Guía del administrador para configuración y mantenimiento de Oracle® ILOM, versión de firmware 3.2.x

Salir de la Vista de impresión

 
Actualización: Octubre de 2015
 
 

Configuración de LDAP/SSL

De manera opcional, los administradores del sistema pueden configurar Oracle ILOM para utilizar el servicio de directorio LDAP/SSL a fin de autenticar los usuarios de Oracle ILOM, así como definir los niveles de autorización de usuarios para las funciones dentro de Oracle ILOM.

La propiedad para el estado del servicio LDAP/SSL está desactivada por defecto en Oracle ILOM. Para activar el estado del servicio LDAP/SSL y configurar Oracle ILOM como cliente LDAP/SSL, consulte las siguientes tablas:

  • Tabla 25 Activación de la autenticación LDAP/SSL

  • Tabla 26 Carga o eliminación de un archivo de certificado de LDAP/SSL

  • Tabla 27 Configuración opcional de grupos LDAP/SSL

  • Tabla 28 Configuración de dominios de usuario de LDAP/SSL

  • Tabla 29 Configuración opcional de servidores alternativos LDAP/SSL

  • Tabla 30 Directrices para resolver problemas con la autenticación LDAP/SSL

Tabla 25  Activación de la autenticación LDAP/SSL
Destino configurable de la interfaz de usuario:

  • CLI: /SP|CMM/clients/ldapssl/

  • Web: ILOM Administration (Administración de ILOM) > User Management (Gestión de usuarios) > LDAP/SSL > Settings (Configuración)

  • Rol de usuario: User Management (u) (requerido para todas las modificaciones de propiedades)

