C H A P I T R E
5
Gestion des comptes utilisateur
ILOM peut prendre en charge 10 comptes utilisateur. L’un de ces comptes correspond au compte administrateur préconfiguré, lequel fournit un accès en lecture et en écriture à toutes les fonctions, fonctionnalités et commandes d’ILOM.
L’interface Web ou l’interface de ligne de commande (la CLI) d’ILOM vous permettent d’ajouter, de modifier ou de supprimer des comptes utilisateur.
Ce chapitre aborde les sujets suivants :
■
« Directives relatives à la gestion des comptes utilisateur », page 69
■
« Privilèges et rôles des comptes utilisateur », page 69
■
« Comptes administrateur ILOM préconfigurés », page 70
■
« Changement du mot de passe de compte root ILOM à l’aide de l’interface
■
■
■
■
« Changement du mot de passe de compte root ILOM à l’aide de la CLI », page 73
« Connexion unique (SSO) », page 73
■
« Activation ou désactivation de la fonction SSO à l’aide de la CLI », page 73
« Activation ou désactivation de la fonction SSO à l’aide de l’interface Web », page 74
« Gestion des comptes utilisateur à l’aide de la CLI », page 75
■
« Ajout d’un compte utilisateur à l’aide de la CLI », page 75
■
« Modification d’un compte utilisateur à l’aide de la CLI », page 75
■
■
■
■
■
■
« Suppressiond’un compte utilisateur à l’aide de la CLI », page 75
« Affichage de la liste des comptes utilisateur à l’aide de la CLI », page 76
« Affichage d’un compte utilisateur individuel à l’aide de la CLI », page 76
« Configuration d’un compte utilisateur à l’aide de la CLI », page 77
« Affichage de la liste des sessions utilisateur à l’aide de la CLI », page 78
« Affichage d’une session utilisateur individuelle à l’aide de la CLI », page 78
67
■
■
■
■
« Gestion des comptes utilisateur à l’aide de l’interface Web », page 79
■
■
« Ajout de comptes utilisateur et définition de privilèges à l’aide de l’interface
« Modification d’un compte utilisateur à l’aide de l’interface Web », page 82
■
■
« Suppression d’un compte utilisateur à l’aide de l’interface Web », page 86
« Affichage des sessions utilisateur à l’aide de l’interface Web », page 87
■
« Configuration d’Active Directory à l’aide de l’interface Web », page 89
■
■
■
« Identification des niveaux d’autorisation des utilisateurs », page 96
« Sécurisation de la connexion à Active Directory », page 97
■
« Configuration du serveur LDAP », page 104
■
■
« Configuration d’ILOM pour LDAP à l’aide de la CLI », page 105
« Configuration d’ILOM pour LDAP à l’aide de l’interface Web », page 106
« Authentification RADIUS », page 107
■
« Clients et serveurs RADIUS », page 107
■
■
« Paramètres RADIUS », page 108
« Configuration de RADIUS à l’aide de la CLI », page 108
■
■
« Configuration de RADIUS à l’aide de l’interface Web », page 109
« Commandes RADIUS », page 110
Remarque – Les exemples de syntaxe présentés dans ce chapitre utilisent une cible commençant par /SP/, laquelle peut être remplacée par une cible débutant par
/CMM/
selon la plate-forme serveur installée. Les cibles secondaires sont courantes sur toutes les plates-formes serveur.
68
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
Directives relatives à la gestion des comptes utilisateur
Appliquez les directives générales suivantes dans la gestion des comptes utilisateur :
■
■
ILOM peut prendre en charge 10 comptes utilisateur, dont l’un correspond au compte administrateur préconfiguré. Il est impossible de supprimer ce compte.
Si les 10 comptes utilisateur sont configurés, vous devez supprimer un compte existant avant de pouvoir en ajouter un nouveau.
Seuls les comptes dotés des privilèges d’administration sont habilités à ajouter, modifier ou supprimer des comptes utilisateur. Toutefois, un utilisateur disposant des privilèges d’opérateur a la possibilité de modifier son propre mot de passe.
■
■
Le nom d’utilisateur d’un compte doit comprendre au moins quatre caractères et
16 au maximum. Il respecte la casse des caractères. En outre, il doit commencer par une lettre. Vous pouvez utiliser des lettres, des chiffres, des tirets et des traits de soulignement. Enfin, n’insérez pas d’espace dans les noms d’utilisateur.
Vous pouvez soit configurer des comptes locaux ou définir ILOM pour qu’il authentifie les comptes par rapport à une base de données d’utilisateurs distante telle qu’Active Directory, LDAP ou RADIUS. L’authentification à distance vous permet de recourir à une base de données d’utilisateurs centralisée au lieu de configurer des comptes locaux sur chaque instance d’ILOM. En outre, l’authentification à distance vous donne la possibilité de changer une fois le mot de passe d’un utilisateur sur le serveur.
Privilèges et rôles des comptes utilisateur
Les comptes utilisateur disposent de deux rôles définis. Chaque rôle octroie certains privilèges à l’utilisateur d’ILOM. Les rôles et privilèges d’utilisateur sont les suivants :
■
Administrateur
: active l’accès à toutes les fonctionnalités, fonctions et commandes d’ILOM.
■
Opérateur
: active un accès limité à toutes les fonctionnalités, fonctions et commandes d’ILOM. En général, les opérateurs ne peuvent pas modifier les paramètres de configuration.
Chapitre 5 Gestion des comptes utilisateur
69
Comptes administrateur ILOM préconfigurés
Les comptes administrateur ILOM préconfigurés, également appelés comptes utilisateur fixes, sont les suivants :
Nom d’utilisateur
: root
Mot de passe
: changeme
Il est impossible de supprimer ou de modifier le nom d’utilisateur (root) ; seule la réinitialisation de son mot de passe (changeme) est autorisée. Ce compte fournit des privilèges administratifs intégrés (accès en lecture et en écriture) à toutes les fonctions, fonctionnalités et commandes d’ILOM.
Lors de votre premier accès à ILOM, au niveau du processeur de service ou du
CMM, vous devez vous connecter en tant qu’utilisateur root avec le mot de passe par défaut changeme. Une fois que vous êtes connecté à ILOM et que vous avez
établi une connexion réseau avec le système, il est conseillé de réinitialiser le mot de passe (changeme) associé au compte root ILOM afin de protéger le système des accès non autorisés. Si vous possédez un système serveur blade, réinitialisez ce mot de passe sur chaque CMM et sur chaque serveur blade installés dans le châssis du système. Pour plus d’informations sur la réinitialisation du mot de passe de compte root
.
▼
Changement du mot de passe de compte root
ILOM à l’aide de l’interface Web
Pour changer le mot de passe du compte root, effectuez les étapes ci-dessous :
1. Ouvrez un navigateur Web et tapez l’adresse IP du processeur de service du serveur ou du CMM.
La page de connexion de l’interface Web d’ILOM s’affiche.
2. Sur la page de connexion d’ILOM, procédez comme suit :
a. Tapez le nom d’utilisateur (root) et le mot de passe (changeme) par défaut.
b. Cliquez sur Log In (Connexion).
L’interface Web d’ILOM s’affiche.
70
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
3. Dans l’interface Web d’ILOM, procédez comme suit :
■
Pour changer le mot de passe administrateur préconfiguré, cliquez sur le périphérique figurant dans le volet de navigation gauche, puis passez à l’étape 4.
■
Pour changer le mot de passe administrateur préconfiguré au niveau du processeur de service du serveur blade, cliquez sur le serveur blade approprié dans le volet de navigation gauche, puis passez à l’étape 4.
4. Dans l’interface Web d’ILOM, choisissez User Management (Gestion des utilisateurs) --> User Accounts (Comptes utilisateur).
La page User Account Settings (Paramètres des comptes utilisateur) s’affiche.
FIGURE 5-1
Page User Account Settings (Paramètres des comptes utilisateur)
5. Sur la page User Account Settings (Paramètres des comptes utilisateur),
sélectionnez le bouton radio situé en regard de root, puis cliquez sur Edit
(Éditer).
Un message de sécurité s’affiche.
Chapitre 5 Gestion des comptes utilisateur
71
6. Cliquez sur OK pour continuer. La page User Account Password (Mot de passe du compte utilisateur) s’affiche.
FIGURE 5-2
Boîte de dialogue User Account Password (Mot de passe du compte utilisateur)
7. Dans la boîte de dialogue User Account Password (Mot de passe du compte utilisateur), procédez comme suit : a. Sélectionnez la case en regard de l’option Change (Changer).
b. Dans la zone de texte New Password (Nouveau mot de passe), tapez le nouveau mot de passe.
c. Dans la zone de texte Confirm Password (Confirmer le mot de passe), ressaisissez le nouveau mot de passe.
d. Cliquez sur Save (Enregistrer).
Le nouveau mot de passe identifié aux étapes 6b et 6c est activé pour le compte administrateur root.
8. Le cas échéant, recommencez les étapes 2 à 6d pour changer le mot de passe de chaque périphérique installé.
72
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
▼
Changement du mot de passe de compte root
ILOM à l’aide de la CLI
●
Pour changer le mot de passe du compte root d’ILOM, tapez la commande suivante :
-> set /SP/users/root password=
mot_de_passe
Exemple :
-> set /SP/users/root password=
mot_de_passe
Changing password for user /SP/users/root...
Enter new password again: ********
New password was successfully set for user /SP/users/root
Connexion unique (SSO)
La fonction de connexion unique (SSO, Single Sign On) est un service d’authentification pratique permettant de réduire le nombre de saisies d’un mot de passe pour accéder à ILOM. Cette fonction est activée par défaut. À l’instar de tout service d’authentification, les informations d’authentification sont transmises par le biais du réseau. Si cette méthode n’est pas souhaitable, envisagez de désactiver le service d’authentification SSO.
▼
Activation ou désactivation de la fonction SSO
à l’aide de la CLI
La fonction de connexion unique est activée par défaut. Seuls les administrateurs sont habilités à l’activer ou à la désactiver.
●
Pour activer ou désactiver la fonction de connexion unique, tapez la commande suivante :
—> set /SP/services/sso state=
disabled|enabled
Chapitre 5 Gestion des comptes utilisateur
73
▼
Activation ou désactivation de la fonction SSO
à l’aide de l’interface Web
Pour activer ou désactiver la fonction de connexion unique, suivez les étapes ci-dessous :
1. Connectez-vous à l’interface Web d’ILOM en tant qu’administrateur.
2. Choisissez User Management (Gestion des utilisateurs) --> User Accounts
(Comptes utilisateur).
La page User Accounts Settings (Paramètres des comptes utilisateur) s’affiche.
3. Cochez la case située en regard de l’option Enable Single Sign On (Activer la connexion unique) afin d’activer la fonction ou désactivez-la dans le cas contraire.
FIGURE 5-3
Page User Account Settings (Paramètres des comptes utilisateur) avec la fonction SSO activée
74
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
Gestion des comptes utilisateur à l’aide de la CLI
Cette section décrit la procédure de gestion des comptes utilisateur à l’aide de l’interface de ligne de commande d’ILOM (la CLI).
▼
Ajout d’un compte utilisateur à l’aide de la CLI
●
Pour ajouter un compte utilisateur local, tapez la commande suivante :
—> create /SP/users/
nom_utilisateur password=mot_de_passe role=
administrator|operator
Exemple :
-> create /SP/users/davemc
Creating user...
Enter new password: ********
Enter new password again: ********
Created /SP/users/davemc
▼
Modification d’un compte utilisateur à l’aide de la CLI
●
Pour modifier un compte utilisateur local, tapez la commande suivante :
—> set /SP/users/
nom_utilisateur password=mot_de_passe role=
administrator|operator
▼
Suppressiond’un compte utilisateur à l’aide de la CLI
1. Pour supprimer un compte utilisateur local, tapez la commande suivante :
—> delete /SP/users/
nom_utilisateur
Exemple :
->delete /SP/users/davemc
Are you sure you want to delete /SP/users/davemc (y/n)?
2. Tapez y (oui) pour confirmer la suppression ou n (non) pour annuler l’opération.
Chapitre 5 Gestion des comptes utilisateur
75
▼
Affichage de la liste des comptes utilisateur à l’aide de la CLI
●
Pour afficher des informations sur tous les comptes utilisateur locaux, tapez la commande suivante :
—> show -display targets /SP/users
Exemple :
-> show -display targets /SP/users
/SP/users
Targets:
root
davemc
▼
Affichage d’un compte utilisateur individuel à l’aide de la CLI
●
Pour afficher des informations sur un compte utilisateur spécifique, tapez la commande suivante :
—> show /SP/users/
nom_utilisateur
Exemple :
-> show /SP/users/davemc
/SP/users/davemc
Targets:
Properties:
role = Operator
password = *****
Commands:
cd
set
show
76
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
▼
Configuration d’un compte utilisateur à l’aide de la CLI
La commande set vous permet de modifier les cibles, propriétés, mots de passe et valeurs des comptes utilisateur configurés.
●
Pour configurer un compte utilisateur local, tapez la commande suivante :
—> set <
cible> [<propriété>=valeur]
Cibles, propriétés et valeurs
Les cibles, propriétés et valeurs suivantes sont valides pour les comptes utilisateur locaux.
TABLEAU 5-1
Cibles, propriétés et valeurs pour les comptes utilisateur locaux
Cible Propriété
/SP/users/nom_utilisateur role password
Valeur
administrator| operator
<chaîne>
Mot de passe Par défaut
operator
Par exemple, pour changer le rôle user1 d’administrateur en opérateur, tapez :
—> set /SP/users/user1 role=operator
Pour modifier le mot de passe associé à user1, tapez :
—> set /SP/users/user1
mot_de_passe
Changing password for user /SP/users/user1/password...
Enter new password:********
Enter new password again:********
New password was successfully set for user /SP/users/user1
Remarque – Vous devez disposer des privilèges d’administration pour modifier les propriétés des utilisateurs.
