添加身份验证目录服务

可使用外部身份验证目录服务(也称为企业目录或身份验证登录域)验证登录到设备的用户身份,而非维护个别本地登录帐户。

支持两种类型的目录服务 - Microsoft Active Directory 和 OpenLDAP。

前提条件
  • 所需的最低权限:基础架构管理员。
  • 必须为身份验证目录服务配置证书以支持安全LDAP 通信 (LDAPS)。
  • 必须将用于对目录服务器证书进行签名的根证书颁发机构 (CA) 或中间 CA 证书添加到 HPE OneView 信任存储中。
    注意:
    • 为了提高安全性,大多数目录服务器使用 CA 签名的证书而不是自签名证书。

    • 请咨询 Active Directory 或 OpenLDAP 管理员或公钥基础架构 (PKI) 管理员以获取 CA 根公共证书。要提取 Active Directory 服务器证书的整个 CA 链,请按照这些步骤进行操作。

    • 使用设置 > 安全性 > 管理证书以将 CA 根证书导入到 HPE OneView 信任存储中。如果组成域的各个目录服务器具有来自不同 CA 根的证书,请在 HPE OneView 信任存储中输入每个唯一的 CA 根。

  • 在为目录服务器提供 DNS 完全限定域名之前,必须在 HPE OneView 设备上配置 DNS。
  • 目录服务器的名称和 IP 地址的正向查找必须在 DNS 中正常工作。
过程
  1. 从主菜单中,选择设置
  2. 单击安全性面板中的编辑图标,或选择操作 > 编辑
  3. 编辑安全性屏幕上的目录下面,单击添加目录
  4. 输入在添加/编辑目录屏幕上请求的数据。
  5. 单击添加目录服务器
    重要信息:

    确定是搜索全局编录还是域取决于搜索范围:

    • 如果搜索范围是域或组织单位,请使用 SSL 端口。默认值是 636。

    • 如果搜索范围是 Active Directory 林,请使用 SSL 全局编录端口。默认值是 3269。

      在较大的 Active Directory 环境中,在用户身份验证搜索必须跨 Active Directory 林时,Hewlett Packard Enterprise 建议使用全局编录端口 3269 执行 Active Directory 身份验证查询。

  6. 输入在“添加目录服务器”屏幕上请求的数据。
    注意:

    对于 Open LDAP:

    • 根据需要,使用添加按钮添加组织单位字段。
      重要信息:

      在相互通信时,设备和身份验证目录服务使用 LDAPS(通过 SSL 的 LDAP)端口,数据类型为“数值”。

    • 要删除组织单位字段及其条目,请单击相应的 图标。

  7. 单击添加以添加一个服务器,然后返回到添加目录屏幕。
    注意:

    设备获取服务器证书链,允许您进行验证,然后信任该链。您必须添加要信任的整个证书链,包括对目录服务器证书进行签名的最上面的根 CA。如果发现在链中缺少根 CA,则会提示您使用管理证书屏幕信任根 CA 证书。

    在使用添加+ 添加更多服务器时,Hewlett Packard Enterprise 建议在目录服务器配置中使用群集,而不是在设备中配置复制的目录服务器。如果在目录服务器配置中使用群集,则可以将群集主机名指定为目录服务器。
  8. 单击添加以添加身份验证目录服务,或者单击添加+ 以添加更多目录服务。
    注意:

    目录搜索操作可能需要很长时间,具体取决于目录配置和影响登录时间的网络延迟。在将 Active Directory 与多个域一起使用时,请为目录服务器配置全局目录以获得最佳的登录性能。默认情况下,全局编录是在端口 3269 上配置的。

  9. 在添加身份验证目录服务后:
    1. 验证配置:在安全性屏幕的目录下面。
    2. 验证目录服务器配置
  10. 添加具有基于目录的身份验证的组