所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

G2500 服务器 1.0.0 iBMC (V300及以上) 用户指南 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
LDAP配置

LDAP配置

功能介绍

通过使用“LDAP配置”界面的功能,您可以查看和设置LDAP用户的信息。

iBMC系统提供LDAP用户的接入功能。使用域控制器中的用户域、组域、隶属于用户域的LDAP用户名及其密码登录iBMC系统可以提高系统安全性。LDAP用户可登录iBMC Web界面,也可通过SSH方式登录iBMC命令行。

注意:

LDAP服务器的DisplayName和CN要保持一致。

iBMC同时支持6个域服务器。LDAP用户登录iBMC Web时,可指定具体的域服务器,也可由系统自动匹配。LDAP用户登录iBMC命令行时,无需指定域服务器,由系统自动匹配。

说明:
iBMC当前支持与Windows AD和Linux OpenLDAP的对接。

界面描述

在上方标题栏中,选择配置,在左侧导航树中选择LDAP配置,显示“LDAP配置”界面。

图3-21  “LDAP配置”界面

参数说明

表3-36  “LDAP配置”界面

参数

描述

LDAP功能

是否启用LDAP组功能。

单击并单击“保存”,可切换状态。

  • 表示LDAP功能正在启用。
  • 表示LDAP功能已经停用。

域控制器1

iBMC可同时配置6个域服务器。用户使用LDAP方式登录iBMC的Web界面时,可指定任意一个域控制器,或自动适配任意一个域控制器。

域控制器2~域控制器6的配置与域控制器1类似,均需配置如下参数。

说明:
“*”的项目为必配参数。

基本属性

证书验证

是否对远端域控制器进行证书验证。

从安全性考虑,请尽量开启证书验证。开启证书验证后需要导入LDAP CA证书;LDAP服务器端需要安装AD、DNS、CA证书颁发机构,将CA证书导入LDAP服务器和iBMC系统。

证书校验级别

对LDAP证书进行校验的级别。

  • “demand”:证书校验过程中,当检查到客户端证书错误或没有证书时,不允许登录iBMC。从安全性考虑,请尽量保持默认值“demand”
  • “allow”:证书校验过程中,当检查到客户端证书错误或没有证书时,仍允许登录iBMC。

默认值:“demand”

说明:

iBMC 3.16及以上版本支持选择证书的校验级别。

LDAP服务器地址

LDAP服务器的IP地址。

输入格式:IPv4地址或IPv6地址。

启用证书验证功能后,该处需要配置为LDAP服务器的FQDN(主机名.域名),且需要在网络配置部分配置DNS。

LDAPS端口

LDAP服务的端口号。

取值范围:1 ~ 65535

默认值:636

默认使用加密传输,LDAP服务器端需要做相应配置。

域名

域控制器中定义的LDAP用户所属角色组的域。

取值范围:最大长度为255个字符。

取值原则:由数字、英文字母和特殊字符组成。

绑定标识名

LDAP代理用户标识名。

例如:“CN=username, OU=company, DC=domain, DC=com”,与LDAP服务器下成员标识名保持一致。

取值范围:最多可包含255个字节。由于不同字符占用的字节数可能不同,最多可以输入64到255个字符。

绑定密码

LDAP代理用户的认证密码。

用户搜索文件夹

例如:“CN=employee, OU=company”或者“OU=department, OU=company”,和LDAP服务器下应用成员数据的文件夹名保持一致。

取值范围:最多可包含255个字节。由于不同字符占用的字节数可能不同,最多可以输入64到255个字符。

请输入您的密码

配置域控制器需要输入当前登录iBMC系统的用户密码。

LDAP CA证书导入

上传证书

用于上传LDAP CA证书,支持.cer、.pem、.cert和.crt格式。

说明:
  • 上传的文件如果超过100M会引起页面请求失败,刷新页面可恢复。

  • 证书链的层级不得超过10级。

证书状态

显示LDAP CA证书是否已导入服务器。

证书信息

显示证书信息。

若为证书链,显示的证书信息依次为服务器证书 > 中间证书 > 根证书

设置LDAP用户组

打开配置新建LDAP组区域框。

打开配置已有LDAP组区域框。

删除已有LDAP组。

LDAP组

LDAP用户所属角色组的名称。

取值范围:最多可包含255个字节。由于不同字符占用的字节数可能不同,最多可以输入64到255个字符。

LDAP组应用文件夹

例如:“OU=department, OU=company”,和LDAP服务器下用户的组所在的组织单位名保持一致。

取值范围:最多可包含255个字节。由于不同字符占用的字节数可能不同,最多可以输入64到255个字符。

权限

分配给组域的访问iBMC界面的权限。

取值范围:“管理员”“操作员”“普通用户”“自定义”

