添加身份验证目录服务

可使用外部身份验证目录服务(也称为企业目录或身份验证登录域)验证登录到装置的用户身份,而非维护个别本地登录帐户。

支持两种类型的目录服务 - Microsoft Active Directory 和 OpenLDAP。

前提条件
  • 所需的最低权限:基础架构管理员。
  • 必须为身份验证目录服务配置证书以支持安全LDAP 通信 (LDAPS)。
  • 在为目录服务器提供 DNS 完全限定域名之前,必须在 HPE OneView 装置上配置 DNS。
  • 名称和 IP 地址的正向和反向查找必须在 DNS 中正常工作。
  • 在执行添加目录任务之前,必须将任何目录服务器使用的任何 CA 根证书添加到 HPE OneView 信任存储中。

    注意:
    • 为了提高安全性,大多数目录服务器使用 CA 签名的证书而不是自签名证书。

    • 请咨询 Active Directory 或 OpenLDAP 管理员或公钥基础架构 (PKI) 管理员以获取 CA 根公共证书。

    • 使用设置 > 安全性 > 管理证书以将 CA 根证书导入到 HPE OneView 信任存储中。如果组成域的各个目录服务器具有来自不同 CA 根的证书,请在 HPE OneView 信任存储中输入每个唯一的 CA 根。

过程
  1. 从主菜单中,选择设置
  2. 单击安全性面板中的编辑图标,或者选择操作 > 编辑
  3. 编辑安全性屏幕上的目录下面,单击添加目录
  4. 输入在屏幕上请求的数据。请参阅“添加/编辑目录”屏幕详细信息
  5. 单击添加目录服务器
    重要信息:

    确定是搜索全局编录还是域取决于搜索范围:

    • 如果搜索范围是域或组织单位,请使用 SSL 端口。默认值为 636。

    • 如果搜索范围是林,请使用 SSL 全局编录端口。默认值为 3269。

  6. 输入在屏幕上请求的数据。请参阅“添加目录服务器”屏幕详细信息
    注意:

    对于 Open LDAP:

    • 根据需要,使用添加按钮添加组织单位字段。

    • 要删除组织单位字段及其条目,请单击相应的 图标。.

  7. 单击添加以添加服务器并返回到添加目录屏幕。
    注意:

    如果要手动输入证书,请使用添加证书选项。

  8. 单击添加以添加身份验证目录服务,或者单击添加+ 以添加更多目录服务。
    注意:

    装置获取并信任服务器证书链。如果发现在链中缺少根 CA,则会提示您使用管理证书屏幕信任根 CA 证书。

  9. 在添加身份验证目录服务后:
    1. 验证配置:在安全性屏幕的目录下面。
    2. 验证目录服务器配置

建议的下一步骤:添加具有基于目录的身份验证的组