Chapitre 5 Gestion des comptes utilisateur
77
▼
Affichage de la liste des sessions utilisateur
à l’aide de la CLI
●
Pour afficher des informations sur toutes les sessions utilisateur locales, tapez la commande suivante :
—> show /SP/sessions
Exemple :
-> show /SP/sessions
/SP/sessions
Targets:
108
Properties:
Commands:
cd
show
▼
Affichage d’une session utilisateur individuelle
à l’aide de la CLI
●
Pour afficher des informations sur une session utilisateur individuelle, tapez la commande suivante :
—> show /SP/sessions/108
Exemple :
-> show /SP/sessions/108
/SP/sessions/108
Targets:
Properties:
username = root
starttime = Tue Jun 5 10:04:05 2007
type = shell
Commands:
cd
show
78
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
Gestion des comptes utilisateur à l’aide de l’interface Web
Cette section décrit les procédures d’ajout, de modification et de suppression de comptes utilisateur à l’aide de l’interface Web.
▼
Ajout de comptes utilisateur et définition de privilèges à l’aide de l’interface Web
1. Connectez-vous à l’interface Web d’ILOM en tant qu’utilisateur doté des privilèges d’administrateur.
Seuls les comptes pourvus des privilèges d’administrateur sont autorisés à ajouter, modifier ou supprimer des comptes utilisateur. Toutefois, les opérateurs ont la possibilité de modifier leur propre mot de passe.
Si un nouvel utilisateur se voit accorder des privilèges d’administration, ces privilèges s’appliquent automatiquement à l’interface de ligne de commande
(CLI) et à l’interface IPMI (Intelligent Platform Management Interface) du logiciel
ILOM.
2. Choisissez User Management (Gestion des utilisateurs) --> User Accounts
(Comptes utilisateur).
La page User Account Settings (Paramètres des comptes utilisateur) s’affiche.
3. Dans le tableau Users (Utilisateurs), cliquez sur Add (Ajouter).
La boîte de dialogue Add User (Ajout d’un utilisateur) s’affiche.
Chapitre 5 Gestion des comptes utilisateur
79
FIGURE 5-4
Boîte de dialogue Add User (Ajout d’un utilisateur)
4. Complétez les informations suivantes : a. Saisissez un nom d’utilisateur dans le champ User Name (Nom d’utilisateur).
b. Tapez un mot de passe dans le champ Password (Mot de passe).
Le mot de passe doit comporter 8 caractères au minimum et 16 caractères au maximum. Il respecte la casse des caractères. Utilisez des lettres, des chiffres et des caractères spéciaux pour renforcer la sécurité. Tous les caractères sont autorisés, hormis les deux-points (:). N’incluez pas d’espaces dans les mots de passe.
c. Ressaisissez le mot de passe dans le champ de confirmation.
80
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
d. Dans la liste déroulante Role (Rôle), sélectionnez Administrator
(Administrateur) ou Operator (Opérateur).
FIGURE 5-5
Boîte de dialogue d’ajout d’un utilisateur renseignée
Chapitre 5 Gestion des comptes utilisateur
81
e. Une fois les informations relatives au nouvel utilisateur fournies, cliquez sur Save (Enregistrer).
La page User Accounts Settings (Paramètres des comptes utilisateur) s’affiche à nouveau. Le nouveau compte utilisateur et les informations associées sont indiqués sur la page User Account Settings (Paramètres des comptes utilisateur).
FIGURE 5-6
Page User Account Settings (Paramètres des comptes utilisateur) présentant un nouvel utilisateur
▼
Modification d’un compte utilisateur à l’aide de l’interface Web
Cette section décrit la procédure de modification d’un compte utilisateur ILOM.
La modification d’un compte utilisateur peut entraîner des modifications au niveau du mot de passe de l’utilisateur ainsi que des privilèges réseau et série associés.
Remarque – Seuls les comptes pourvus des privilèges d’administrateur sont autorisés à ajouter, modifier ou supprimer des comptes utilisateur. Toutefois, les opérateurs ont la possibilité de modifier leur propre mot de passe.
Si un nouvel utilisateur se voit accorder des privilèges d’administrateur, ceux-ci s’appliquent automatiquement à l’interface de ligne de commande (la CLI) et à l’interface IPMI (Intelligent Platform Management Interface) du logiciel ILOM.
1. Connectez-vous à ILOM en tant qu’administrateur pour ouvrir l’interface Web du logiciel.
82
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
2. Choisissez User Management (Gestion des utilisateurs) --> User Accounts
(Comptes utilisateur).
La page User Account Settings (Paramètres des comptes utilisateur) s’affiche.
FIGURE 5-7
Page User Account Settings (Paramètres des comptes utilisateur)
3. Dans le tableau Users (Utilisateurs), sélectionnez un bouton radio situé en regard du compte utilisateur à modifier.
Chapitre 5 Gestion des comptes utilisateur
83
4. Cliquez sur Edit (Modifier).
La boîte de dialogue Edit User (Modification d’un utilisateur) s’affiche.
FIGURE 5-8
Boîte de dialogue Edit User (Modification d’un utilisateur)
5. Le cas échéant, modifiez le mot de passe.
a. Cochez la case Change (Changer) si vous souhaitez modifier le mot de passe de l’utilisateur. Sinon, désactivez la case à cocher.
b. Tapez un nouveau mot de passe dans le champ New Password (Nouveau mot de passe).
Le mot de passe doit comprendre entre 8 et 16 caractères. Il respecte la casse des caractères. Utilisez des lettres, des chiffres et des caractères spéciaux pour renforcer la sécurité. Tous les caractères sont autorisés, hormis les deux-points
(:). N’incluez pas d’espaces dans les mots de passe.
c. Ressaisissez le mot de passe dans le champ de confirmation.
84
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
6. Dans la liste déroulante Role (Rôle), sélectionnez Administrator
(Administrateur) ou Operator (Opérateur).
7. Après avoir modifié les informations du compte, cliquez sur Save (Enregistrer) pour que vos modifications soient prises en compte ou sur Close (Fermer) pour rétablir les paramètres précédents.
La page User Accounts Settings (Paramètres des comptes utilisateur) s’affiche à nouveau.
Chapitre 5 Gestion des comptes utilisateur
85
▼
Suppression d’un compte utilisateur à l’aide de l’interface Web
1. Connectez-vous à ILOM en tant qu’administrateur pour ouvrir l’interface Web du logiciel.
2. Choisissez User Management (Gestion des utilisateurs) --> User Accounts
(Comptes utilisateur).
La page User Account Settings (Paramètres des comptes utilisateur) s’affiche.
3. Sélectionnez le bouton radio situé en regard du compte utilisateur à supprimer.
Remarque – Il est impossible de modifier le compte root.
FIGURE 5-9
Page User Account Settings (Paramètres des comptes utilisateur)
4. Dans le tableau Users (Utilisateurs), cliquez sur Delete (Supprimer).
La boîte de dialogue de confirmation s’ouvre.
86
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
FIGURE 5-10
Boîte de dialogue Delete User Configuration (Suppression de la configuration utilisateur)
5. Cliquez sur OK pour supprimer le compte ou sur Cancel (Annuler) pour arrêter l’opération.
La page User Account Settings (Paramètres des comptes utilisateur) s’ouvre sans faire mention du compte utilisateur que vous venez de supprimer.
▼
Affichage des sessions utilisateur à l’aide de l’interface Web
1. Connectez-vous à l’interface Web d’ILOM.
2. Choisissez User Management (Gestion des utilisateurs) --> Active Sessions
(Sessions actives).
La page Active Sessions (Sessions actives) s’affiche. Vous pouvez trouver le nom de l’utilisateur, les date et heure d’ouverture de session par l’utilisateur ainsi que les types de session ouvertes avec ILOM.
FIGURE 5-11
Page Active Sessions (Sessions actives)
Chapitre 5 Gestion des comptes utilisateur
87
Active Directory
ILOM prend en charge Active Directory, le service d’annuaire distribué livré avec les systèmes d’exploitation Microsoft Windows Server 2003 et Microsoft Windows 2000
Server.
À propos d’Active Directory
Un service d’annuaire correspond à la fois à un système de stockage de base de données (un magasin d’annuaire) et à un ensemble de services fournissant les moyens d’ajouter, de modifier, de supprimer et de localiser de manière sécurisée les données stockées dans le magasin d’annuaire. Au sein d’un environnement distribué, un service d’annuaire offre un emplacement centralisé destiné au stockage des informations sur les services et les périphériques connectés au réseau ainsi que sur les personnes qui les utilisent. Un service d’annuaire implémente également les services rendant ces informations accessibles aux utilisateurs, aux ordinateurs et aux applications.
Active Directory s’utilise généralement dans l’un des trois cas suivants :
■
Annuaire interne
: les annuaires internes sont utilisés au sein du réseau de l’entreprise afin de publier des informations sur les utilisateurs et les ressources internes.
■
■
Annuaire externe
: les annuaires externes se trouvent habituellement sur des serveurs réseau du périmètre ou de la zone démilitarisée (DMZ) située à la frontière entre le réseau local (LAN) de l’entreprise et le réseau Internet public.
Annuaire d’application
: un annuaire d’application stocke des données d’annuaire « privées » uniquement pertinentes pour l’application dans un annuaire local, éventuellement situé sur le même serveur que l’application, sans nécessiter de configuration supplémentaire dans Active Directory.
Active Directory peut servir à authentifier des informations d’identification utilisateur. Il est possible de configurer ou d’apprendre les niveaux d’accès à partir du serveur d’après l’appartenance à un groupe. Il est possible d’utiliser plus d’un
« domaine » utilisateur ; les domaines configurés sont testés dans l’ordre selon lequel ils ont été configurés.
88
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
Configuration d’Active Directory
Pour configurer Active Directory, vous devez définir des propriétés globales et fournir des informations dans trois tableaux représentant les éléments suivants :
■
■
■ le domaine de l’utilisateur ; les groupes d’administrateur ; les groupes d’opérateur.
▼
Configuration d’Active Directory à l’aide de l’interface Web
1. Connectez-vous à ILOM en tant qu’utilisateur doté des privilèges d’administrateur pour ouvrir l’interface Web.
2. Choisissez User Management (Gestion des utilisateurs) --> Active Directory.
La page Active Directory s’affiche. Les paramètres de configuration et les tableaux d’Active Directory se trouvent dans la partie supérieure de cette page.
FIGURE 5-12
Paramètres de configuration d’Active Directory
Chapitre 5 Gestion des comptes utilisateur
89
Propriétés de la page de configuration d’Active Directory
Le
décrit les paramètres que vous devez configurer pour utiliser Active
Directory.
TABLEAU 5-2
Paramètres de configuration d’Active Directory (variables globales)
Propriété (Web) Propriété (CLI) Par défaut Description
State (État)
Role (Rôle) adminState defaultRole
Enabled
None
Enabled | Disabled
None | Administrator | Operator
Rôle d’accès accordé à tous les utilisateurs authentifiés pour le cas de configuration simple. Par défaut, ce rôle n’est pas configuré de manière à activer l’approche la plus intégrée. Le niveau d’accès est disponible auprès du serveur
Active Directory.
Adresse IP du serveur Active Directory.
IP Address
(Adresse IP)
Port (Port) ipaddress
Timeout (Délai d’attente)
Port timeout
Strict Certificate
Mode (Mode de certificat strict) strictcertmod e
Certificate File
Status (Statut du fichier de certificat) certfilestatu s
0 (autoselect) Port utilisé pour communiquer avec le serveur ; ou alors saisissez autoselect.
Indique l’utilisation du port standard pour les transactions SSL-LDAP.
Disponible dans le cas peu probable où un port TCP non standard est utilisé.
5
Enabled
Valeur du délai d’attente en secondes.
Laps de temps à attendre avant la fin des transactions LDAP individuelles.
Cette valeur ne représente pas la durée totale de toutes les transactions, car le nombre de transactions varie en fonction de la configuration.
Cette propriété permet de régler le temps d’attente lorsqu’un serveur ne répond pas ou n’est pas joignable.
Enabled | Disabled
Si cette propriété est activée, vous devez télécharger le certificat du serveur pour appliquer une validation de certificat plus restrictive.
certificate present | not present; certificate.backup present | not present
90
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
TABLEAU 5-2
Paramètres de configuration d’Active Directory (variables globales) (suite)
Propriété (Web) Propriété (CLI)
Pas de propriété
Web équivalente getcertfile
TFTP Server
(Serveur TFTP)
Path and File
Name (Chemin et nom du fichier)
Restore
Certificate
(Restaurer le certificat)
Pas de propriété
CLI équivalente
Pas de propriété
CLI équivalente none none
Pas de propriété
CLI équivalente none
Remove
Certificate
(Supprimer le certificat)
Par défaut
none
Pas de propriété
CLI équivalente none
Description
Méthode utilisée pour télécharger un fichier de certificat si nécessaire. Elle vous permet également de supprimer et de restaurer un certificat.
Serveur TFTP utilisé pour récupérer le fichier de certificat.
Chemin d’accès complet et nom du fichier du certificat stocké sur le serveur.
Utilisé lorsqu’un fichier de certificat a
été téléchargé sur un fichier existant.
Le fichier existant est stocké sous forme de copie de sauvegarde. Le processus de restauration utilise la copie de sauvegarde comme copie active.
Impossible de supprimer le certificat si le mode strict est activé.
Tableaux des cibles d’Active Directory
Les trois tableaux figurant dans la moitié inférieure de l’interface d’Active Directory
(voir
) permettent de configurer des domaines et des groupes en vue
d’authentifier et d’autoriser les utilisateurs. Les tableaux des cibles contiennent des informations sur les éléments suivants :
■
■ les groupes d’administrateur ; les groupes d’opérateur ;
■ les domaines des utilisateurs.
Les entrées des tableaux Admin Groups (Groupes admin) et Operator Groups
(Groupes d’opérateurs) contiennent les noms des groupes MS Active Directory au format nom distinctif. Si un utilisateur est membre d’un groupe particulier, il se voit octroyer un accès en tant qu’opérateur ou administrateur, suivant les correspondances des groupes d’utilisateurs avec les tableaux.
Chapitre 5 Gestion des comptes utilisateur
91
Les domaines d’utilisateurs correspondent aux domaines d’authentification auxquels appartient l’utilisateur. En général, lorsque l’utilisateur se connecte, le nom utilisé suit le format domaine/nom spécifique fourni par ces entrées. L’authentification utilisateur est tentée en fonction des données de domaine utilisateur saisies et de l’identifiant de connexion spécifié par l’utilisateur.