  • Requisito previo: se debe configurar el servidor LDAP/SSL con los usuarios o grupos de usuarios antes de configurar Oracle ILOM.
Propiedad
Valor por defecto
Descripción
State (Estado)
(state=)
Disabled (Desactivado)
Disabled |Enabled
Para configurar Oracle ILOM para utilizar el servicio de directorio de autorización y autenticación LDAP/SSL, active la propiedad State (Estado).
Cuando la propiedad State (Estado) se establece en disabled, Oracle ILOM no puede utilizar el servicio LDAP/SSL para los niveles de autorización y autenticación de usuarios.
Cuando se activa la propiedad State (Estado) y se desactiva la propiedad Strict Certificate Mode (Modo de certificado estricto), Oracle ILOM proporciona a través de un canal seguro una validación limitada del certificado del servicio LDAP/SSL durante la autenticación de usuarios.
Cuando se activa la propiedad State (Estado) y también se activa la propiedad Strict Certificate Mode (Modo de certificado estricto), Oracle ILOM realiza a través de un canal seguro una verificación completa de las firmas digitales del certificado del servicio LDAP/SSL durante la autenticación de usuarios.
Sintaxis de la CLI para estado:
set /SP|CMM/clients/ldapssl/ state=disabled|enabled
Roles
(defaultrole=)
None (server authorization) (Ninguno [autorización de servidor])
Administrator |Operator |Advanced |None (server authorization)
Para definir qué funciones de Oracle ILOM estarán disponibles para los usuarios autenticados de LDAP/SSL, establezca la propiedad Role (Rol) predeterminada en uno de los cuatro valores de propiedad aceptados: Administrator (Administrador) (a|u|c|r|o), Operator (Operador) (c|r|o), Advanced (Avanzado) (a|u|c|r|o|s) o None (Ninguno) (server authorization).
Cuando se establece la propiedad Roles predeterminada en un rol de usuario de Oracle ILOM, los niveles de autorización para usar las funciones dentro de Oracle ILOM estarán determinados por los privilegios de usuario otorgados mediante el rol de usuario de Oracle ILOM. Para obtener una descripción de los privilegios asignados, consulte las tablas que se enumeran a continuación en la sección Información relacionada para conocer los roles y los perfiles de usuario.
Cuando se establece la propiedad Roles (Roles) predeterminada en None (server authorization) y se configura Oracle ILOM para utilizar los grupos LDAP/SSL, los niveles de autorización para usar las funciones dentro de Oracle ILOM estarán determinados por el grupo LDAP/SSL. Para obtener detalles adicionales sobre la configuración de LDAP/SSL, consulte la tabla que describe los grupos LDAP/SSL que se enumera a continuación en la sección Información relacionada.
Sintaxis de la CLI para roles:
set /SP|CMM/clients/ldapssl/ defaultrole=administrator|operator|a|u|c|r|o|s|none
Información relacionada:
Dirección
(address=)
0.0.0,0
IP address| DNS host name (servidor de Active Directory)
Para configurar la dirección de red del servidor LDAP/SSL, complete la propiedad Address con la dirección IP de LDAP/SSL o el nombre de host DNS. Si se utiliza un nombre de host DNS, las propiedades de configuración de DNS deberán estar definidas y activadas correctamente en Oracle ILOM.
Sintaxis de la CLI para dirección:
set /SP|CMM/clients/ldapssl/ address=LDAP/SSL_server ip_address|active_directory_server_dns_host_name
Información relacionada:
Puerto
(port=)
0 Auto-select (Selección automática)
0 Auto-select | Non-standard TCP port
Oracle ILOM utiliza un puerto TCP estándar para comunicarse con el servidor LDAP/SSL.
Cuando se activa la propiedad Port: Auto-select (Puerto: selección automática), el número de puerto se establece en 0 de forma predeterminada.
Cuando se desactiva la propiedad Port: Auto-select, el usuario puede configurar la propiedad de número de puerto de la interfaz web.
Se proporciona una propiedad Port configurable en el caso poco probable de que Oracle ILOM necesite usar un puerto TCP no estándar.
Sintaxis de la CLI para puerto:
set /SP|CMM/clients/ldapssl/ port=number
Timeout (Tiempo de espera)
(timeout=)
4 segundos
4 |user-specified
La propiedad Timeout se establece en 4 segundos de forma predeterminada. Si es necesario, ajuste el valor de esta propiedad para optimizar el tiempo de respuesta para los casos en que el servidor LDAP/SSL no esté disponible o no responda.
La propiedad Timeout designa la cantidad de segundos que se debe esperar para que se complete una transacción individual. El valor no representa el tiempo total que tardan en completarse todas las transacciones, ya que la cantidad de transacciones puede variar según la configuración.
Sintaxis de la CLI para tiempo de espera:
set /SP|CMM/clients/ldapssl/ timeout=number_of_seconds
Strict Certificate Mode (Modo de certificado estricto)
(strictcert mode=)
Disabled (Desactivado)
Disabled |Enabled
Cuando se activa, Oracle ILOM realiza una verificación completa de las firmas del certificado de LDAP/SSL durante la autenticación a través de un canal seguro.
Cuando se desactiva, Oracle ILOM proporciona una validación limitada del certificado del servidor durante la autenticación a través de un canal seguro.

Precaución  - El certificado del servidor LDAP/SSL se debe cargar en Oracle ILOM antes de activar la propiedad Strict Certificate Mode.

Sintaxis de la CLI para modo de certificado estricto:
set /SP|CMM/clients/ldapssl/ strictcertmode=disabled|enabled
Información relacionada:
Optional User Mapping (Asignación opcional de usuarios)
(/optionalUsermapping)
Disabled (Desactivado)
Disabled | Enabled
Por lo general, la propiedad Optional User Mapping se utiliza cuando no se usó un uid como parte del nombre de inicio de sesión del dominio de usuario. Establezca el estado de la propiedad Optional User Mapping en activado si es necesario convertir nombres de inicio de sesión de usuario simples en nombres de dominio para la autenticación de usuarios.

  • State (Estado): cuando se activa, es posible configurar atributos alternativos para la autenticación de credenciales de usuario.

  • Attribute Information (Información de atributo): especifique la información de inicio de sesión del atributo con el formato de entrada aceptado (&(objectclass=person)(uid=<USERNAME>)). La información del atributo permite que la consulta LDAP/SSL busque nombres de dominio de usuario en función de la información de inicio de sesión del atributo que se proporcionó.