规则

LDAP组应用的登录规则,对已选择该登录规则的LDAP组进行限制。

登录接口

LDAP组使能的登录接口,通过该接口,LDAP组的成员可登录iBMC系统。

取值范围:

  • Web:使能该接口后,用户可使用浏览器登录iBMC Web界面。
  • SSH:使能该接口后,用户可使用符合SSH协议的终端工具(例如PuTTY)登录iBMC命令行。
  • Redfish:使能该接口后,用户可使用符合Redfish协议的终端工具登录iBMC系统。

操作步骤

iBMC可同时配置6个域服务器,每个域服务器均需配置基本属性、导入根证书,并添加对应的LDAP组。

启用LDAP并配置域服务器基本属性

  1. 在上方标题栏中选择“配置”
  2. 在左侧导航树中,选择“LDAP配置”

    右侧显示“LDAP配置”界面。

  3. 单击“LDAP功能”后的,此按钮变为,表示LDAP功能已经启用。
  4. 根据表3-36提供的参数信息,设置域服务器。
  5. 单击“保存”

    显示“操作成功”

导入LDAP CA证书

  1. “LDAP CA证书导入”区域,单击“上传证书”后的“浏览”,选择要导入的LDAP CA证书。

  2. 单击“上传”

    证书上传成功后,“证书状态”显示“证书已上传”,单击“查看详情”可查看上传的证书信息,包含内容如表3-37所示。

    表3-37  “证书信息”区域框

    参数

    描述

    签发者

    LDAP证书的签发者信息,包含的具体参数类型与“使用者”相同。

    使用者

    LDAP证书的使用者(即当前服务器)信息,包含:

    • CN:使用者的名称
    • OU:使用者所在部门
    • O:使用者所在的公司
    • L:使用者所在的城市
    • S:使用者所在的省份
    • C:使用者所在的国家

    有效日期从

    LDAP证书生效起始日期。

    LDAP证书生效结束日期。
    序列号 LDAP证书序列号。用于证书的识别、迁移。

添加LDAP组

iBMC系统最大可以设置5个LDAP组。

  1. “LDAP用户编辑”区域中,单击

    弹出添加LDAP组的窗口,如图3-22所示,界面参数说明如表3-38所示

    图3-22  添加LDAP组

    表3-38  添加LDAP组

    参数

    描述

    请输入您的密码

    当前登录iBMC系统的用户密码。

    LDAP组

    LDAP用户所属角色组的名称。

    取值范围:最多可包含255个字节。由于不同字符占用的字节数可能不同,最多可以输入64到255个字符。

    LDAP组应用文件夹

    例如:“OU=department, OU=company”,和LDAP服务器下用户的组所在的组织单位名保持一致。

    取值范围:最多可包含255个字节。由于不同字符占用的字节数可能不同,最多可以输入64到255个字符。

    登录规则

    LDAP组应用的登录规则,对已选择该登录规则的LDAP组进行限制。

    登录接口

    LDAP组使能的登录接口,通过该接口,LDAP组的成员可登录iBMC系统。

    取值范围:

    • Web:使能该接口后,用户可使用浏览器登录iBMC Web界面。
    • SSH:使能该接口后,用户可使用符合SSH协议的终端工具(例如PuTTY)登录iBMC命令行。
    • Redfish:使能该接口后,用户可使用符合Redfish协议的终端工具登录iBMC系统。

    权限

    分配给组域的访问iBMC界面的权限。

    取值范围:“管理员”“操作员”“普通用户”“自定义”

  2. 设置LDAP组的基本属性。
  3. 单击“保存”

    在该行显示成功添加的LDAP组信息。

删除LDAP组

  1. “LDAP组”区域中,单击待删除的LDAP组后方的

    弹出“确认删除”对话框,提示“请输入您的密码”

  2. 输入当前用户的密码。

修改LDAP组

  1. “LDAP用户编辑”区域中,单击待修改的LDAP组后方的
  2. 在显示的界面中输入当前用户的密码,并按照表3-38的说明修改LDAP组配置。
  3. 单击“保存”
翻译
下载文档
更新时间:2018-10-09

文档编号:EDOC1100044299

浏览量:8395

下载量:42

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页