Configuration de LDAP
Les administrateurs système peuvent configurer Oracle ILOM pour authentifier les utilisateurs par le biais du service LDAP (Lightweight Directory Access Protocol). Ce service repose sur un modèle de requête client-serveur qui demande l'authentification utilisateur au serveur LDAP à l'aide d'un compte utilisateur proxy en lecture seule.
La propriété de l'état du service LDAP est désactivée par défaut dans Oracle ILOM. Pour activer l'état du service LDAP et configurer les propriétés pour procéder à l'authentification des utilisateurs par le biais du service d'annuaire LDAP, reportez-vous aux tableaux suivants :
Table 31 Conditions requises pour activer Oracle ILOM en tant que client LDAP
Avant de configurer Oracle ILOM en tant que client LDAP, il faut configurer correctement le serveur LDAP. Reportez-vous aux instructions suivantes et à la section Informations connexes lors de la configuration du serveur LDAP pour reconnaître Oracle ILOM comme un client LDAP.
Assurez-vous que le serveur LDAP est configuré pour utiliser le format de mot de passe {crypt} par défaut. Les mots de passe de tous les utilisateurs LDAP qui s'authentifient dans Oracle ILOM doivent être stockés dans l'un des deux formats {crypt} suivants :
userPassword: {CRYPT}ajCa2He4PJhNo
userPassword: {CRYPT}$1$pzKng1$du1Bf0NWBjh9t3FbUgf46 Reportez-vous à l'Internet Engineering Task Force Schema (RFC 2307) pour ajouter des classes d'objets pour posixAccount et shadowAccount, puis définissez les valeurs de propriétés requises pour :
- uidnumber
- gidnumber
- uid (nom d'utilisateur Oracle ILOM), Activez le serveur LDAP pour accepter les liaisons anonymes ou créez un utilisateur proxy sur le serveur LDAP pour disposer de l'accès en lecture seule pour tous les comptes utilisateur qui s'authentifient dans Oracle ILOM.
|
Informations connexes :
|
|
Table 32 Activation d'Oracle ILOM pour utiliser l'authentification LDAP
|
|
|
|
State
(state=) |
Disabled |
Disabled |Enabled
Pour activer Oracle ILOM en vue d'authentifier les utilisateurs à l'aide du service d'annuaire LDAP, définissez la propriété State sur Enabled.
Si la propriété State est activée, Oracle ILOM demande au serveur LDAP d'authentifier les utilisateurs.
Syntaxe de la CLI pour l'état :
set /SP|CMM/clients/ldap/ state=disabled|enabled |
Roles
(defaultrole=) |
Operator |
Administrator |Operator |Advanced
Pour définir les fonctionnalités d'Oracle ILOM accessibles aux utilisateurs LDAP authentifiés, définissez la propriété Roles sur l'un des trois rôles Oracle ILOM : Administrator (a|u|c|r|o), Operator (c|r|o) ou Advanced (a|u|c|r|o|s)
Les niveaux d'autorisation pour l'utilisation des fonctionnalités d'Oracle ILOM sont dictés par les privilèges accordés par le rôle utilisateur Oracle ILOM configuré. Pour une description des privilèges attribués, reportez-vous aux rubriques concernant les rôles et les profils utilisateur répertoriées dans la section Informations connexes ci-dessous.
Syntaxe de la CLI pour les rôles :
set /SP|CMM/clients/ldap/ defaultrole=administrator|operator|a|u|c|r|o|s
Informations connexes :
|
Adresse
(address=) |
0.0.0.0 |
IP address| DNS host name (Serveur LDAP)
Pour configurer l'adresse réseau du serveur LDAP, renseignez la propriété Address avec l'adresse IP ou le nom d'hôte DNS du serveur LDAP. Si un nom d'hôte DNS est déjà utilisé, les propriétés de configuration DNS dans Oracle ILOM doivent être correctement configurées et fonctionnelles.
Syntaxe de la CLI pour l'adresse :
set /SP|CMM/clients/ldap/ address=ldap_server ip_address|ldap_server_dns_host_name
Informations connexes :
|
Port
(port=) |
389 |
389 | User-specified TCP port
Oracle ILOM communique avec le serveur OpenLDAP par le biais du port TCP 389.
Si nécessaire, configurez Oracle ILOM pour utiliser un autre port en modifiant le numéro de port par défaut (389).
Syntaxe de la CLI pour le port :
set /SP|CMM/clients/ldap/ port=number |
Searchbase
(searchbase=) |
|
ou=organization_unit |dn=domain_name|dc=domain|
La propriété Searchbase correspond à l'emplacement dans l'arborescence LDAP où Oracle ILOM effectue des recherches pour valider les informations d'identification utilisateur.
Renseignez la propriété Searchbase avec un nom distinctif pour l'objet de base de recherche ou avec la branche de l'arborescence LDAP où Oracle ILOM doit rechercher les comptes utilisateur LDAP en respectant le format de saisie accepté.
Par exemple, pour rechercher le conteneur informatique dans le domaine MyCompany.com, vous spécifieriez la base de recherche :
ou=IT, dc=mycompany, dc=.com
Syntaxe de la CLI pour la base de recherche :
set /SP|CMM/clients/ldap/ searchbase= ou=organization_name, dn=domain_name, dc=domain |
Bind DN
(binddn=) |
|
ou=organization_unit |dn=domain_name|dc=domain|cn=common_name
Pour fournir l'accès en lecture seule au serveur LDAP à Oracle ILOM, renseignez la propriété Bind DN avec un nom distinctif (DN) d'un utilisateur proxy en lecture seule.
Remarque. Le logiciel Oracle ILOM doit disposer d'un accès en lecture seule au serveur LDAP pour rechercher et authentifier les utilisateurs LDAP.
Syntaxe de la CLI pour le DN de liaison :
set /SP|CMM/clients/ldap/ binddn=cn=proxyuser, ou=organization _name, dc=domain |
Bind Password
(bindpw=) |
|
Pour fournir à Oracle ILOM un mot de passe pour l'utilisateur proxy en lecture seule, renseignez la propriété Bind Password avec un mot de passe.
Syntaxe de la CLI pour le mot de passe de liaison :
set /SP|CMM/clients/ldap/ bindpw=password |
Save |
|
Interface Web : pour appliquer les modifications apportées aux propriétés dans la page LDAP Settings, vous devez cliquer sur Save. |
|