关于目录服务身份验证

您可以使用外部企业目录服务 (EDS) 进行身份验证,以及为单个用户或用户组提供单一登录。需要具有企业目录以使用双因素身份验证。为组中的每个用户分配同一角色(例如,基础架构管理员)。一个企业目录示例是使用 Active Directory 或 LDAP(轻量目录访问协议)的公司目录。双因素身份验证需要使用 Active Directory。

在配置目录服务后,组中的任何用户可以登录到装置或使用智能卡和 PIN(如果启用了双因素身份验证)。

如果在登录窗口中使用用户名密码 登录,用户:

  • 输入其用户名(通常为公用名 (CN) 属性)。

    用户名 的格式取决于目录类型。

  • 输入其密码

  • 选择企业目录服务。

如果使用智能卡进行身份验证,用户:

  • 将其智能卡插入智能卡读卡器中。

  • 在浏览器提示时,选择其证书。

  • 输入其 PIN

在会话控件中,() 用户在名称前面添加身份验证目录服务以进行标识。例如:) 用户在名称前面添加企业目录服务以进行标识。例如:

CorpDir\pat
重要信息:

与本地用户不同,如果将用户从一个身份验证目录中删除,其活动会话将保持活动状态,直到该用户注销。

在身份验证目录组中的用户登录后,如果更改该组的组到角色分配(包括删除),在他们注销之前,其当前活动会话不会受到影响。在进行此类修改时,将终止本地用户的会话。

验证用户的身份

在装置中添加企业目录服务时,您可以提供位置条件以使装置能够找到组。

如果启用了双因素身份验证,您可以创建一个服务帐户,在验证智能卡中的安全证书时,装置使用该帐户访问身份验证目录。

有关搜索条件的详细信息,请参阅“添加/编辑目录”屏幕详细信息

添加目录服务器

如果您复制企业目录服务器以实现高可用性或灾难恢复功能,请将复制的目录服务器添加到需要冗余的目录服务中。

在配置和添加目录服务器后,您可以将其指定为默认目录服务

您可以选择绑定到目录服务的选项包括:

  • 服务帐户:服务帐户为目录服务器授予读取访问权限,并在对用户进行身份验证时绑定连接。服务帐户将用户名和密码作为输入。HPE OneView 存储您提供的凭据以供将来使用。在 HPE OneView 中启用双因素身份验证时,服务帐户选项是必需的。

  • 用户帐户:用户帐户使用在将 HPE OneView 连接到目录服务时用户提供的凭据。用户帐户有助于在身份验证过程中查询目录。

用户帐户是目录绑定的默认选项。

如果添加的新目录具有不信任证书的不同服务器,则会生成信任根 CA 的提示。此外,如果升级的目录配置具有缺少的证书链或导入的根 CA,则会生成警报。如果导入的 CA 根证书是 X509 v1 类型证书,则将其视为自签名证书;如果上载了 CRL,则将该证书视为 CA 证书。

在添加企业目录服务和服务器后

您可以:

添加组(已在目录服务中定义),以使其所有成员能够登录到装置上。

仅允许使用本地登录,这是默认设置。

允许使用本地登录和目录服务验证的用户帐户的登录。

禁用本地登录,以便仅目录服务验证了帐户身份的用户能够进行登录。将禁止本地帐户进行登录。

配置 Microsoft Active Directory 服务时的注意事项

  • 要使 HPE OneView 能够有效地与 Active Directory 进行通信,请为 Active Directory 服务器配置 TLS v1.2 协议。

  • 下面将 Active Directory 属性映射到 LDAP 属性:

    LDAP 属性

    Active Directory 属性

    cn

    Common-Name

    uid

    UID

    userPrincipalName

    User-Principal-Name

    sAMAccountName

    SAM-Account-Name

    如果用户名不包含 @ 字符(表示 UPN)或 \ 字符(表示\登录名),则按以下顺序尝试这些登录名:

    1. 用户名 将被视为 sAMAccountName 并在前面添加目录名 (目录名\用户名)。

    2. 用户名 将被视为 UID。

    3. 用户名 将被视为 CN。

  • 如果在 HPE OneView 中配置的 Active Directory 服务器服务具有用户锁定策略(例如,定义为登录尝试连续失败 n 次时锁定),Hewlett Packard Enterprise 建议用户使用 UPN 或下级登录名以登录到 HPE OneView。最常用的 UPN 是 用户名@域.com,而下级登录名是域\用户名。如果不使用 UPN 或下级登录名(而仅使用用户名),则 HPE OneView 在内部尝试使用不同的登录格式,如上所述。这可能会导致在单次失败的登录尝试(不正确的密码)时从 GUI 中锁定用户。

    如果用户对象是在 Microsoft 管理控制台的 Active Directory 用户和计算机中创建的,则默认名称如下所示。

    请指定用户名的以下组成部分,它们在此处与相应的属性一起显示:

    用户名组成部分

    属性

    名字

    givenName

    姓名首字母

    initial

    姓氏

    sn

    标记为全名的字段默认使用该格式。该字符串分配给 cn 属性(公用名)。

    givenName.initials.givenName.initial.sn
            

    新建对象 - 用户对话框中,您还需要指定一个用户登录名。它与 DNS 域名相结合,将成为 userPrincipalNameUserPrincipalName 是用户可用于登录的备用名称。它采用以下格式:

    LogonName@DNSDomain
            

    例如:

    JoeUser@exampledomain.example.com
  • 最后,在输入用户登录名时,将在 Windows 2000 以前版本的登录名称字段中自动填充前 20 个字符,这会变为 sAMAccountName 属性。

  • 不接受内置 Active Directory 用户帐户的 CN 登录名,例如,Administrator。如果正确设置了相应的属性(sAMAccountName、userPrincipalName 和 UID),则可以接受其他登录格式。

更多信息