关于目录服务身份验证

您可以配置 HPE OneView 以在用户身份验证中使用外部企业目录服务。HPE OneView 支持以下企业目录服务:
  • Active Directory

  • OpenLDAP

HPE OneView 登录页面中使用的目录服务的显示名称显示在“添加/编辑目录”配置详细信息页面上。该名称表示与其关联的企业目录。

注意:
  • 在用户使用其目录帐户名称(例如,对于 Active Directory,使用 sAMAccountName 字段值)而不是电子邮件地址进行身份验证时,Hewlett Packard Enterprise 建议显示名称与目录的域组件匹配。
  • HPE OneView 在目录显示名称前面添加用户名。
    示例

    对于目录域 corp.example.com,显示名称 corp 允许用户仅使用其目录帐户名称进行登录。指定登录名 admin 的用户将作为 corp\admin 在目录中进行身份验证。

  • 如果 Active Directory 设置为使用 Windows 2000 之前的域名,在 HPE OneView 中设置目录时,管理员必须确保目录名称与 Windows 2000 之前的域名匹配。以后,如果需要,管理员还可以选择将 Windows 2000 之前的目录域设置为用户的默认域以登录到 HPE OneView。
    示例

    如果 Active Directory 域是 Active Directory 上的 example.com,并且 Windows 2000 之前的域名是 myDomain,通过将显示名称指定为 myDomain,用户可以仅使用其目录帐户名称登录。指定登录名 admin 的用户将作为 myDomain\admin 在目录中进行身份验证。

在使用目录服务时,将使用目录用户在目录中的组成员身份为其授予 HPE OneView 权限。在定义目录服务后,可以使用用户和组屏幕定义目录组的权限。

将为目录组分配一个或多个 HPE OneView 权限。为目录用户分配的 HPE OneView 权限表示该用户所属的所有目录组的权限总和。仅在为目录组定义权限后,才会在设备中对目录用户进行身份验证。

组中的任何用户都可以使用以下步骤登录到设备:

  1. 在登录页面中选择企业目录服务。

  2. 输入一个用户名。用户名 的格式取决于目录类型。请咨询 HPE OneView 管理员和目录管理员以了解正确的用户名格式。有效的格式包括:
    • 电子邮件地址。例如:jane.larry@example.com

    • 下级登录名或域名\用户登录名。例如:example\janel,其中 example.com 是目录域。

    • 用户的公用名(目录中的 CN 属性)。例如:janeL
      注意:

      一种最佳做法是,将目录服务的 HPE OneView 显示名称设置为与目录的完全限定域名的开头部分匹配(如果具有 example.com,则为 example)。用户名 的格式取决于目录类型。

  3. 输入密码

设备中的企业目录用户

没有在设备中明确创建与目录用户对应的用户。不过,在目录用户登录到设备时,将在企业目录名称前面添加用户名以标识该用户。

在会话控制中,() 用户在名称前面添加身份验证目录服务以进行标识。例如:) 用户在名称前面添加企业目录服务以进行标识。例如:

CorpDir\pat
重要信息:

与本地用户不同,如果将用户从一个身份验证目录中删除,其活动会话将保持活动状态,直到该用户注销。同样,如果对身份验证目录中的用户组进行任何修改,则不会在用户的当前活动会话中反映该修改。

在身份验证目录组中的用户登录后,如果更改该组的组到角色分配(包括删除),在他们注销之前,其当前活动会话不会受到影响。在进行此类修改时,将终止本地用户会话。

目录服务器

在设备上配置目录时,您可以 使用托管身份验证目录服务的服务器的名称(或 IP 地址)和端口指定一个或多个目录服务器(可以访问该服务器以提供目录服务)。如果为目录添加多个目录服务器,则假定它们是重复的服务器以提供高可用性或容错功能。如果无法访问某个目录服务器,则会访问其他配置的服务器以对用户进行身份验证。
注意:
  • 如果在目录服务器配置中使用群集,则可以将群集主机名指定为目录服务器。Hewlett Packard Enterprise 建议在目录服务器配置中使用群集,而不是在设备中配置复制的目录服务器。

  • 目录搜索操作可能需要很长时间,具体取决于目录配置和影响登录时间的网络延迟。在将 Active Directory 与多个域一起使用时,请为目录服务器配置全局目录以获得最佳的登录性能。

  • 要确保高可用性,目录域通常包含多个目录服务器。HPE OneView 允许配置多个目录服务器。在配置多个目录服务器时,HPE OneView 尝试按指定的顺序访问每个目录服务器,直到它可以对用户进行身份验证。例如,Microsoft Active Directory 环境通常具有多个域控制器。

    为了获得最佳的可用性,请与您的 Active Directory 管理员一起确定必须将哪些域控制器添加到 HPE OneView 中。

绑定到目录服务器

设备必须绑定到目录服务器以执行搜索和身份验证操作。您可以选择使用以下任一选项进行绑定:
  • 服务帐户:可以在设备中配置具有目录服务器的读取访问权限的目录服务帐户。服务帐户将用户名和密码作为输入。HPE OneView 存储您提供的凭据以供将来使用。在 HPE OneView 中启用双因素身份验证时,服务帐户选项是必需的。

    根据您的配置,在某些目录环境中,目录用户要求使用服务帐户,因为不允许他们查询目录树的某些部分。请咨询您的目录管理员以了解详细信息。
    注意:
    • 在 HPE OneView 中启用了双因素身份验证时,请使用服务帐户选项。

    • 确保服务帐户具有目录树的读取访问权限,以便在目录中代表 HPE OneView 用户执行搜索时,HPE OneView 可以使用该帐户。例如,在登录期间,在 HPE OneView 查询目录以确定用户所属的组时,将使用服务帐户执行该查询。

