Users Guide
要在握手过程中禁用证书验证,请执行以下命令(可选):
racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 0
注: 在此情况下,您无需上载 CA 证书。
在 SSL 握手过程中强制执行证书验证(可选):
racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 1
在此情况下,您必须上载 CA 证书:
racadm sslcertupload -t 0x2 -f < ADS root CA certificate >
注: 如果证书验证已启用,请指定域控制器服务器地址和 FQDN。确保 DNS 已正确配置。
以下 RACADM 命令可选:
racadm sslcertdownload -t 0x1 -f < RAC SSL certificate >
配置通用 LDAP 用户
CMC 提供通用解决方案来支持基于轻量级目录访问协议 (LDAP) 的验证。此功能不需要在目录服务上进行任何架构扩展。
CMC 管理员现在可在 CMC 中集成 LDAP 服务器用户登录。此集成要求同时在 LDAP 和 CMC 服务器上配置。在 LDAP 服务器
上,标准组对象用作角色组。具有
CMC 权限的用户将成为该角色组的成员。权限仍存储在 CMC 中用于验证,工作方式与具
有 Active Directory 支持的标准架构设置类似。
若要支持 LDAP 用户访问特定的 CMC 卡,则必须在特定的 CMC 卡上配置角色组名称及其域名。每个 CMC 可配置最多 5 个角
色组。用户可选择添加到目录服务内的多个组。如果用户是多个组的成员,则其获得所有所属组的权限。
有关角色组权限级别和默认角色组设置的信息,请参阅用户类型。
配置通用 LDAP 目录以访问 CMC
CMC 的通用 LDAP 实现在授予用户访问权限时分两阶段 - 先是用户验证,然后是用户授权。
LDAP 用户验证
一些目录服务器要求在特定 LDAP 服务器上进行任何搜索前完成绑定。
要验证用户,请执行以下操作:
1. 可选绑定到目录服务。默认为匿名绑定。
注: 基于 Windows 的目录服务器不允许匿名登录。因此,输入绑定 DN 名称和密码。
2. 根据用户登录搜索用户。默认属性是 uid。如果找到一个以上的对象,则返回错误。
3. 解除绑定并以用户的 DN 和密码进行绑定。如果系统无法进行绑定,则登录将会失败。
4. 如果这些步骤成功完成,则用户通过验证。
LDAP 用户的授权
要对用户授权,请执行以下操作:
1. 在每个已配置的组中搜索该用户在 member or uniqueMember 属性中的域名。管理员可以配置用户域。
2. 对于该用户所属的每个用户组,授予该用户相应的用户访问权限和特权。
使用 CMC Web 界面配置通用 LDAP 目录服务
要配置通用 LDAP 目录服务,请执行以下操作:
注: 您必须具有机箱配置管理员权限。
1. 在左侧窗格中,单击机箱概览 → 用户验证 → 目录服务。
2. 选择通用 LDAP。
在同一页面上会显示可以为标准架构配置的设置。
121