配置 LDAP/SSL

语言：

系统管理员可以选择性地将 Oracle ILOM 配置为使用 LDAP/SSL 目录服务来验证 Oracle ILOM 用户，也可以定义用户授权级别来使用 Oracle ILOM 中的功能。

默认情况下，LDAP/SSL 服务状态属性在 Oracle ILOM 中为禁用。要启用 LDAP/SSL 服务状态并将 Oracle ILOM 配置为 LDAP/SSL 客户机，请参见以下各表：

表 25 启用 LDAP/SSL 验证

用户界面可配置目标：

CLI：/SP|CMM/clients/ldapssl/
Web："ILOM Administration" > "User Management" > "LDAP/SSL" > "Settings"
用户角色：User Management (u)（进行任何属性修改时均必需）
先决条件：在配置 Oracle ILOM 之前，LDAP/SSL 服务器必须配置有用户或用户组。

属性

默认值

说明

State

(state=)

Disabled

Disabled |Enabled

要将 Oracle ILOM 配置为使用 LDAP/SSL 验证和授权目录服务，请将 State 属性设置为 enabled。

当 State 属性设置为 disabled 时，将禁止 Oracle ILOM 将 LDAP/SSL 服务用于用户验证和授权级别。

当 State 属性为 enabled 且 Strict Certificate Mode 属性为 disabled 时，Oracle ILOM 在进行用户验证时会通过安全通道提供 LDAP/SSL 服务证书的某种验证。

当 State 属性为 enabled 且 Strict Certificate Mode 属性为 enabled 时，Oracle ILOM 在进行用户验证时会通过安全通道完全验证 LDAP/SSL 服务证书的数字签名。

State 对应的 CLI 语法：

set /SP|CMM/clients/ldapssl/ state=disabled|enabled

Roles

(defaultrole=)

None (server authorization)

Administrator |Operator |Advanced |None (server authorization)

要定义 Oracle ILOM 中哪些功能可由已验证身份的 LDAP/SSL 用户访问，请将默认 Role 属性设置为以下接受的四个属性值之一：Administrator (a|u|c|r|o)、Operator (c|r|o)、Advanced (a|u|c|r|o|s) 或 None (server authorization)。

将默认的 Roles 属性设置为一个 Oracle ILOM 用户角色后，用于使用 Oracle ILOM 中功能的授权级别由 Oracle ILOM 用户角色授予的用户特权指定。有关分配的特权的说明，请参见下面的“相关信息”部分中列出的各表，以了解用户角色和用户配置文件。

将默认的 Roles 属性设置为 None (server authorization) 并将 Oracle ILOM 配置为使用 LDAP/SSL 组后，用于使用 Oracle ILOM 中功能的授权级别由 LDAP/SSL 组指定。有关进一步的 LDAP/SSL 配置详细信息，请参见下面的“相关信息”部分中列出的介绍 LDAP/SSL 组的表。

Roles 对应的 CLI 语法：

set /SP|CMM/clients/ldapssl/ defaultrole=administrator|operator|a|u|c|r|o|s|none

相关信息：

Address

(address=)

0.0.0.0

IP address| DNS host name（Active Directory 服务器）

要配置 LDAP/SSL 服务器的网络地址，请使用 LDAP/SSL IP 地址或 DNS 主机名填充 "Address" 属性。如果使用 DNS 主机名，则 Oracle ILOM 中的 DNS 配置属性必须配置正确且可运行。

Address 对应的 CLI 语法：

set /SP|CMM/clients/ldapssl/ address=LDAP/SSL_server ip_address|active_directory_server_dns_host_name

相关信息：

表 47

Port

(port=)

0 Auto-select

0 Auto-select | Non-standard TCP port

Oracle ILOM 使用标准 TCP 端口与 LDAP/SSL 服务器进行通信。

Port Auto-select 属性为 enabled 时，默认情况下会将 Port 编号设置为 0。

Port Auto-select 属性为 disabled 时，Web 界面中的 Port number 属性会变为用户可配置状态。

提供可配置的 "Port" 属性，以防 Oracle ILOM 需要使用非标准 TCP 端口。

Port 对应的 CLI 语法：

set /SP|CMM/clients/ldapssl/ port=number

Timeout

(timeout=)

4 seconds

4 |user-specified

默认情况下，Timeout 属性设置为 4 秒。如有必要，可调整此属性值，以在无法访问 LDAP/SSL 服务器或该服务器不响应时微调响应时间。

Timeout 属性指定等待单个事务完成时所需的秒数。该值不代表完成所有事务的总时间，因为配置不同，事务数也会不同。

Timeout 对应的 CLI 语法：

set /SP|CMM/clients/ldapssl/ timeout=number_of_seconds

Strict Certificate Mode

(strictcert mode=)

