Configuration de LDAP/SSL

Langue :

Les administrateurs système peuvent éventuellement configurer Oracle ILOM en vue d'authentifier les utilisateurs par le biais du service d'annuaire LDAP/SSL, mais également définir des niveaux d'autorisation pour l'utilisation des fonctionnalités d'Oracle ILOM.

La propriété de l'état du service LDAP/SSL est désactivée par défaut dans Oracle ILOM. Pour activer l'état du service LDAP/SSL et configurer Oracle ILOM en tant que client LDAP/SSL, reportez-vous aux tableaux suivants :

Table 25 Activation de l'authentification LDAP/SSL
Table 26 Téléchargement ou suppression d'un fichier de certificat LDAP/SSL
Table 27 Configuration facultative de groupes LDAP/SSL
Table 28 Configuration des domaines utilisateur LDAP/SSL
Table 29 Configuration facultative de serveurs LDAP/SSL de remplacement
Table 30 Instructions de dépannage de l'authentification LDAP/SSL

Table 25 Activation de l'authentification LDAP/SSL

Cible configurable de l'interface utilisateur :

CLI: /SP|CMM/clients/ldapssl/
Web: ILOM Administration > User Management > LDAP/SSL > Settings
Rôle utilisateur : User Management (u) (requis pour toutes les modifications de propriété)
Condition requise : il faut créer des utilisateurs ou des groupes d'utilisateurs sur le serveur LDAP/SSL avant de configurer Oracle ILOM.

Propriété

Valeur par défaut

Description

State

(state=)

Disabled

Disabled |Enabled

Pour configurer Oracle ILOM en vue de mettre en oeuvre le service d'annuaire d'authentification et d'autorisation LDAP/SSL, définissez la propriété State sur Enabled.

Lorsque la propriété State est définie sur disabled, Oracle ILOM n'utilise pas le service LDAP/SSL pour l'authentification utilisateur et les niveaux d'autorisation.

Lorsque la propriété State est activée et que la propriété Strict Certificate Mode est désactivée, Oracle ILOM fournit, par le biais d'un canal sécurisé, des validations du certificat de service LDAP/SSL au moment de l'authentification des utilisateurs.

Lorsque les propriétés State et Strict Certificate Mode sont toutes deux activées, Oracle ILOM vérifie entièrement, par le biais d'un canal sécurisé, le certificat de service LDAP/SSL à la recherche de signatures numériques au moment de l'authentification des utilisateurs.

Syntaxe de la CLI pour l'état :

set /SP|CMM/clients/ldapssl/ state=disabled|enabled

Roles

(defaultrole=)

None (server authorization)

Administrator |Operator |Advanced |None (server authorization)

Pour définir les fonctionnalités d'Oracle ILOM accessibles aux utilisateurs LDAP/SSL authentifiés, définissez la propriété Roles par défaut sur l'une des quatre valeurs de propriétés acceptées : Administrator (a|u|c|r|o), Operator (c|r|o), Advanced (a|u|c|r|o|s) ou None (server authorization).

Lorsque la propriété Roles par défaut est définie sur un rôle Oracle ILOM, les niveaux d'autorisation pour l'utilisation des fonctionnalités d'Oracle ILOM sont dictés par les privilèges utilisateur accordés par le rôle. Pour une description des privilèges attribués, reportez-vous aux tableaux répertoriés dans la section Informations connexes ci-dessous au sujet des rôles et des profils utilisateur.

Lorsque la propriété Roles par défaut est définie sur None (server authorization) et qu'Oracle ILOM est configuré pour utiliser les groupes LDAP/SSL, les niveaux d'autorisation pour l'utilisation des fonctionnalités d'Oracle ILOM sont dictés par le groupe LDAP/SSL. Pour plus d'informations sur la configuration LDAP/SSL, reportez-vous au tableau ci-dessous, qui décrit les groupes LDAP/SSL répertorié dans la section Informations connexes ci-dessous.

Syntaxe de la CLI pour les rôles :

set /SP|CMM/clients/ldapssl/ defaultrole=administrator|operator|a|u|c|r|o|s|none

Informations connexes :

Adresse

(address=)

0.0.0.0

IP address| DNS host name (Active Directory Server)

Pour configurer l'adresse réseau du serveur LDAP/SSL, renseignez la propriété Address avec l'adresse IP ou le nom d'hôte DNS du serveur LDAP/SSL. Si un nom d'hôte DNS est déjà utilisé, les propriétés de configuration DNS dans Oracle ILOM doivent être correctement configurées et fonctionnelles.

