关于目录服务身份验证

您可以配置 HPE OneView 以在用户身份验证中使用外部企业目录服务。HPE OneView 支持以下企业目录服务:

  • Active Directory

  • OpenLDAP

在使用目录服务时,将使用目录中的组成员身份为目录用户授予 HPE OneView 权限。在定义目录服务后,请使用用户和组屏幕定义目录组的权限。

将为目录组分配一个或多个 HPE OneView 权限。为目录用户分配的 HPE OneView 权限表示该用户所属的所有目录组的权限总和。仅在为目录组定义权限后,才会在装置中对目录用户进行身份验证。

组中的任何用户都可以使用以下步骤登录到装置:

  1. 在登录页面中选择企业目录服务。

  2. 输入一个用户名。用户名 的格式取决于目录类型。请咨询 HPE OneView 管理员和目录管理员以了解正确的用户名格式。有效的格式包括:

    • 电子邮件地址。例如:jane@example.com。

    • 用户的公用名(目录中的 CN 属性)。例如:jane 或 example\jane,其中 example.com 是目录域。
      注意:

      一种最佳做法是,将目录服务的 HPE OneView 显示名称设置为与目录的完全限定域名的开头部分匹配(如果具有 example.com,则为 example)。用户名 的格式取决于目录类型。

  3. 输入密码

装置中的企业目录用户

没有在装置中明确创建与目录用户对应的用户。不过,在目录用户登录到装置时,将在企业目录名称前面添加用户名以标识该用户。

在会话控件中,() 用户在名称前面添加身份验证目录服务以进行标识。例如:) 用户在名称前面添加企业目录服务以进行标识。例如:

CorpDir\pat
重要信息:

与本地用户不同,如果将用户从一个身份验证目录中删除,其活动会话将保持活动状态,直到该用户注销。同样,如果对身份验证目录中的用户组进行任何修改,则不会在用户的当前活动会话中反映该修改。

在身份验证目录组中的用户登录后,如果更改该组的组到角色分配(包括删除),在他们注销之前,其当前活动会话不会受到影响。在进行此类修改时,将终止本地用户会话。

目录服务器

在装置上配置目录时,您可以为目录服务指定一个或多个可访问的目录服务器。如果为目录添加多个目录服务器,则假定它们是冗余服务器以提供高可用性或容错功能。如果无法访问某个目录服务器,则会访问其他配置的服务器以对用户进行身份验证。
注意:

  • 如果在目录服务器配置中使用群集,则可以将群集主机名指定为目录服务器。Hewlett Packard Enterprise 建议在目录服务器配置中使用群集,而不是在装置中配置复制的目录服务器。

  • 目录搜索操作可能需要很长时间,具体取决于目录配置和影响登录时间的网络延迟。在将 Active Directory 与多个域一起使用时,请为目录服务器配置全局目录以获得最佳的登录性能。

绑定到目录服务器

装置必须绑定到目录服务器以执行搜索和身份验证操作。您可以选择使用以下任一选项进行绑定:

  • 服务帐户:可以在装置中配置具有目录服务器的读取访问权限的目录服务帐户。服务帐户将用户名和密码作为输入。HPE OneView 存储您提供的凭据以供将来使用。在 HPE OneView 中启用双因素身份验证时,服务帐户选项是必需的。

  • 用户帐户:用户帐户使用在将 HPE OneView 连接到目录服务时用户提供的凭据。用户帐户有助于在身份验证过程中查询目录。用户帐户是目录绑定的默认选项。目录服务的用户凭据未存储在 HPE OneView 中。

用于身份验证的用户登录名格式

要支持仅指定了用户名的用户登录名,将尝试使用以下格式在目录服务中进行身份验证:

如果用户名不是电子邮件地址(由 @ 字符表示)或 \ 字符(表示\用户名格式),则按以下顺序尝试登录名:

  1. 用户名 视为名称并在前面添加目录名以变为目录名\用户名,例如,example\jane

  2. 用户名 视为 UID

  3. 用户名 视为公用名 (CN)。

注意: 如果在 HPE OneView 中配置的 Active Directory 服务器服务具有用户锁定策略(例如,定义为登录尝试连续失败 n 次时锁定),Hewlett Packard Enterprise 建议您使用电子邮件或域\用户名格式登录到 HPE OneView。如果未使用电子邮件或\用户名格式(而是仅使用用户名),HPE OneView 将在内部尝试不同的登录名格式,如上所述。这可能会导致在单次登录尝试失败(不正确的密码)时从 GUI 中锁定用户。要最大限度减少登录尝试次数,请将目录显示名称配置为与目录完全限定域名的第一个组件相同。例如,为 example.com 目录分配 HPE OneView 名称 example

信任目录服务器

Hewlett Packard Enterprise 建议您在目录服务器上使用 CA 签名的证书。在配置目录服务之前,必须将目录证书的整个证书链(包括 CA 根和任何中间证书)放在 HPE OneView 信任存储中。这可确保在装置上配置目录服务器时装置自动信任该服务器。

在添加企业目录服务和服务器后

您可以:

  • 将其指定为在登录时要使用的默认目录服务。

  • (可选)禁用本地登录,以便仅目录服务对其帐户进行身份验证的用户才能登录。将禁止本地帐户进行登录。

配置 Microsoft Active Directory 服务时的注意事项

  • 为了获得最高的安全性,Hewlett Packard Enterprise 建议将目录服务器配置为仅使用 TLS 1.2 或更高版本的协议。

  • 下面将 Active Directory 属性映射到相应的 LDAP 属性:

    LDAP 属性

    Active Directory 属性

    cn

    Common-Name

    uid

    UID

    userPrincipalName

    User-Principal-Name

    sAMAccountName

    SAM-Account-Name

  • 如果用户对象是在 Microsoft 管理控制台的 Active Directory 用户和计算机中创建的,则默认名称如下所示。

    请指定用户名的以下组成部分,它们在此处与相应的属性一起显示:

    用户名组成部分

    属性

    名字

    givenName

    姓名首字母

    initial

    姓氏

    sn

    标记为全名的字段默认使用该格式。该字符串分配给 cn 属性(公用名)。

    givenName.initials.givenName.initial.sn

    新建对象 - 用户对话框中,您还需要指定一个用户登录名用户登录名与 DNS 域名合并在一起以变为 userPrincipalNameuserPrincipalName 是用户可用于登录的备用名称。它采用以下格式:

    LogonName@DNSDomain

    例如:

    joeuser@example.com

  • 最后,在输入用户登录名时,将在 Windows 2000 以前版本的登录名称字段中自动填充前 20 个字符,这会变为 sAMAccountName 属性。

  • 不接受内置 Active Directory 用户帐户的 CN 登录名,例如,Administrator。如果正确设置了相应的属性(sAMAccountName、userPrincipalName 和 UID),则可以接受其他登录格式。

更多信息