Disabled

Disabled |Enabled

如果启用，Oracle ILOM 会在验证时通过安全通道完全验证 LDAP/SSL 证书签名。

如果禁用，Oracle ILOM 会在验证时通过安全通道提供受限的服务器证书验证。

注意 - 启用 Strict Certificate Mode 属性之前，必须先将 LDAP/SSL 服务器证书上载到 Oracle ILOM。

Strict Certificate Mode 对应的 CLI 语法：

set /SP|CMM/clients/ldapssl/ strictcertmode=disabled|enabled

相关信息：

表 26

Optional User Mapping

(/optionalUsermapping)

Disabled

Disabled | Enabled

如果未将 uid 用作用户域登录名的一部分，则通常会使用 Optional User Mapping 属性。如果在用户验证时需要将简单用户登录名转换为域名，则将 Optional User Mapping 属性设置为 enabled。

State－启用后，可配置用于用户凭证验证的备用属性。
Attribute Information－使用接受的输入格式 (&(objectclass=person)(uid=<USERNAME>)) 输入属性登录信息。利用 Attribute Information 能够使 LDAP/SSL 查询基于提供的属性登录信息搜索用户域名。
Searchbase－将 Searchbase 属性设置为搜索基对象的标识名或 Oracle ILOM 应从中查找 LDAP 用户帐户的 LDAP 树的一个分支。输入格式：OU={organization},DC={company},DC={com}
Bind DN－将 Bind DN 属性设置为 LDAP 服务器上的只读代理用户的标识名 (Distinguished Name, DN)。Oracle ILOM 必须对 LDAP 服务器具有只读访问权限，才能搜索和验证用户。输入格式：OU={organization},DC={company},DC={com}
Bind Password－将 Bind Password 属性设置为只读代理用户的密码。

Optional User Mapping 对应的 CLI 语法：

set /SP|CMM/clients/ldapssl/optionalUsermapping/ attributeInfo=<string> searchbase=<string> binddn=cn=proxyuser, ou=organization _name, dc=company, dc=com bindpw=password

Log Detail

(logdetail=)

无

None | High | Medium | Low |Trace

要为 LDAP/SSL 事件指定 Oracle ILOM 事件日志中记录的诊断信息类型，请将 Log Detail 属性设置为五个接受的属性值（none、high、medium、low 或 trace）之一。

Log Detail 对应的 CLI 语法：

Save

Web 界面－要应用在 "LDAP/SSL Settings" 页面中对属性所做的更改，必须单击 "Save"。

表 26 上载或删除 LDAP/SSL 证书文件

用户界面可配置目标： CLI：`/SP\|CMM/clients/ldapssl/cert` Web："ILOM Administration" > "User Management" > "LDAP/SSL" > "Certificate Information" 用户角色：User Management (`u`)（进行任何属性修改时均必需）
属性	默认值	说明
Certificate File Status (`certstatus=`)	只读	`Certificate Present` \|`Certificate Not Present` Certificate File Status 属性指示 LDAP/SSL 证书是否已上载到 Oracle ILOM。用于显示证书状态的 CLI 语法： `show /SP\|CMM/clients/ldapssl/cert`
File Transfer Method	Browser（仅适用于 Web 界面）	`Browser`\|`TFTP`\|`FTP`\|`SCP`\|`Paste` 有关每个文件传输方法的详细说明，请参见表 14。
Load Certificate `(load_uri=)`		Web 界面－单击 "Load Certificate" 按钮上载在 "File Transfer Method" 属性中指定的 LDAP/SSL 证书文件。用于装入证书的 CLI 语法： `load_uri=file_transfer_method://host_address/file_path/filename`
Remove Certificate (`clear_action=true`)		Web 界面－单击 "Remove Certificate" 按钮删除目前存储在 Oracle ILOM 中的 LDAP/SSL 证书文件。出现提示时，单击 "Yes" 继续操作，或单击 "No" 取消操作。用于删除证书的 CLI 语法： `set /SP\|CMM/clients/ldapssl/cert clear_action=true` －或者－ `reset /SP\|CMM/clients/ldapssl/cert` 出现提示时，键入 `y` 继续操作，或键入 `n` 取消操作。