Syntaxe de la CLI pour l'adresse :

set /SP|CMM/clients/ldapssl/ address=LDAP/SSL_server ip_address|active_directory_server_dns_host_name

Informations connexes :

Table 47

Port

(port=)

0 Auto-select

0 Auto-select | Non-standard TCP port

Oracle ILOM communique avec le serveur LDAP/SSL par le biais d'un port TCP standard.

Lorsque la propriété Port Auto-select est activée, le numéro de port est défini sur 0 par défaut.

Lorsque la propriété Port Auto-select est désactivée, la propriété Port number de l'interface Web devient configurable par l'utilisateur.

Une propriété Port configurable est fournie dans le cas peu probable où Oracle ILOM nécessiterait un port TCP non-standard.

Syntaxe de la CLI pour le port :

set /SP|CMM/clients/ldapssl/ port=number

Timeout

(timeout=)

4 seconds

4 |user-specified

La propriété Timeout est définie sur 4 secondes par défaut. Si nécessaire, modifiez la valeur de cette propriété pour affiner le temps de réponse lorsque le serveur LDAP/SSL n'est pas joignable ou ne répond pas.

La propriété Timeout désigne le délai (en secondes) qui doit s'écouler avant la fin d'une transaction individuelle. La valeur ne représente pas le délai d'expiration de toutes les transactions car le nombre de transactions peut varier en fonction de la configuration.

Syntaxe de la CLI pour l'expiration :

set /SP|CMM/clients/ldapssl/ timeout=number_of_seconds

Strict Certificate Mode

(strictcert mode=)

Disabled

Disabled |Enabled

Si cette propriété est activée, Oracle ILOM vérifie entièrement les signatures du certificat LDAP/SSL au moment de l'authentification par le biais d'un canal sécurisé.

Si cette propriété est désactivée, Oracle ILOM fournit une validation limitée du certificat du serveur au moment de l'authentification par le biais d'un canal sécurisé.

Mise en garde - Il faut télécharger le fichier de certificat DAP/SSL dans Oracle ILOM avant d'activer la propriété Strict Certificate Mode.

Syntaxe de la CLI pour le mode de certificat strict :

set /SP|CMM/clients/ldapssl/ strictcertmode=disabled|enabled

Informations connexes :

Table 26

Optional User Mapping

(/optionalUsermapping)

Disabled

Disabled | Enabled

La propriété Optional User Mapping est généralement utilisée lorsqu'un uid n'a pas été inséré dans nom de connexion au domaine utilisateur. Définissez la propriété Optional User Mapping sur Enabled si vous avez besoin de convertir des noms de connexion utilisateur simples en noms de domaines pour l'authentification.

State : si cette propriété est activée, il est possible de configurer d'autres attributs pour authentifier les informations d'identification utilisateur.
Attribute Information : saisissez les informations de connexion de l'attribut en respectant le format de saisie accepté (&(objectclass=person)(uid=<USERNAME>)). La propriété Attribute Information permet à la requête LDAP/SSL de rechercher les noms des domaines utilisateur en fonction des informations de connexion d'attribut fournies.
Searchbase : définissez la propriété Searchbase sur le nom distinctif de l'objet de base de recherche ou sur une branche de l'arborescence LDAP où Oracle ILOM doit rechercher les comptes utilisateur LDAP. Format de saisie : OU={organization},DC={company},DC={com}
Bind DN : définissez la propriété Bind DN sur le nom distinctif (DN) d'un utilisateur proxy en lecture seule sur le serveur LDAP. Oracle ILOM doit disposer d'un accès en lecture seule au serveur LDAP pour rechercher et authentifier les utilisateurs. Format de saisie : OU={organization},DC={company},DC={com}
Bind Password : définissez la propriété Bind Password sur un mot de passe de l'utilisateur proxy en lecture seule.

Syntaxe de la CLI pour le mappage facultatif d'un utilisateur :

set /SP|CMM/clients/ldapssl/optionalUsermapping/ attributeInfo=<string> searchbase=<string> binddn=cn=proxyuser, ou=organization _name, dc=company, dc=com bindpw=password

Log Detail

(logdetail=)

Aucune

None | High | Medium | Low |Trace

Pour spécifier le type d'informations de diagnostic enregistrées dans le journal des événements d'Oracle ILOM pour les événements LDAP/SSL, définissez la propriété Log Detail sur l'une des cinq valeurs acceptées (none, high, medium, low ou trace).

Syntaxe de la CLI pour le niveau de détail du journal:

Save

Interface Web : pour appliquer les modifications apportées aux propriétés dans la page LDAP/SSL Settings, vous devez cliquer sur Save.

Table 26 Téléchargement ou suppression d'un fichier de certificat LDAP/SSL

Cible configurable de l'interface utilisateur : CLI : `/SP\|CMM/clients/ldapssl/cert` Web : ILOM Administration > User Management > LDAP/SSL > Certificate Information Rôle utilisateur : User Management (`u`) (requis pour toutes les modifications de propriété)
Propriété	Valeur par défaut	Description
Certificate File Status (`certstatus=`)	Lecture seule	`Certificate Present` \|`Certificate Not Present` La propriété Certificate File Status indique si un certificat LDAP/SSL a été téléchargé dans Oracle ILOM. Syntaxe de la CLI pour le statut du certificat : `show /SP\|CMM/clients/ldapssl/cert`
Méthode de transfert de fichiers	Browser (interface Web uniquement)	`Browser`\|`TFTP`\|`FTP`\|`SCP`\|`Paste` Pour une description détaillée de chaque méthode de transfert de fichiers, reportez-vous au Table 14.
Load Certificate `(load_uri=)`		Interface Web : cliquez sur le bouton Load Certificate pour télécharger le fichier de certificat LDAP/SSL désigné dans la propriété File Transfer Method. Syntaxe de la CLI pour charger un certificat : `load_uri=file_transfer_method://host_address/file_path/filename`
Remove Certificate (`clear_action=true`)		Interface Web : cliquez sur le bouton Remove Certificate pour supprimer le fichier de certificat LDAP/SSL actuellement stocké dans Oracle ILOM. Lorsque vous y êtes invité, cliquez sur Yes pour poursuivre l'action ou sur No pour annuler l'action. Syntaxe de la CLI pour supprimer le certificat: `set /SP\|CMM/clients/ldapssl/cert clear_action=true` -ou- `reset /SP\|CMM/clients/ldapssl/cert` Lorsque vous y êtes invité, saisissez `y` pour poursuivre l'action ou `n` pour annuler l'action.