  • Searchbase (Base de búsqueda): establezca la propiedad Searchbase en el nombre distintivo del objeto de base de búsqueda o en una rama del árbol LDAP en el que Oracle ILOM debe buscar las cuentas de usuario LDAP. Formato de entrada: OU={organization},DC={company},DC={com}

  • Bind DN (DN de enlace): establezca la propiedad Bind DN en el nombre distintivo (DN) de un usuario proxy con acceso de sólo lectura en el servidor LDAP. Oracle ILOM debe tener acceso de sólo lectura en el servidor LDAP para buscar y autenticar usuarios. Formato de entrada: OU={organization},DC={company},DC={com}

  • Bind Password (Contraseña de enlace): establezca la propiedad Bind Password en una contraseña para el usuario proxy con acceso de sólo lectura.

Sintaxis de la CLI para asignación opcional de usuarios:
set /SP|CMM/clients/ldapssl/optionalUsermapping/ attributeInfo=<string> searchbase=<string> binddn=cn=proxyuser, ou=organization _name, dc=company, dc=com bindpw=password
Log Detail (Detalle de log)
(logdetail=)
None (Ninguno)
None | High | Medium | Low |Trace
Para especificar el tipo de información de diagnóstico detallada en el registro de Oracle ILOM para los eventos de LDAP/SSL, establezca la propiedad Log Detail en uno de los cinco valores de propiedad aceptados (ninguno, alto, medio, bajo o seguimiento).
Sintaxis de la CLI para detalle de log:
set /SP|CMM/clients/ldapssl/ logdetail=none|high|medium|low|trace
Save (Guardar)
Interfaz web. Para aplicar los cambios realizados en las propiedades dentro de la página LDAP/SSL Settings (Configuración de LDAP/SSL), debe hacer clic en Save (Guardar).
Tabla 26   Carga o eliminación de un archivo de certificado de LDAP/SSL
Destino configurable de la interfaz de usuario:

  • CLI: /SP|CMM/clients/ldapssl/cert

  • Web: ILOM Administration (Administración de ILOM) > User Management (Gestión de usuarios) > LDAP/SSL > Certificate Information (Información de certificado)

  • Rol de usuario: User Management (u) (requerido para todas las modificaciones de propiedades)
Propiedad
Valor por defecto
Descripción
Certificate File Status (Estado de archivo de certificado)
(certstatus=)
Read-Only (Sólo lectura)
Certificate Present |Certificate Not Present
La propiedad Certificate File Status indica si se cargó un certificado de LDAP/SSL en Oracle ILOM.
Sintaxis de la CLI para estado de certificado:
show /SP|CMM/clients/ldapssl/cert
Método de transferencia de archivos
Browser (Explorador) (interfaz web únicamente)
Browser|TFTP|FTP|SCP|Paste
Para obtener una descripción detallada de cada método de transferencia de archivos, consulte Tabla 14.
Load Certificate (Cargar Certificado)
(load_uri=)
Interfaz web: haga clic en el botón Load Certificate (Cargar certificado) para cargar el archivo de certificado de LDAP/SSL designado en la propiedad File Transfer Method (Método de transferencia de archivos).
Sintaxis de la CLI para cargar certificado:
load_uri=file_transfer_method://host_address/file_path/filename
Remove Certificate (Eliminar certificado)
(clear_action=true)
Interfaz web. Haga clic en el botón Remove Certificate (Eliminar certificado) para eliminar el archivo de certificado de LDAP/SSL almacenado actualmente en Oracle ILOM. Cuando se le solicite, haga clic en Yes (Sí) para continuar con la acción o en No para cancelarla.
Sintaxis de la CLI para eliminar certificado:
set /SP|CMM/clients/ldapssl/cert clear_action=true
O bien:
reset /SP|CMM/clients/ldapssl/cert
Cuando se le solicite, escriba y para continuar con la acción o n para cancelarla.
Tabla 27  Configuración opcional de grupos LDAP/SSL
Destino configurable de la interfaz de usuario:

  • CLI: /SP|CMM/clients/ldapssl

  • Web: ILOM Administration (Administración de ILOM) > User Management (Gestión de usuarios) > LDAP/SSL > (Name) Groups [(Nombre) Grupos]

  • Rol de usuario: User Management (u) (requerido para todas las modificaciones de propiedades)

  • Requisito previo: antes de configurar los grupos LDAP/SSL en Oracle ILOM, estos grupos deben estar presentes en el servidor LDAP/SSL y en los miembros asignados.
Propiedad
Descripción
Admin Groups (Grupos de administradores)
(/admingroups/1|2|3|4|5)
De manera opcional, un administrador del sistema puede configurar las propiedades de Admin Group (Grupo de administradores) en lugar de las propiedades de Role (Rol) en Oracle ILOM para permitir la autorización de usuarios.
Oracle ILOM admite la configuración de hasta cinco grupos de administradores. Cuando se activan las propiedades de Admin Group (Grupo de administradores) en Oracle ILOM, se comprueba la pertenencia de un usuario a cualquiera de los grupos coincidentes definidos en la tabla de administradores. Si existe una coincidencia, se otorga al usuario acceso de nivel de administrador.
Nota: Oracle ILOM concede al miembro de un grupo uno o más niveles de autorización en función de los grupos coincidentes (de operadores, de administradores o personalizados) detectados en la tabla de cada grupo configurado.
Sintaxis de la CLI para grupo de administradores:
set /SP|CMM/clients/ldapssl/admingroups/n name=string
Ejemplo de sintaxis:
set /SP/clients/ldapssl/admingroups/1/ name=CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle,DC=com
Set 'name' to 'CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle, DC=com'
Operator Groups (Grupos de operadores)
(/operatorgroups/1|2|3|4|5)
De manera opcional, un administrador del sistema puede configurar las propiedades de Operator Group (Grupo de operadores) en lugar de las propiedades de Role (Rol) en Oracle ILOM para permitir la autorización de usuarios.
Oracle ILOM admite la configuración de hasta cinco grupos de operadores. Cuando se activan las propiedades de Operator Group (Grupo de operadores) en Oracle ILOM, se comprueba la pertenencia de un usuario a cualquiera de los grupos coincidentes definidos en la tabla de operadores. Si existe una coincidencia, se otorga al usuario acceso de nivel de operador.
Nota: Oracle ILOM concede al miembro de un grupo uno o más niveles de autorización en función de los grupos coincidentes (de operadores, de administradores o personalizados) detectados en la tabla de cada grupo configurado.
Sintaxis de la CLI para grupo de operadores:
set /SP|CMM/clients/ldapssl/operatorgroups/n name=string
Ejemplo de sintaxis:
set /SP/clients/ldapssl/operatorgroups/1 name=CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com
Set 'name' to 'CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC= com''
Host Groups (Grupos de hosts)
Las propiedades de Host Groups de LDAP/SSL son específicas para sistemas de servidores SPARC de varios dominios de Oracle.
Para sistemas de servidores SP de varios dominios, Oracle ILOM permite que los administradores del sistema configuren hasta 10 grupos de hosts para la autenticación de usuarios de LDAP/SSL.
Sintaxis de la CLI para configuración de grupos de hosts:
set /SP/clients/ldapssl/hostgroups/n/ name=string hosts=string roles=string
Donde:

  • name= es una propiedad de lectura y escritura que representa el nombre del grupo de Active Directory para el grupo de hosts especificado.

  • hosts= es una propiedad de lectura y escritura que enumera PDomain para el cual este grupo de hosts asigna roles.

  • roles= es una propiedad de lectura y escritura que especifica los niveles de privilegios específicos de un dominio para el grupo de hosts. Esta propiedad admite cualquiera de las combinaciones de ID de roles de hosts individuales de a, c y r (por ejemplo, acr), donde a= admin, c= consola y r= restablecimiento.