表 27 选择性地配置 LDAP/SSL 组

用户界面可配置目标： CLI：`/SP\|CMM/clients/ldapssl` Web："ILOM Administration" > "User Management" > "LDAP/SSL" > "(Name) Groups" 用户角色：User Management (`u`)（进行任何属性修改时均必需）先决条件：在 Oracle ILOM 中设置 LDAP/SSL 组之前，LDAP/SSL 组必须存在于 LDAP/SSL 服务器上且已分配有成员。
属性	说明
Admin Groups (`/admingroups/1\|2\|3\|4\|5`)	系统管理员可以选择性地在 Oracle ILOM 中配置 "Admin Group" 属性（而不是 "Role" 属性）来提供用户授权。 Oracle ILOM 最多支持配置五个 "Admin Group"。在 Oracle ILOM 中启用 "Admin Group" 属性时，将检查用户的组成员关系是否与 admin 表中定义的任意组相匹配。如果出现匹配项，则授予该用户 Administrator 级别访问权限。注－Oracle ILOM 根据在每个配置的组表中找到的匹配组（Operator、Administrator 或 Custom）来授予组成员一个或多个授权级别。 Admin Group 对应的 CLI 语法： `set /SP\|CMM/clients/ldapssl/admingroups/n name=string` 语法示例： `set /SP/clients/ldapssl/admingroups/1/ name=CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'name' to 'CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle, DC=com'`
Operator Groups (`/operatorgroups/1\|2\|3\|4\|5`)	系统管理员可以选择性地在 Oracle ILOM 中配置 "Operator Group" 属性（而不是 "Role" 属性）来提供用户授权。 Oracle ILOM 最多支持配置五个 "Operator Group"。在 Oracle ILOM 中启用 "Operator Group" 属性时，将检查用户的组成员关系是否与 operator 表中定义的任意组相匹配。如果出现匹配项，则授予该用户 Operator 级别访问权限。注－Oracle ILOM 根据在每个配置的组表中找到的匹配组（Operator、Administrator 或 Custom）来授予组成员一个或多个授权级别。 Operator Group 对应的 CLI 语法： `set /SP\|CMM/clients/ldapssl/operatorgroups/n name=string` 语法示例： `set /SP/clients/ldapssl/operatorgroups/1 name=CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'name' to 'CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC= com''`
Host Groups	LDAP/SSL Host Groups 属性是 Oracle 多域 SPARC 服务器系统所特有的。对于多域 SP 服务器系统，Oracle ILOM 允许系统管理员最多配置 10 个用于 LDAP/SSL 用户验证的主机组。 Host Groups 对应的 CLI 配置语法： `set /SP/clients/ldapssl/hostgroups/n/ name=string hosts=string roles=string` 其中： name= 是一个读写属性，它为指定的主机组提供 Active Directory 组名称。 hosts= 是一个读写属性，它列出此主机组为之分配角色的 PDomain。 roles= 是一个读写属性，它为主机组指定特定于域的特权级别。此属性支持 a、c 和 r 的任意主机角色 ID 组合（例如 acr），其中 a=admin、c=console 且 r=reset。有关为多域服务器 SP 系统配置 "Host Group" 属性的更多详细信息，请参见 Oracle 服务器附带的管理指南。
Custom Groups (`/customgroups/1\|2\|3\|4\|5`)	系统管理员可以选择性地在 Oracle ILOM 中最多配置五个 "Custom Groups" 属性来提供用户授权。Oracle ILOM 在验证属于定制组成员的用户时使用 "Custom Group" 属性确定要分配的相应用户角色。在 Oracle ILOM 中启用 "Custom Groups" 时，必须配置 "Roles" 属性和 "Custom Groups" 属性。有关 "Roles" 的配置属性的详细信息，请参见表 25 中的 "Roles" 属性。注－Oracle ILOM 根据在每个配置的组表中找到的匹配组（Operator、Administrator 或 Custom）来授予组成员一个或多个授权级别。 Custom Groups 对应的 CLI 语法： `set /SP\|CMM/clients/ldapssl/customgroups/n name=string roles=administrator\|operator\|a\|u\|c\|r\|o\|s` 语法示例： `set /SP/clients/ldapssl/customgroups/1 name=CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com roles=au` `Set 'name' to 'CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC= com'' roles' to 'au'` 相关信息： Assignable Oracle ILOM User Roles
Save	Web 界面－要应用对 "Admin Groups"、"Operator Groups" 或 "Custom Groups" 对话框中的属性所做的更改，必须单击 "Save"。