Table 27 Configuration facultative de groupes LDAP/SSL

Cible configurable de l'interface utilisateur : CLI : `/SP\|CMM/clients/ldapssl` Web : ILOM Administration > User Management > LDAP/SSL> (Name) Groups Rôle utilisateur : User Management (`u`) (requis pour toutes les modifications de propriété) Condition requise : avant de les configurer dans Oracle ILOM, les groupes LDAP/SSL doivent être présents sur le serveur LDAP/SSL et les membres assignés.
Propriété	Description
Admin Groups (`/admingroups/1\|2\|3\|4\|5`)	Un administrateur système peut éventuellement configurer les propriétés Admin Group au lieu des propriétés Role dans Oracle ILOM pour assurer l'authentification utilisateur. Oracle ILOM prend en charge la configuration de cinq groupes d'administrateurs au maximum. Lorsque les propriétés Admin Group sont activées dans Oracle ILOM, l'appartenance d'un utilisateur à un groupe est vérifiée sur la base de tout groupe correspondant défini dans la table d'administration. Si une concordance est trouvée, l'utilisateur se voit accorder l'accès au niveau Administrator. Remarque : Oracle ILOM accorde au membre d'un groupe un ou plusieurs niveaux d'autorisation en fonction des groupes correspondants (operator, administrator ou custom) trouvés dans chaque table de groupe configurée. Syntaxe de la CLI pour un groupe d'administrateurs : `set /SP\|CMM/clients/ldapssl/admingroups/n name=string` Exemple de syntaxe : `set /SP/clients/ldapssl/admingroups/1/ name=CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'name' to 'CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle, DC=com'`
Operator Groups (`/operatorgroups/1\|2\|3\|4\|5`)	Un administrateur système peut éventuellement configurer les propriétés Operator Group au lieu des propriétés Role dans Oracle ILOM pour assurer l'authentification utilisateur. Oracle ILOM prend en charge la configuration de cinq groupes d'opérateurs au maximum. Lorsque les propriétés Operator Group sont activées dans Oracle ILOM, l'appartenance d'un utilisateur à un groupe est vérifiée sur la base de tout groupe correspondant défini dans la table des opérateurs. Si une concordance est trouvée, l'utilisateur se voit accorder l'accès au niveau Operator. Remarque : Oracle ILOM accorde au membre d'un groupe un ou plusieurs niveaux d'autorisation en fonction des groupes correspondants (operator, administrator ou custom) trouvés dans chaque table de groupe configurée. Syntaxe de la CLI pour un groupe d'opérateurs : `set /SP\|CMM/clients/ldapssl/operatorgroups/n name=string` Exemple de syntaxe : `set /SP/clients/ldapssl/operatorgroups/1 name=CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'name' to 'CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC= com''`
Host Groups	Les propriétés de groupes d'hôtes LDAP/SSL sont spécifiques aux systèmes de serveur SPARC multidomaines Oracle. Pour les systèmes de serveur SP multidomaines, Oracle ILOM permet aux administrateurs système de configurer jusqu'à 10 groupes d'hôtes pour l'authentification utilisateur LDAP/SSL. Syntaxe de la CLI pour configurer un groupe d'hôtes : `set /SP/clients/ldapssl/hostgroups/n/ name=string hosts=string roles=string` Où : name= est une propriété en lecture et écriture qui représente le nom de groupe Active Directory du groupe d'hôtes spécifié. hosts= est une propriété en lecture et écriture qui répertorie le PDomain pour lequel ce groupe d'hôtes affecte des rôles. roles= est une propriété en lecture et écriture qui spécifie les niveaux de privilège de domaine du groupe d'hôtes. Cette propriété prend en charge n'importe laquelle des combinaisons d'ID de rôle hôte individuel (par exemple, acr) où a= admin, c=console et r=reset. Pour plus de détails sur la configuration de propriétés de groupe d'hôtes pour les systèmes de serveur SP multidomaines, consultez le guide d'administration disponible pour le serveur Oracle.
Custom Groups (`/customgroups/1\|2\|3\|4\|5`)	Un administrateur système peut éventuellement configurer jusqu'à cinq groupes personnalisés dans Oracle ILOM pour assurer l'autorisation utilisateur. Oracle ILOM détermine par le biais des propriétés Custom Group les rôles qu'il convient d'attribuer lors de l'authentification d'utilisateurs membres d'un groupe personnalisé. Lors de l'activation de l'utilisation des groupes personnalisés dans Oracle ILOM, les propriétés Roles et Custom Groups doivent être configurées. Pour plus d'informations sur les propriétés de configuration de rôles, reportez-vous à la propriété Roles dans le Table 25. Remarque : Oracle ILOM accorde au membre d'un groupe un ou plusieurs niveaux d'autorisation en fonction des groupes correspondants (operator, administrator ou custom) trouvés dans chaque table de groupe configurée. Syntaxe de la CLI pour les groupes personnalisés : `set /SP\|CMM/clients/ldapssl/customgroups/n name=string roles=administrator\|operator\|a\|u\|c\|r\|o\|s` Exemple de syntaxe : `set /SP/clients/ldapssl/customgroups/1 name=CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com roles=au` `Set 'name' to 'CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC= com'' roles' to 'au'` Informations connexes : Assignable Oracle ILOM User Roles
Save	Interface Web : pour appliquer les modifications apportées aux propriétés dans les boîtes de dialogue Admin, Operator ou Custom Group, vous devez cliquer sur Save.

Table 28 Configuration des domaines utilisateur LDAP/SSL

Cible configurable de l'interface utilisateur : CLI : `/SP\|CMM/clients/ldapssl`/userdomains/`n` Web : ILOM Administration > User Management > LDAP/SSL > User Domains Rôle utilisateur : User Management (`u`) (requis pour toutes les modifications de propriété) Condition requise : avant de les configurer dans Oracle ILOM, les domaines utilisateur doivent être présents sur le serveur LDAP/SSL et leurs membres assignés.
Propriété	Description
User Domains (/`1`\|`2`\|`3`\|`4`\|`5`)	Un administrateur système peut éventuellement configurer jusqu'à cinq domaines utilisateur. Quand un ou plusieurs domaines utilisateur sont définis, Oracle ILOM reprend ces propriétés dans l'ordre jusqu'à authentifier l'utilisateur LDAP/SSL. Utilisez les valeurs possibles suivantes pour définir les propriétés de configuration de chaque domaine utilisateur dans Oracle ILOM : Format UID : uid=<USERNAME>,ou=people,dc=company,dc=com Format DN : CN=<USERNAME>,CN=Users,DC=domain,DC=company,DC=com Remarque - Vous pouvez utiliser <USERNAME> en tant que paramètre littéral. Si <USERNAME> apparaît comme paramètre littéral, Oracle ILOM remplace <USERNAME> lors de l'authentification utilisateur par le nom de connexion actuel saisi. Vous pouvez éventuellement spécifier une base de recherche spécifique en ajoutant la propriété `<BASE:string>` après la configuration du domaine utilisateur. Pour des détails sur la syntaxe, reportez-vous à l'exemple 3 ci-dessous. Syntaxe de la CLI pour les domaines utilisateur : `set /SP\|CMM/clients/ldapssl/userdomains/n domain=string` Exemple 1 : `domain=CN=<USERNAME>` `set /SP/clients/ldapssl/userdomains/1 domain=CN=<USERNAME>,OU=Groups,DC=sales,DC-oracle,DC=com` Set 'domain' to 'CN=<USERNAME>,OU=Groups,DC=sales,DC=oracle,DC=com' Exemple 2 : domain=CN=spSuperAdmin `set /SP/clients/ldapssl/userdomains/1 domain=CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'domain' to 'CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle, DC=com'` Exemple 3 : syntaxe de la base de recherche à l'aide de `<BASE:string>` `set /SP/clients/ldapssl/userdomains/1 domain=uid=<USERNAME>,ou=people,dc=oracle,dc=com<BASE:ou=doc,dc=oracle,dc=com>`
Save	Interface Web : pour appliquer les modifications apportées aux propriétés dans la boîte de dialogue LDAP/SSL User Domain, vous devez cliquer sur Save.

Table 29 Configuration facultative de serveurs LDAP/SSL de remplacement

Cible configurable de l'interface utilisateur : CLI : `/SP\|CMM/clients/ldapssl/alternateservers/n` Web : ILOM Administration > User Management > LDAP/SSL > Alternate Servers Rôle utilisateur : User Management (`u`) (requis pour toutes les modifications de propriété)
Propriété	Description
Alternate Servers (`/1\|2\|3\|4\|5`)	Oracle ILOM vous permet de configurer jusqu'à cinq serveurs LDAP/SSL de remplacement. Les serveurs de remplacement assurent la redondance d'authentification, ainsi qu'un choix de différents serveurs LDAP/SSL à utiliser lorsque vous avez besoin d'isoler des domaines. Chaque serveur de remplacement observe les mêmes règles et exigences d'authentification utilisateur que le serveur LDAP/SSL principal. Par exemple, Oracle ILOM reprend les rôles configurés dans la propriété Roles pour authentifier les utilisateurs. Cependant, si la propriété Roles n'est pas configurée, Oracle ILOM demande les rôles d'autorisation appropriés au serveur d'authentification. Chaque serveur LDAP/SSL de remplacement possède ses propres propriétés d'adresse réseau, de port, de statut de certificat et de commandes pour télécharger et supprimer un certificat. Si aucun certificat LDAP/SSL n'est fourni mais qu'il est requis, Oracle ILOM utilise le certificat supérieur du serveur LDAP/SSL principal. Syntaxe de la CLI pour l'adresse et le port des serveurs de remplacement : `set /SP\|CMM/clients/ldapssl/alternateservers/n address=sting port=string` Syntaxe de la CLI pour le certificat des serveurs de remplacement : `show /SP\|CMM/clients/ldapssl/alternateservers/n/cert` `load_uri=file_transfer_method://host_address/file_path/filename` `set /SP\|CMM/clients/ldapssl/alternateservers/n/cert clear_action=true`
Save	Interface Web : pour appliquer les modifications apportées aux propriétés dans la boîte de dialogue LDAP/SSL Alternate Servers, vous devez cliquer sur Save.

Table 30 Instructions de dépannage de l'authentification LDAP/SSL

Reportez-vous aux instructions suivantes lors du dépannage de l'authentification LDAP/SSL et des tentatives d'autorisation dans Oracle ILOM.

Pour tester l'authentification LDAP/SSL et définir le journal des événements d'Oracle ILOM pour tracer les événements LDAP/SSL, procédez comme suit :

1. Définissez la propriété LDAP/SSL Log Details sur trace.

2. Effectuez une tentative d'authentification dans Oracle ILOM pour générer des événements.

3. Consultez de journal des événements d'Oracle ILOM.
Assurez-vous que les groupes d'utilisateurs et les domaines configurés sur le serveur LDAP/SSL correspondent à ceux configurés dans Oracle ILOM.
Le client LDAP/SSL d'Oracle ILOM ne gère pas les paramètres d'horloge. Ces paramètres sont configurables manuellement ou par le biais d'un serveur NTP.

Remarque. Lorsque le paramètre d'horloge d'Oracle ILOM est configuré à l'aide d'un serveur NTP, Oracle ILOM exécute la commande ntpdate à l'aide du serveur NTP avant de démarrer le démon NTP.

Informations connexes :