Pour ces trois tableaux, des données par défaut sont fournies afin d’illustrer le format attendu. Les messages d’erreur expliquent par ailleurs ce que l’utilisateur doit spécifier.
FIGURE 5-13
Tableaux d’Active Directory
92
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
Propriétés des tableaux des cibles d’Active Directory
Le
et le
offrent une vue plus détaillée des tableaux Admin
Groups (Groupes admin) et Operator Groups (Groupes d’opérateurs). Les noms distinctifs complets figurent sous la colonne Name (Nom)
TABLEAU 5-3
Tableau Admin Groups (Groupes admin)
ID
1
2
Nom
CN=SpSuperAdmin,OU=Groups,DC=davidc,DC=exemple,DC=sun,DC=com
TABLEAU 5-4
Tableau Operator Groups (Groupes d’opérateurs)
ID
3
4
5
1
2
Nom
CN=SpSuperOper,OU=Groups,DC=davidc,DC=exemple,DC=sun,DC=com
Le
vous donne une vue plus détaillée du tableau User Domains
(Domaines utilisateur) présenté à la
. Le domaine indiqué sous l’entrée 1 illustre le format principal utilisé lors de la première tentative d’authentification.
L’entrée 2 affiche le nom distinctif complet (dn), lequel est utilisé si la tentative d’authentification à l’aide du format principal échoue.
Remarque – Dans l’exemple utilisé dans le
correspond à la chaîne de substitution remplacée par le véritable identifiant de connexion de l’utilisateur.
TABLEAU 5-5
Tableau User Domains (Domaines utilisateur)
Nom
3
4
1
2
5
Domaine
<NOM_UTILISATEUR>@davidc.exemple.sun.com
CN=<NOM_UTILISATEUR>,CN=Users,DC=davidc,DC=exemple,DC=sun,DC=com
Chapitre 5 Gestion des comptes utilisateur
93
▼
Modification d’informations dans le tableau d’Active Directory à l’aide de l’interface Web
1. Connectez-vous à ILOM en tant qu’utilisateur doté des privilèges d’administrateur pour ouvrir l’interface Web.
2. Choisissez User Management (Gestion des utilisateurs) --> Active Directory.
La page Active Directory s’affiche.
3. En bas de la page Active Directory, sélectionnez le bouton radio de la ligne d’informations que vous souhaitez modifier, puis cliquez sur Edit (Modifier).
La page appropriée s’affiche : Edit Active Directory Administrator Groups
(Modification des groupes d’administrateurs d’Active Directory), Edit Active
Directory Operator Groups (Modification des groupes d’opérateurs d’Active
Directory) ou Edit Active Directory User Domains (Modification des domaines utilisateur d’Active Directory). Chaque page de modification contient un champ
Name (Nom) permettant d’ajouter ou de modifier des informations.
FIGURE 5-14
Page de modification des groupes d’administrateurs d’Active Directory
4. Sur la page de modification, ajoutez ou rectifiez des informations.
5. Cliquez sur Save (Enregistrer) pour que vos modifications soient prises en compte.
La page Active Directory s’affiche.
94
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
6. Dans le tableau User Domains (Domaines utilisateur), renseignez le champ de texte Name (Nom). Servez-vous du marqueur de substitution
<NOM_UTILISATEUR>
pour réserver une place au nom de l’utilisateur dans les requêtes LDAP.
Exemple : domain = <NOM_UTILISATEUR>@davemc.exemple.sun.com
domain = CN=<NOM_UTILISATEUR>,CN=Users,DC=davemc,DC= exemple,DC=sun,
DC=com
Dans ce cas, l’utilisateur se voir accorder un accès à ILOM avec l’un ou l’autre nom fourni comme illustré dans les exemples ci-dessous.
EXEMPLE DE CODE 5-1
Connexion à Active Directory sous le format principal
/home/dc150698> ssh -l davemc 10.x.xxx.xxx
Password:*******
Sun(TM) Integrated Lights Out Manager
Version 1.1
Copyright 2005 Sun Microsystems, Inc. All rights reserved.
->
EXEMPLE DE CODE 5-2
Connexion à Active Directory sous le nom distinctif
/home/dc150698> ssh -l “David A. Engineer” 10.x.xxx.xxx
Password:*******
Sun(TM) Integrated Lights Out Manager
Version 1.1
Copyright 2005 Sun Microsystems, Inc. All rights reserved.
->
Chapitre 5 Gestion des comptes utilisateur
95
Identification des niveaux d’autorisation des utilisateurs
Une fois authentifié, le niveau d’accès de l’utilisateur peut être déterminé des manières suivantes. Dans le cas le plus simple, l’accès utilisateur de type opérateur ou administrateur est identifié directement par le biais de la configuration de la version d’Active Directory installée sur le processeur de service. Une approche plus intégrée est également disponible ; elle consiste à exécuter une série de requêtes
LDAP visant à connaître les groupes Active Directory auxquels l’utilisateur est associé.
■
■
La première approche est la plus simple à configurer. L’utilisateur est toujours authentifié à l’aide du rôle defaultRole, mais les requêtes concernant l’appartenance à un groupe ne sont plus requises. Il est plus simple de configurer les utilisateurs dans la base de données d’Active Directory, car cette méthode requiert uniquement un mot de passe sans tenir compte de l’appartenance à un groupe. Sur le processeur de service, le rôle defaultRole est défini sur administrator
(administrateur) ou sur operator (opérateur). Tous les utilisateurs authentifiés via Active Directory se voient assigner les privilèges associés au rôle Administrateur ou Opérateur sur la seule base de cette configuration.
La seconde approche, plus complexe, requiert davantage de travail tant au niveau de la configuration que de l’authentification de chaque utilisateur. Concernant la configuration, vous devez définir les tableaux des groupes admin et des groupes d’opérateurs du processeur de service avec les noms de groupes correspondants contenus dans la base de données d’Active Directory et qui permettront de déterminer les niveaux d’accès. Il est possible de définir cinq groupes Active
Directory au maximum pour désigner un administrateur et cinq autres pour assigner des privilèges d’opérateur.
L’appartenance d’un utilisateur à un groupe permet d’identifier le niveau d’accès adéquat de l’administrateur ou de l’opérateur. La méthode consiste à rechercher chaque nom de groupe dans les tableaux d’Active Directory configurés sur le processeur de service. Selon la seconde approche, cinq groupes d’utilisateurs sont identifiés comme disposant des privilèges d’opérateur et cinq autres, des privilèges d’administrateur. Si les groupes d’un utilisateur donné ne figurent dans aucune des deux listes de groupes d’utilisateurs définies sur le processeur de service, cet utilisateur se voit refuser l’accès au logiciel.
96
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
Sécurisation de la connexion à Active Directory
L’authentification par certificat SSL est appliquée pour sécuriser la connexion, prévenir une « attaque par usurpation » et protéger les transactions LDAP.
La validation du certificat est facultative et dépend du niveau de sécurité requis par votre système.
Sécurisation de la connexion à Active Directory
à l’aide de la CLI
Les procédures suivantes décrivent la méthode de sécurisation de la connexion à
Active Directory à l’aide de la CLI.
▼
Exécution d’actions avec getcertfile à l’aide de la CLI
getcertfile
est la méthode utilisée pour télécharger un fichier de certificat en cas de besoin.
●
Pour télécharger un certificat, tapez ce qui suit :
-> set getcertfile=tftp://
adresse_IP/chemin-fichier/nom-fichier
●
Pour supprimer ou restaurer un certificat, tapez ce qui suit :
-> set getcertfile=remove|restore
Exemple :
-> set getcertfile=remove
Le fichier de certificat existant que vous avez téléchargé est supprimé. La restauration fonctionne uniquement s’il existe un fichier de certificat de sauvegarde. L’objectif est d’enregistrer un fichier de sauvegarde lors du téléchargement d’un certificat. En cas de problème, il est alors possible de restaurer l’ancien fichier.
Chapitre 5 Gestion des comptes utilisateur
97
▼
Activation de strictcertmode à l’aide de la
CLI
strictcertmode
est désactivée par défaut. La méthode SSL est utilisée, mais la validation de certificat appliquée est limitée. Si la méthode strictcertmode est activée, le certificat doit avoir été téléchargé au préalable sur le serveur afin que les signatures qu’il contient puissent être validées lorsque le certificat du serveur est présenté au moment du « handshake » SSL.
●
Pour activer strictcertmode, tapez ce qui suit :
-> set strictcertmode=enabled
▼
Vérification de certfilestatus à l’aide de la
CLI
certfilestatus
est une variable opérationnelle devant refléter l’état actuel du certificat, de même qu’une copie de sauvegarde du certificat. Ni l’un ni l’autre ne sont nécessaires si la méthode strictcertmode est désactivée. Toutefois, strictcertmode
n’est activée qu’à condition qu’un certificat soit chargé.
Le certificat de sauvegarde est toujours optionnel et est seulement stocké lorsqu’un certificat existant est sur le point d’être écrasé.
●
Pour vérifier le statut du certificat, tapez ce qui suit :
-> show /SP/clients/activedirectory certfilestatus
Exemple :
-> show /SP/clients/activedirectory certfilestatus
Properties: certfilestatus = certificate not present;certificate.backup not present;
98
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
Sécurisation de la connexion à Active Directory
à l’aide de l’interface Web
Les procédures suivantes décrivent la méthode de sécurisation de la connexion à
Active Directory à l’aide de l’interface Web.
La
illustre les propriétés de sécurité d’Active Directory et l’ordre de
saisie des données.
FIGURE 5-15
Propriétés de sécurité d’Active Directory et ordre de saisie des données
4
3
1a
1b
2
▼
Téléchargement d’un certificat à l’aide de l’interface Web
1. Connectez-vous à ILOM en tant qu’utilisateur doté des privilèges d’administrateur pour ouvrir l’interface Web.
2. Choisissez User Management (Gestion des utilisateurs) --> Active Directory.
La page Active Directory s’affiche. La
illustre l’ordre dans lequel vous
devez renseigner les champs de sécurité.
3. Indiquez le serveur TFTP, le chemin et le nom du fichier. Reportez-vous à la
Chapitre 5 Gestion des comptes utilisateur
99
4. Cliquez sur le bouton Save (Enregistrer) pour lancer le transfert du certificat.
Reportez-vous à la
Remarque – Les options de restauration et de suppression sont disponibles selon les besoins. Pour les exécuter, cliquez sur le bouton Restore Certificate (Restaurer le certificat) ou Remove Certificate (Supprimer le certificat).
▼
Vérification du statut du fichier de certificat
à l’aide de l’interface Web
1. Connectez-vous à ILOM en tant qu’utilisateur doté des privilèges d’administrateur pour ouvrir l’interface Web.
2. Choisissez User Management (Gestion des utilisateurs) --> Active Directory.
La page Active Directory s’affiche. Reportez-vous à la
3. Vérifiez le statut du fichier de certificat.
▼
Activation du mode de certificat strict à l’aide de l’interface Web
1. Connectez-vous à ILOM en tant qu’utilisateur doté des privilèges d’administrateur pour ouvrir l’interface Web.
2. Choisissez User Management (Gestion des utilisateurs) --> Active Directory.
La page Active Directory s’affiche. Reportez-vous à la
3. Cochez la case située en regard de l’option Enable (Activer) pour activer le mode de certificat strict.
100
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
Protocole LDAP
ILOM prend en charge l’authentification LDAP (Lightweight Directory Access
Protocol) pour les utilisateurs, basée sur le logiciel OpenLDAP. LDAP est un service d’annuaire à vocation générale. Un service d’annuaire est une base de données centralisée pour applications distribuées conçu pour gérer les entrées dans un annuaire. Ainsi, plusieurs applications peuvent partager une base de données d’utilisateurs unique. Pour des informations plus détaillées sur l’authentification
LDAP, reportez-vous au site Web http://www.openldap.org/.
À propos de LDAP
LDAP s’appuie sur un modèle client-serveur. Il fournit l’annuaire et les clients utilisent le service d’annuaire pour accéder aux entrées. Les données stockées dans un annuaire peuvent être distribuées par plusieurs serveurs LDAP.
Dans LDAP, les données sont organisées de manière hiérarchique : une racine initiale se développe jusqu’à des entrées individuelles. Les entrées de niveau supérieur dans la hiérarchie représentent des organisations importantes, sous lesquelles on trouve les entrées d’organisations plus petites. En bas de la hiérarchie se trouvent les entrées correspondant à des personnes ou des ressources individuelles.
Clients et serveurs LDAP
Dans le modèle client-serveur LDAP, les serveurs LDAP permettent aux clients
LDAP d’accéder aux informations relatives aux personnes, aux organisations et aux ressources. Les clients effectuent des modifications dans la base de données LDAP à l’aide d’un utilitaire client, généralement fourni avec le serveur LDAP. Lorsqu’une modification est effectuée dans la base de données LDAP, toutes les applications client la voient immédiatement. Il est donc inutile de mettre à jour chaque application distribuée.
Par exemple, pour mettre à jour une entrée dans l’annuaire, un client LDAP envoie au serveur LDAP le nom distinctif de l’entrée avec les informations d’attributs actualisées. Le serveur LDAP utilise le nom distinctif (DN) pour trouver l’entrée et exécute une opération de modification pour mettre à jour l’entrée dans l’annuaire.
Les informations actualisées sont immédiatement disponibles pour toutes les applications distribuées utilisant ce serveur LDAP.
Chapitre 5 Gestion des comptes utilisateur
101
Un client LDAP peut notamment effectuer les opérations suivantes :
■ recherche et récupération d’entrées dans l’annuaire ;
■
■ insertion de nouvelles entrées dans l’annuaire ; mise à jour des entrées de l’annuaire ;
■
■ suppression d’entrées dans l’annuaire ; changement de noms d’entrées dans l’annuaire.
Pour exécuter l’une de ces opérations LDAP, un client LDAP doit établir une connexion avec un serveur LDAP. LDAP spécifie l’utilisation du port TCP/IP numéro 389, bien que les serveurs puissent fonctionner sur d’autres ports.
Le serveur peut être client d’un serveur LDAP. Afin d’utiliser l’authentification
LDAP, vous devez créer, sur le serveur LDAP, un utilisateur pouvant être authentifié par le serveur ou avec lequel il puisse établir une liaison. Ainsi, le client sera autorisé
à rechercher l’annuaire pertinent sur le serveur LDAP.
Organisation des annuaires de serveurs LDAP
Les données de l’annuaire LDAP sont organisées de manière hiérarchique, comme illustré par la
FIGURE 5-16
Structure des annuaires LDAP
102
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
Chaque entrée est identifiée de façon unique par un nom distinctif (DN). Un nom distinctif se compose d’un nom identifiant de manière unique l’entrée à ce niveau hiérarchique et d’un chemin permettant de suivre l’entrée jusqu’à la racine de l’arborescence.
Par exemple, le nom distinctif de mlegrand est : dn: uid=mlegrand, ou=personnes, dc=sun.com
Dans ce cas, uid représente l’ID utilisateur de l’entrée, ou désigne l’unité de l’organisation à laquelle l’entrée appartient et dc correspond à l’organisation la plus importante à laquelle l’entrée appartient. Le schéma ci-après montre comment utiliser les noms distinctifs pour identifier des entrées de façon unique dans la hiérarchie de l’annuaire.
FIGURE 5-17
Noms distinctifs LDAP
Chapitre 5 Gestion des comptes utilisateur
103
Configuration d’un annuaire LDAP
Pour utiliser un annuaire LDAP, vous devez configurer le serveur LDAP conformément à la documentation correspondante. Vous devez également configurer le logiciel ILOM à l’aide de la CLI ou de l’interface Web.
La procédure suivante nécessite des connaissances approfondies en matière de configuration de serveur LDAP. Avant de commencer, rassemblez les informations réseau de base concernant le serveur LDAP, notamment son adresse IP.
Remarque – Cette tâche est similaire à la configuration de LDAP comme service de noms pour Linux ou Solaris.
▼
Configuration du serveur LDAP
1. Assurez-vous que tous les utilisateurs s’authentifiant auprès d’ILOM disposent de mots de passe stockés au format de « cryptage » ou dotés de l’extension
GNU de cryptage, communément appelée « cryptage MD5 ».
Exemple : userPassword: {CRYPT}ajCa2He4PJhNo ou userPassword: {CRYPT}$1$pzKng1$du1Bf0NWBjh9t3FbUgf46.
ILOM prend uniquement en charge l’authentification LDAP pour les mots de passe stockés dans ces deux variantes du format de cryptage.
2. Ajoutez les classes d’objets posixAccount et shadowAccount, puis spécifiez
les valeurs de propriété requises pour ce schéma (RFC 2307).
TABLEAU 5-6
Valeurs des propriétés LDAP
Propriété requise
uid uidNumber gidNumber userPassword homeDirectory loginShell
Description
Nom d’utilisateur permettant de se connecter à ILOM
Tout nombre unique
Tout nombre unique
Mot de passe
N’importe quelle valeur (propriété non prise en compte par ILOM)
N’importe quelle valeur (propriété non prise en compte par ILOM)
104
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
3. Octroyez à ILOM l’accès aux comptes utilisateur définis sur le serveur LDAP.
Activez le serveur LDAP pour qu’il accepte les liaisons anonymes ou créez dessus un utilisateur proxy doté d’un accès en lecture seule à tous les comptes utilisateur qui s’authentifieront via ILOM.
Pour plus d’informations, consultez la documentation de votre serveur LDAP.
▼
Configuration d’ILOM pour LDAP à l’aide de la
CLI
1. Indiquez le nom et le mot de passe de l’utilisateur proxy. Tapez ce qui suit :
—> set /SP/clients/ldap binddn="cn=proxyuser, ou=people, ou=sales, dc=sun, dc=com"
bindpw=mot_de_passe
2. Saisissez l’adresse IP du serveur LDAP. Tapez ce qui suit :
—> set /SP/clients/ldap ipaddress=
adresse_ip_ldap
3. Assignez le port utilisé pour communiquer avec le serveur LDAP ; le port par défaut est le port 389. Tapez :
—> set /SP/clients/ldap port=
port_LDAP
4. Indiquez le nom distinctif de la branche de l’arborescence LDAP contenant les utilisateurs et les groupes. Tapez ce qui suit :
—> set /SP/clients/ldap searchbase="ou=personnel, ou=ventes, dc=sun, dc=com"
Il s’agit de l’emplacement dans l’arborescence LDAP où vous souhaitez rechercher l’authentification de l’utilisateur.
5. Définissez l’état du service LDAP sur « enabled » (Activé). Tapez ce qui suit :
—> set /SP/clients/ldap state=enabled
6. Pour vérifier que l’authentification LDAP fonctionne, connectez-vous à ILOM en utilisant un nom d’utilisateur et un mot de passe LDAP.
Remarque – ILOM recherche les utilisateurs locaux avant les utilisateurs LDAP. Si un nom d’utilisateur LDAP existe en tant qu’utilisateur local, ILOM utilise le compte local pour l’authentification.
Chapitre 5 Gestion des comptes utilisateur
105
▼
Configuration d’ILOM pour LDAP à l’aide de l’interface Web
1. Connectez-vous à ILOM en tant qu’administrateur pour ouvrir l’interface Web du logiciel.
2. Choisissez User Management (Gestion des utilisateurs) --> LDAP.
La page LDAP Settings (Paramètres LDAP) s’affiche.
FIGURE 5-18
Page LDAP Settings (Paramètres LDAP)
3. Saisissez les valeurs suivantes :
■
State
(État) : cochez la case Enabled (Activé) pour authentifier les utilisateurs LDAP.
■
Role
(Rôle) : rôle par défaut des utilisateurs LDAP. Sélectionnez Operator
(Opérateur) ou Adminsitrator (Administrateur) dans la liste déroulante.
■
■
IP Address
(Adresse IP) : adresse IP du serveur LDAP.
Port
(Port) : numéro de port sur le serveur LDAP.
■
■
■
Searchbase
(Base de recherche) : saisissez la branche du serveur LDAP sur laquelle vous voulez rechercher des utilisateurs.
Bind DN
(DN de base) : saisissez le nom distinctif (DN) d’un utilisateur proxy en lecture seule sur le serveur LDAP. Le logiciel ILOM doit disposer d’un accès en lecture seule au serveur LDAP pour rechercher et authentifier les utilisateurs.
Bind Password
(Lier le mot de passe) : saisissez le mot de passe de l’utilisateur en lecture seule.
4. Cliquez sur Save (Enregistrer).
106
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
5. Pour vérifier que l’authentification LDAP fonctionne, connectez-vous à ILOM en utilisant un nom d’utilisateur et un mot de passe LDAP.
Remarque – ILOM recherche les utilisateurs locaux avant les utilisateurs LDAP. Si un nom d’utilisateur LDAP existe en tant qu’utilisateur local, ILOM utilise le compte local pour l’authentification.
Authentification RADIUS
ILOM prend en charge l’authentification RADIUS (Remote Authentication Dial-In
User Service). RADIUS est un protocole d’authentification facilitant l’administration centralisée des utilisateurs. Il fournit à de nombreux serveurs un accès partagé aux données utilisateur d’une base de données centrale, offrant une sécurité renforcée et une administration facilitée. Un serveur RADIUS peut fonctionner de pair avec plusieurs serveurs RADIUS et d’autres types de serveurs d’authentification.
Clients et serveurs RADIUS
RADIUS s’appuie sur un modèle client-serveur. Le serveur RADIUS fournit les données d’authentification utilisateur et peut accorder ou refuser l’accès. Les clients envoient les données utilisateur au serveur et reçoivent une réponse positive ou négative. Dans le modèle client-serveur RADIUS, le client envoie une requête de type Access-Request au serveur RADIUS. Lorsque le serveur reçoit un tel message de la part d’un client, il recherche les informations d’authentification de l’utilisateur dans la base de données. S’il ne les trouve pas, il envoie un message de type Access-
Reject et l’utilisateur se voie refuser l’accès au service demandé. Sinon, il envoie un message de type Access-Accept confirmant les données d’authentification de l’utilisateur et lui octroyant l’accès au service demandé.
Toutes les transactions effectuées entre le client et le serveur RADIUS sont authentifiées grâce à un mot de passe spécifique de type chaîne de texte connu sous l’appellation de « secret partagé ». Le client et le serveur doivent tous deux connaître ce secret, car il ne transite jamais par le réseau. Vous devez connaître le secret partagé pour pouvoir configurer l’authentification RADIUS pour ILOM.
Afin d’utiliser l’authentification RADIUS à l’aide d’ILOM, configurez le logiciel
ILOM en tant que client RADIUS.
Chapitre 5 Gestion des comptes utilisateur
107
Paramètres RADIUS
Le
décrit les paramètres RADIUS relatifs à l’interface Web et à la CLI.
TABLEAU 5-7
Paramètres RADIUS de l’interface Web et de la CLI
Interface Web
State (État)
Role (Rôle)
CLI Description
state
enabled|disabled
L’état activé permet d’authentifier les utilisateurs
RADIUS.
defaultrole
administrator|operator
Définit le rôle par défaut de tous les utilisateurs
RADIUS (administrateur ou opérateur). ipaddress
adresse_ip
Adresse IP du serveur RADIUS.
IP Address
(Adresse IP)
Port (Port) port
numéro_port
Shared Secret
(Secret partagé) secret
texte
Numéro du port utilisé pour communiquer avec le serveur RADIUS. La valeur par défaut est le port 1812.
Secret partagé utilisé pour accéder à RADIUS.
Configuration des paramètres RADIUS
Si vous devez fournir à ILOM un accès s’étendant au-delà des dix comptes utilisateur locaux, une fois que le serveur RADIUS a été configuré correctement, vous pouvez paramétrer ILOM pour qu’il utilise l’authentification RADIUS.
Avant d’effectuer cette procédure, rassemblez les informations pertinentes sur l’environnement RADIUS, comme décrit à la section
« Gestion des comptes utilisateur », page 67 .
▼
Configuration de RADIUS à l’aide de la CLI
1. Connectez-vous à la CLI d’ILOM en tant qu’utilisateur doté des privilèges d’administrateur.
2. Naviguez jusqu’à l’emplacement /SP/clients/radius. Reportez-vous à la
section
« Commandes RADIUS », page 110
3. Définissez les paramètres présentés dans le
108
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
▼
Configuration de RADIUS à l’aide de l’interface
Web
1. Connectez-vous à ILOM en tant qu’administrateur pour ouvrir l’interface Web.
2. Choisissez User Management (Gestion des utilisateurs) --> RADIUS.
La page RADIUS Settings (Paramètres RADIUS) s’affiche.
FIGURE 5-19
Page RADIUS Settings (Paramètres RADIUS)
3. Configurez les paramètres.
Pour plus d’informations, reportez-vous au
.
4. Cliquez sur Save (Enregistrer) pour que vos modifications soient prises en compte.
Chapitre 5 Gestion des comptes utilisateur
109
Commandes RADIUS
Cette section décrit les commandes RADIUS.
show /SP/clients/radius
Cette commande est disponible pour les administrateurs comme pour les opérateurs.
Objectif
Cette commande vous permet de visualiser les propriétés associées à l’authentification RADIUS.
Syntaxe
show /SP/clients/radius
Propriétés
defaultrole
: rôle assigné à tous les utilisateurs RADIUS : administrateur ou opérateur. ipaddress
: adresse IP du serveur RADIUS.
port
: numéro du port utilisé pour communiquer avec le serveur RADIUS.
La valeur par défaut est le port 1812.
secret
: secret partagé utilisé pour accéder au serveur RADIUS.
state
: ce paramètre est activé ou désactivé pour accorder ou refuser l’accès aux utilisateurs RADIUS.
110
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
Exemple
-> show /SP/clients/radius
/SP/clients/radius
Targets:
Properties:
defaultrole = Operator
ipaddress = 129.144.36.142
port = 1812
secret = (none)
state = enabled
Commands:
cd
set
show
->
set /SP/clients/radius
Cette commande est disponible pour les administrateurs.
Objectif
Cette commande vous permet de configurer les propriétés associées à l’authentification
RADIUS sur un processeur de service.
Syntaxe
set /SP/clients/radius [defaultrole=[Administrator|Operator] ipaddress=radiusserverIP port=port# secret=radiussecret state=
[enabled|disabled]]
Chapitre 5 Gestion des comptes utilisateur
111
Propriétés
■
■
■
■
■ defaultrole
: vous devez assigner un niveau d’autorisation qui s’appliquera
à tous les utilisateurs RADIUS, qu’ils soient administrateur ou opérateur.
ipaddress
: adresse IP du serveur RADIUS.
port
: numéro du port utilisé pour communiquer avec le serveur RADIUS.
La valeur par défaut est le port 1812.
secret
: saisissez le secret partagé utilisé pour accéder au serveur RADIUS.
Le secret partagé est également appelé clé de chiffrement.
state
: choisissez d’activer ou de désactiver ce paramètre pour accorder ou refuser l’accès aux utilisateurs RADIUS.
Exemple
-> set /SP/clients/radius state=enabled ipaddress=10.8.145.77
Set ‘state’ to ‘enabled’
Set ‘ipaddress’ to ‘10.8.145.77
show /SP/clients
Cette commande est disponible pour les administrateurs comme pour les opérateurs.
Objectif
Cette commande vous permet de visualiser les clients pouvant recevoir des données provenant d’un processeur de service, notamment les clients LDAP, NTP, RADIUS et
SYSLOG.
Syntaxe
show /SP/clients
112
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
Exemple
-> show /SP/clients
/SP/clients
Targets: ldap ntp radius syslog
Properties:
Commands:
cd
show
Remarque – Les utilisateurs dotés des privilèges d’opérateur peuvent uniquement visualiser les cibles ntp et syslog. Les cibles radius et ldap restent masquées.
Chapitre 5 Gestion des comptes utilisateur
113
114
Guide de l’utilisateur de Integrated Lights Out Manager 2.0 • Octobre 2007
公開リンクが更新されました
あなたのチャットの公開リンクが更新されました。