表 28 配置 LDAP/SSL 用户域

用户界面可配置目标： CLI：`/SP\|CMM/clients/ldapssl`/userdomains/`n` Web："ILOM Administration" > "User Management" > "LDAP/SSL" > "User Domains" 用户角色：User Management (`u`)（进行任何属性修改时均必需）先决条件：在 Oracle ILOM 中设置用户域之前，用户域必须存在于 LDAP/SSL 服务器上且已分配有成员。
属性	说明
User Domains (/`1`\|`2`\|`3`\|`4`\|`5`)	系统管理员最多可以配置五个用户域。定义一个或多个用户域后，Oracle ILOM 将依次使用这些属性，直到能够验证 LDAP/SSL 用户。使用以下可能值填充 Oracle ILOM 中每个 User Domain 的配置属性。 UID 格式：uid=<USERNAME>,ou=people,dc=company,dc=com DN 格式：CN=<USERNAME>,CN=Users,DC=domain,DC=company,DC=com 注 - 您可以将 <USERNAME> 用作字面值。将 <USERNAME> 用作字面值时，Oracle ILOM 会在用户验证期间将 <USERNAME> 替换为当前输入的登录名。在配置用户域后，您可以根据需要通过附加 `<BASE:string>` 属性来指定特定搜索基。有关语法详细信息，请参见下面的“示例 3”。 User Domains 对应的 CLI 语法： `set /SP\|CMM/clients/ldapssl/userdomains/n domain=string` 示例 1：`domain=CN=<USERNAME>` `set /SP/clients/ldapssl/userdomains/1 domain=CN=<USERNAME>,OU=Groups,DC=sales,DC-oracle,DC=com` Set 'domain' to 'CN=<USERNAME>,OU=Groups,DC=sales,DC=oracle,DC=com' 示例 2：domain=CN=spSuperAdmin `set /SP/clients/ldapssl/userdomains/1 domain=CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'domain' to 'CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle, DC=com'` 示例 3：使用 `<BASE:string>` 的 Searchbase 语法 `set /SP/clients/ldapssl/userdomains/1 domain=uid=<USERNAME>,ou=people,dc=oracle,dc=com<BASE:ou=doc,dc=oracle,dc=com>`
Save	Web 界面－要应用在 "LDAP/SSL User Domain" 对话框中对属性所做的更改，必须单击 "Save"。

表 29 选择性地配置 LDAP/SSL 备用服务器

用户界面可配置目标： CLI：`/SP\|CMM/clients/ldapssl/alternateservers/n` Web："ILOM Administration" > "User Management" > "LDAP/SSL" > "Alternate Servers" 用户角色：User Management (`u`)（进行任何属性修改时均必需）
属性	说明
Alternate Servers (`/1\|2\|3\|4\|5`)	通过 Oracle ILOM，您可以最多配置五个 LDAP/SSL 备用服务器。备用服务器提供验证冗余，并在需要隔离域时提供要使用的其他 LDAP/SSL 服务器的选项。每个 LDAP/SSL 备用服务器使用的用户授权规则和要求与主 LDAP/SSL 服务器使用的用户授权规则和要求相同。例如，Oracle ILOM 将使用 Roles 属性中配置的用户角色来验证用户。但是，如果未配置 Roles 属性，Oracle ILOM 将查询验证服务器是否具有合适的授权角色。每个备用服务器均具有其自身的网络地址、端口、证书状态属性和用于上载和删除证书的命令。如果未提供 LDAP/SSL 证书但又需要此证书，Oracle ILOM 将使用顶级主 LDAP/SSL 服务器证书。用于备用服务器地址和端口的 CLI 语法： `set /SP\|CMM/clients/ldapssl/alternateservers/n address=sting port=string` 用于备用服务器证书的 CLI 语法： `show /SP\|CMM/clients/ldapssl/alternateservers/n/cert` `load_uri=file_transfer_method://host_address/file_path/filename` `set /SP\|CMM/clients/ldapssl/alternateservers/n/cert clear_action=true`
Save	Web 界面－要应用在 "LDAP/SSL Alternate Servers" 对话框中对属性所做的更改，必须单击 "Save"。

表 30 LDAP/SSL 验证的故障排除准则

对 Oracle ILOM 中的 LDAP/SSL 验证和授权尝试进行故障排除时，请参阅以下准则。

要测试 LDAP/SSL 验证并将 Oracle ILOM 事件日志设置为跟踪 LDAP/SSL 事件，请执行以下步骤：

1：将 LDAP/SSL Log Details 属性设置为 trace。

2：尝试验证 Oracle ILOM 以生成事件。

3：查看 Oracle ILOM 事件日志文件。
确保 LDAP/SSL 服务器中配置的用户组和用户域与 Oracle ILOM 中配置的用户组和用户域匹配。
Oracle ILOM LDAP/SSL 客户机不会管理时钟设置。可手动或通过 NTP 服务器配置 Oracle ILOM 中的时钟设置。

注：使用 NTP 服务器配置 Oracle ILOM 中的时钟设置时，Oracle ILOM 在启动 NTP 守护进程之前将使用 NTP 服务器执行 ntpdate。

相关信息：