  • 用户帐户:用户帐户使用在将 HPE OneView 连接到目录服务时用户提供的凭据。用户帐户有助于在身份验证过程中查询目录。用户帐户是目录绑定的默认选项。目录服务的用户凭据未存储在 HPE OneView 中。

用于身份验证的用户登录名格式

要支持仅指定了用户名的用户登录名,将尝试使用以下格式在目录服务中进行身份验证:

如果用户名不是电子邮件地址(由 @ 字符表示)或 \ 字符(表示\用户名格式),则按以下顺序尝试登录名:

  1. 用户名 视为登录名并在前面添加目录名以变为目录名\用户名,例如 example\jane

  2. 用户名 视为 UID

  3. 用户名 视为公用名 (CN)。

注意: 如果在 HPE OneView 中配置的 Active Directory 服务器服务具有用户锁定策略(例如,定义为登录尝试连续失败 n 次时锁定),Hewlett Packard Enterprise 建议您使用电子邮件或域\用户名格式登录到 HPE OneView。如果未使用电子邮件或\用户名格式(而是仅使用用户名),HPE OneView 将在内部尝试不同的登录名格式,如上所述。这可能会导致在单次登录尝试失败(不正确的密码)时从 GUI 中锁定用户。要最大限度减少登录尝试次数,请将目录显示名称配置为与目录完全限定域名的第一个组件相同。例如,为 example.com 目录分配 HPE OneView 名称 example。Hewlett Packard Enterprise 建议用户使用 UPN 或下级登录名以登录到 HPE OneView。最常用的 UPN 是 用户名@域.com,而下级登录名是域\用户名。如果不使用 UPN 或下级登录名(而仅使用用户名),则 HPE OneView 在内部尝试使用不同的登录名格式。

信任目录服务器

Hewlett Packard Enterprise 建议您在目录服务器上使用 CA 签名的证书。在配置目录服务之前,必须将目录证书的整个证书链(包括 CA 根和任何中间证书)放在 HPE OneView 信任存储中。该操作确保在设备上配置目录服务器时,设备自动信任该服务器。

在添加企业目录服务和服务器后

您可以:
  • 将其指定为在登录时要使用的默认目录服务。

  • (可选)禁用本地登录,以便仅目录服务对其帐户进行身份验证的用户才能登录。将禁止本地帐户进行登录。

在 HPE OneView 中配置企业目录服务器

在 HPE OneView 中配置企业目录服务器时,请考虑以下几点:
  • 在 HPE OneView 尝试连接到目录服务器时,将使用设备信任的证书执行信任验证。因此,在添加目录服务器之前,请将目录服务器证书链的根证书导入到设备中。

    否则,将提示您添加颁发证书,或者信任目录服务器的自签名证书。

  • 目录服务器可能会提供一个证书链,其中包含服务器证书、一个或多个颁发者以及可选的根证书。

    如果服务器没有在证书链中提供根证书,请从目录服务器管理员处获取根证书,然后在添加目录之前将其导入到设备中。

  • 如果在同一目录服务中配置了多个目录服务器,请在添加目录之前将所有颁发者证书(每个目录服务器的根和中间 CA 证书)导入到设备中。

  • 如果为 HPE OneView 中的目录服务配置了域名,并且域中的多个域控制器以循环方式进行负载平衡,请在添加目录之前将所有颁发者证书(每个域控制器的根和中间 CA 证书)导入到设备中。

在配置企业目录服务器以及与其通信时验证主机名

如果为目录服务器设置了 CA 签名的证书,HPE OneView 将在建立连接时执行主机名验证。只有在目录服务器证书的使用者 CN 或 SAN 字段中指定了以下内容之一时,该主机名验证才会成功:
  • 通配符域名。例如,*.example.com

  • 目录服务器的完全限定域名 (FQDN)。例如,ad01.americas.example.com

    注意: 如果在使用者 CN 或 SAN 字段中使用 FQDN,请设置 DNS 名称解析以将 FQDN 解析为目录服务器的 IP 地址。
  • 目录服务器的 IP 地址。

如果未正确提供这些详细信息,则会显示错误以及解决办法。

在提供其中的任何详细信息时,HPE OneView 验证连接到的目录服务器的详细信息是否与服务器提供并与之关联的证书的使用者公用名(使用者 CN)字段或使用者备用名称 (SAN) 段中指定的详细信息相同。

如果使用以下任一方法在 HPE OneView 中信任目录服务器,则 HPE OneView 不会在建立连接时执行主机名验证:
  • 自签名证书

  • 强制信任叶证书选项。可以使用设置 > 安全性 > 管理的证书 > 添加证书访问该选项。

    通过使用添加证书屏幕上的强制信任叶证书选项,您可以允许或禁止信任设备信任存储中的 CA 签名的叶证书。如果启用,设备将忽略指定证书链中的根和中间证书。在以下情况下,将该证书视为与自签名证书类似:进行签名的 CA 证书在设备中不存在。

    注意:

    不建议强制信任叶证书。如果使用强制信任叶证书选项,则仅在设备中信任叶级证书。不会对叶证书进行吊销检查或主机名验证。此外,每次重新生成目录服务器证书时,您需要将新证书导入到设备中,才能成功与目录服务器进行通信。

    在以循环方式对多个域控制器进行负载平衡的环境中,不同域控制器的证书可能已由不同的中间 CA 证书进行签名。在这种情况下,请强制信任所有域控制器的叶证书,或者使用设置 > 安全性 > 管理的证书 > 添加证书选项信任设备中的所有根和中间 CA 证书。

更多信息

配置 Microsoft Active Directory 服务

配置 OpenLDAP 目录服务