Para obtener más detalles sobre la configuración de propiedades de Host Group para sistemas de SP de servidor de varios dominios, consulte la guía de administración proporcionada con el servidor Oracle.
Custom Groups (Grupos personalizados)
(/customgroups/1|2|3|4|5)
De manera opcional, un administrador del sistema puede configurar hasta cinco propiedades de Custom Groups (Grupos personalizados) en Oracle ILOM para permitir la autorización de usuarios. Oracle ILOM utiliza las propiedades de Custom Group (Grupo personalizado) para determinar los roles de usuario adecuados que se asignarán al autenticar usuarios que son miembros de un grupo personalizado.
Al activar el uso de grupos personalizados en Oracle ILOM, se debe configurar tanto la propiedad Roles como la propiedad Custom Groups (Grupos personalizados). Para obtener más información sobre las propiedades de configuración de los roles, consulte la propiedad Roles en Tabla 25.
Nota: Oracle ILOM concede al miembro de un grupo uno o más niveles de autorización en función de los grupos coincidentes (de operadores, de administradores o personalizados) detectados en la tabla de cada grupo configurado.
Sintaxis de la CLI para grupos personalizados:
set /SP|CMM/clients/ldapssl/customgroups/n name=string roles=administrator|operator|a|u|c|r|o|s
Ejemplo de sintaxis:
set /SP/clients/ldapssl/customgroups/1 name=CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com roles=au
Set 'name' to 'CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC= com'' roles' to 'au'
Información relacionada:
Save (Guardar)
Interfaz web: para aplicar los cambios realizados en las propiedades de los cuadros de diálogo Admin (Administrador), Operator (Operador) o Custom Group (Grupo personalizado), debe hacer clic en Save (Guardar).
Tabla 28   Configuración de dominios de usuario de LDAP/SSL
Destino configurable de la interfaz de usuario:

  • CLI: /SP|CMM/clients/ldapssl/userdomains/n

  • Web: ILOM Administration (Administración de ILOM) > User Management (Gestión de usuarios) > LDAP/SSL > User Domains (Dominios de usuario)

  • Rol de usuario: User Management (u) (requerido para todas las modificaciones de propiedades)

  • Requisito previo: antes de configurar los dominios de usuario en Oracle ILOM, estos dominios deben estar presentes en el servidor LDAP/SSL y en los miembros asignados.
Propiedad
Descripción
User Domains (Dominios de usuario)
(/1|2|3|4|5)
De manera opcional, un administrador del sistema puede configurar hasta cinco dominios de usuario. Cuando se definen uno o varios dominios de usuario, Oracle ILOM utiliza estas propiedades en orden consecutivo hasta que puede autenticar el usuario de LDAP/SSL.
Utilice los siguientes valores posibles para completar las propiedades de configuración para cada dominio de usuario en Oracle ILOM.

  • Formato de UID: uid=<USERNAME>,ou=people,dc=company,dc=com

  • Formato de DN: CN=<USERNAME>,CN=Users,DC=domain,DC=company,DC=com

Notas - Puede utilizar <USERNAME> como valor literal. Cuando se utiliza <USERNAME> como valor literal, Oracle ILOM reemplaza <USERNAME> por el nombre de inicio de sesión actual durante la autenticación de usuarios.

Puede especificar una base de búsqueda de manera opcional. Para ello, anexe la propiedad <BASE:string> después de la configuración del dominio de usuario. Para obtener detalles de la sintaxis, consulte el ejemplo 3 a continuación.
Sintaxis de la CLI para dominios de usuario:
set /SP|CMM/clients/ldapssl/userdomains/n domain=string
Ejemplo 1: domain=CN=<USERNAME>
set /SP/clients/ldapssl/userdomains/1 domain=CN=<USERNAME>,OU=Groups,DC=sales,DC-oracle,DC=com
Set 'domain' to 'CN=<USERNAME>,OU=Groups,DC=sales,DC=oracle,DC=com'
Ejemplo 2: domain=CN=spSuperAdmin
set /SP/clients/ldapssl/userdomains/1 domain=CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle,DC=com
Set 'domain' to 'CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle, DC=com'
Ejemplo 3: sintaxis de la base de búsqueda con <BASE:string>
set /SP/clients/ldapssl/userdomains/1 domain=uid=<USERNAME>,ou=people,dc=oracle,dc=com<BASE:ou=doc,dc=oracle,dc=com>
Save (Guardar)
Interfaz web. Para aplicar los cambios realizados en las propiedades del cuadro de diálogo LDAP/SSL User Domain (Dominio de usuario de LDAP/SSL), debe hacer clic en Save (Guardar).
Tabla 29   Configuración opcional de servidores alternativos LDAP/SSL
Destino configurable de la interfaz de usuario:

  • CLI: /SP|CMM/clients/ldapssl/alternateservers/n

  • Web: ILOM Administration (Administración de ILOM) > User Management (Gestión de usuarios) > LDAP/SSL > Alternate Servers (Servidores alternativos)

  • Rol de usuario: User Management (u) (requerido para todas las modificaciones de propiedades)
Propiedad
Descripción
Alternate Servers (Servidores alternativos)
(/1|2|3|4|5)
Oracle ILOM permite configurar hasta cinco servidores alternativos LDAP/SSL.
Los servidores alternativos ofrecen redundancia de autenticación, además de una selección de diferentes servidores LDAP/SSL para utilizar cuando sea necesario aislar dominios.
Cada servidor alternativo LDAP/SSL utiliza los mismos requisitos y reglas de autorización de usuarios que el servidor LDAP/SSL principal. Por ejemplo, Oracle ILOM utilizará los roles de usuario configurados en la propiedad Roles para autenticar usuarios. Sin embargo, si no se configura la propiedad Roles, Oracle ILOM consultará el servidor de autenticación para comprobar los roles de autorización adecuados.
Cada servidor alternativo tiene sus propias propiedades para dirección de red, puerto, estado de certificado y comandos para cargar y eliminar certificados. Si no se proporciona ningún certificado de LDAP/SSL, pero se necesita uno, Oracle ILOM utilizará el certificado de nivel superior del servidor LDAP/SSL principal.
Sintaxis de la CLI para dirección y puerto de servidores alternativos:
set /SP|CMM/clients/ldapssl/alternateservers/n address=string port=string
Sintaxis de la CLI para certificado de servidores alternativos:
show /SP|CMM/clients/ldapssl/alternateservers/n/cert
load_uri=file_transfer_method://host_address/file_path/filename
set /SP|CMM/clients/ldapssl/alternateservers/n/cert clear_action=true
Save (Guardar)
Interfaz web. Para aplicar los cambios realizados en las propiedades del cuadro de diálogo LDAP/SSL Alternate Servers (Servidores alternativos LDAP/SSL), debe hacer clic en Save (Guardar).
Tabla 30   Directrices para resolver problemas con la autenticación LDAP/SSL
Consulte las siguientes directrices al resolver problemas relacionados con los intentos de autenticación y autorización LDAP/SSL en Oracle ILOM.

  • Para probar la autenticación LDAP/SSL y configurar el registro de Oracle ILOM para que realice un seguimiento de los eventos de LDAP/SSL, siga estos pasos:

    1. Establezca la propiedad Log Detail (Detalle de registro) de LDAP/SSL en trace.

    2. Intente realizar una autenticación en Oracle ILOM para generar eventos.

    3. Consulte el archivo de registro de eventos de Oracle ILOM.

  • Asegúrese de que los grupos de usuarios y dominios de usuario configurados en el servidor LDAP/SSL coincidan con los grupos de usuarios y dominios de usuario configurados en Oracle ILOM.

  • El cliente LDAP/SSL de Oracle ILOM no gestiona la configuración del reloj. La configuración del reloj en Oracle ILOM se define manualmente o a través de un servidor NTP.

    Nota: Cuando la configuración del reloj en Oracle ILOM se define con un servidor NTP, Oracle ILOM realiza una operación ntpdate con los servidores NTP antes de iniciar el daemon NTP.

Información relacionada:
Copyright © 2014, 2015, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente