关于目录服务身份验证
您可以使用外部企业目录服务 (EDS) 进行身份验证,以及为单个用户或用户组提供单一登录。需要具有企业目录以使用双因素身份验证。为组中的每个用户分配同一角色(例如,基础架构管理员)。一个企业目录示例是使用 Active Directory 或 LDAP(轻量目录访问协议)的公司目录。双因素身份验证需要使用 Active Directory。
在配置目录服务后,组中的任何用户可以登录到装置或使用智能卡和 PIN(如果启用了双因素身份验证)。
如果在登录窗口中使用用户名 和密码 登录,用户:
输入其用户名(通常为公用名 (CN) 属性)。
用户名 的格式取决于目录类型。
输入其密码。
选择企业目录服务。
如果使用智能卡进行身份验证,用户:
将其智能卡插入智能卡读卡器中。
在浏览器提示时,选择其证书。
输入其 PIN。
在会话控件中,() 用户在名称前面添加企业目录服务以进行标识。例如:
CorpDir\pat
与本地用户不同,如果将用户从一个身份验证目录中删除,其活动会话将保持活动状态,直到该用户注销。
在身份验证目录组中的用户登录后,如果更改该组的组到角色分配(包括删除),在他们注销之前,其当前活动会话不会受到影响。在进行此类修改时,将终止本地用户的会话。
验证用户的身份
在装置中添加企业目录服务时,您可以提供位置条件以使装置能够找到组。
如果启用了双因素身份验证,您可以创建一个服务帐户,在验证智能卡中的安全证书时,装置使用该帐户访问身份验证目录。
有关搜索条件的详细信息,请参阅“添加/编辑目录”屏幕详细信息。
添加目录服务器
如果您复制企业目录服务器以实现高可用性或灾难恢复功能,请将复制的目录服务器添加到需要冗余的目录服务中。
在配置和添加目录服务器后,您可以将其指定为默认目录服务。
您可以选择绑定到目录服务的选项包括:
服务帐户:服务帐户为目录服务器授予读取访问权限,并在对用户进行身份验证时绑定连接。服务帐户将用户名和密码作为输入。HPE OneView 存储您提供的凭据以供将来使用。在 HPE OneView 中启用双因素身份验证时,服务帐户选项是必需的。
用户帐户:用户帐户使用在将 HPE OneView 连接到目录服务时用户提供的凭据。用户帐户有助于在身份验证过程中查询目录。
用户帐户是目录绑定的默认选项。
如果添加的新目录具有不信任证书的不同服务器,则会生成信任根 CA 的提示。此外,如果升级的目录配置具有缺少的证书链或导入的根 CA,则会生成警报。如果导入的 CA 根证书是 X509 v1 类型证书,则将其视为自签名证书;如果上载了 CRL,则将该证书视为 CA 证书。
在添加企业目录服务和服务器后
您可以:
添加组(已在目录服务中定义),以使其所有成员能够登录到装置上。
仅允许使用本地登录,这是默认设置。
允许使用本地登录和目录服务验证的用户帐户的登录。
禁用本地登录,以便仅目录服务验证了帐户身份的用户能够进行登录。将禁止本地帐户进行登录。
配置 Microsoft Active Directory 服务时的注意事项
要使 HPE OneView 能够有效地与 Active Directory 进行通信,请为 Active Directory 服务器配置 TLS v1.2 协议。
下面将 Active Directory 属性映射到 LDAP 属性:
LDAP 属性
Active Directory 属性
cn
Common-Name
uid
UID
userPrincipalName
User-Principal-Name
sAMAccountName
SAM-Account-Name
如果用户名不包含
@
字符(表示 UPN)或\
字符(表示域\
登录名),则按以下顺序尝试这些登录名:用户名 将被视为 sAMAccountName 并在前面添加目录名 (目录名\用户名)。
用户名 将被视为 UID。
用户名 将被视为 CN。
如果在 HPE OneView 中配置的 Active Directory 服务器服务具有用户锁定策略(例如,定义为登录尝试连续失败
n
次时锁定),Hewlett Packard Enterprise 建议用户使用 UPN 或下级登录名以登录到 HPE OneView。最常用的 UPN 是用户名@域.com
,而下级登录名是域\用户名。如果不使用 UPN 或下级登录名(而仅使用用户名),则 HPE OneView 在内部尝试使用不同的登录格式,如上所述。这可能会导致在单次失败的登录尝试(不正确的密码)时从 GUI 中锁定用户。如果用户对象是在 Microsoft 管理控制台的 Active Directory 用户和计算机中创建的,则默认名称如下所示。
请指定用户名的以下组成部分,它们在此处与相应的属性一起显示:
用户名组成部分
属性
名字
givenName
姓名首字母
initial
姓氏
sn
标记为
全名
的字段默认使用该格式。该字符串分配给cn
属性(公用名)。givenName.initials.givenName.initial.sn
在新建对象 - 用户对话框中,您还需要指定一个用户登录名。它与 DNS 域名相结合,将成为
userPrincipalName
。UserPrincipalName
是用户可用于登录的备用名称。它采用以下格式:LogonName@DNSDomain
例如:
JoeUser@exampledomain.example.com
最后,在输入用户登录名时,将在 Windows 2000 以前版本的登录名称字段中自动填充前 20 个字符,这会变为
sAMAccountName
属性。不接受内置 Active Directory 用户帐户的 CN 登录名,例如,
Administrator
。如果正确设置了相应的属性(sAMAccountName、userPrincipalName 和 UID),则可以接受其他登录格式。