。此外,使用者具有對 XClarity Controller 的管理存取權。使用者可以執行下列進階功能:韌體升級、PXE 網路開機、還原配接卡原廠預設值、從配置檔修改和還原配接卡配置,以及重新啟動/重設配接卡。 11 配置 - UEFI 安全性 使用者可以配置 UEFI 安全性相關設定,也可以從 UEFI F1 安全性設定頁面進行配置。 12 保留 保留以供日後使用,目前會忽略。 註請注意,直接從使用者記錄擷取的登入權限將享有優先順序。如果使用者在其記錄中沒有登入權限屬性,則會嘗試從使用者所屬且符合群組過濾器(如果已配置)的群組中擷取權限。在此情況下,將為使用者指派所有群組的所有位元之內含 OR。同樣地,僅當所有其他位元為零時,才會設定唯讀存取權位元。此外請注意,如果為任何群組設定一律拒絕位元,將拒絕使用者存取。一律拒絕位元一律優先於其他所有位元。重要若您允許使用者修改基本、網路和/或安全相關的配接卡配置參數,您應該考量賦予這位使用者重新啟動 XClarity Controller 的能力(位元位置 10)。否則,如果沒有此能力,使用者或許能夠變更參數(例如,配接卡的 IP 位址),但參數無法生效。 如果使用使用 LDAP 伺服器只進行鑑別(使用本端授權)模式,請配置本端授權的群組。這會配置群組名稱、群組網域和角色,為使用者群組提供本端授權。您可以為每個群組指派一個角色(權限),該角色與在「本端使用者」的角色中配置的角色相同。使用者帳戶會指派給 LDAP 伺服器上的不同群組。登入 BMC 之後,會為使用者帳戶指派此使用者帳戶所屬群組的角色(權限)。群組網域的格式應與識別名稱的格式相同(例如:dc=mycompany,dc=com),這將用作群組搜尋的基本物件。如果此欄位保留空白,則會使用與「根 DN」欄位相同的值。按一下「+」圖示可新增更多群組,按一下「x」圖示可刪除群組。
從指定用於顯示使用者名稱的屬性下拉功能表中選取用於顯示使用者名稱的屬性。