7 näheres zur verzeichnisdienstauthentifizierung – HP OneView Benutzerhandbuch
Seite 145
20.7 Näheres zur Verzeichnisdienstauthentifizierung
Mit Hilfe eines externen Authentifizierungs-Verzeichnisdienstes (auch als Unternehmensverzeichnis
oder Authentifizierungs-Anmeldedomäne bezeichnet) können Sie eine einmalige Anmeldung (Single
Sign-On) für Benutzergruppen zur Verfügung stellen, anstatt einzelne lokale Anmeldekonten zu
verwalten. Ein Beispiel für ein Authentifizierungsverzeichnis ist ein Unternehmensverzeichnis, das
LDAP (Lightweight Directory Access Protocol) verwendet.
Jeder Benutzer in der Gruppe kann sich bei der Appliance anmelden und jedem Gruppenmitglied
wird die gleiche Rolle zugewiesen. Im Anmeldefenster verfährt der Benutzer wie folgt:
•
Er gibt seinen Namen ein (in der Regel das Attribut „Common-Name, CN“).
•
Er legt das Kennwort für die Gruppe fest.
•
Er wählt den Authentifizierungs-Verzeichnisdienst aus. Dieses Feld erscheint nur, wenn ein
Authentifizierungs-Verzeichnisdienst zur Appliance hinzugefügt wurde.
Der Benutzer wird gegenüber der
(Sitzungssteuerung) anhand seines Namens
identifiziert, dem der Authentifizierungs-Verzeichnisdienst vorangestellt ist. Beispiel:
CorpDir\pat
Wenn der Appliance ein Authentifizierungs-Verzeichnisdienst hinzugefügt wird, geben Sie
Suchkriterien an, so dass die Appliance die Gruppe unter ihrem DN (Distinguished Name) finden
kann. Die folgenden Attributwerte identifizieren beispielsweise eine Gruppe von Administratoren
in einem Microsoft Active Directory:
distinguishedName CN=Administrator,CN=Users,DC=example,DC=com
Aus welcher Kombination von LDAP-Attributen der DN gebildet wird, hängt von der Struktur des
Authentifizierungs-Verzeichnisdienstes ab. In der Regel wird durch das CN-Attribut aber der Benutzer
oder die Gruppe identifiziert.
HINWEIS:
Bei Angabe einer Gruppe mit hierarchischen Benutzerebenen können sich nur die
Benutzer in der betreffenden Gruppe und in den nächsten drei niedrigeren Ebenen bei der Appliance
anmelden.
Ein Verzeichnisserver ist ein physischer Computer oder eine Virtual Machine, auf der bzw. dem
der Authentifizierungs-Verzeichnisdienst gehostet wird. Wenn Sie den Verzeichnisserver hinzufügen,
können Sie die Appliance durch die folgenden Aktionen konfigurieren:
•
Angeben der IP-Adresse des Authentifizierungs-Verzeichnisdienstes, so dass die Appliance
darauf zugreifen kann.
•
Angeben des LDAPS- (LDAP über SSL) Kommunikationsports.
LDAPS ist das einzige Protokoll, das für die Kommunikation zwischen der Appliance und dem
Authentifizierungs-Verzeichnisdienst verwendet wird.
•
Installieren eines Zertifikats zur Sicherstellung der Integrität und Authentizität zwischen der
Appliance und dem Authentifizierungs-Verzeichnisdienst.
Wenn Sie den Authentifizierungs-Verzeichnisdienst für hohe Verfügbarkeit oder Katastrophentoleranz
replizieren, fügen Sie den replizierten Verzeichnisdienst als separaten Verzeichnisdienst hinzu.
Nachdem ein Verzeichnisserver konfiguriert und hinzugefügt wurde, können Sie ihn als
Standardverzeichnisdienst designieren.
Sie haben folgende Möglichkeiten:
•
Nur lokale Anmeldungen zulassen, wobei es sich um die Standardeinstellung handelt.
•
Sowohl lokale Anmeldungen als auch Anmeldungen bei Benutzerkonten zulassen, die durch
den Verzeichnisdienst authentifiziert werden.
•
Lokale Anmeldungen deaktivieren, wodurch Anmeldungen auf Benutzerkonten eingeschränkt
werden, die durch den Verzeichnisdienst authentifiziert werden.
20.7 Näheres zur Verzeichnisdienstauthentifizierung
145