Сегодня речь про серверы Gigabyte, а именно про настройку доменной аутентификации в системе управления сервером MEGARAC SP-X.
GIGABYTE Management Console (AMI MEGARAC SP-X) — большой обзор
Для управления и обслуживания сервера или небольшого кластера пользователи могут использовать консоль управления GIGABYTE, которая предустановлена на каждом сервере. Когда серверы запущены, ИТ-персонал может осуществлять мониторинг состояния каждого сервера и управление им в режиме реального времени через графический пользовательский интерфейс на основе браузера. Кроме того, GIGABYTE Management Console также предоставляет:
- Поддержку стандартных спецификаций IPMI.
- Автоматическую запись событий, которая может записывать поведение системы за 30 секунд до возникновения события, что упрощает определение последующих действий.
- Интегрированные устройства SAS/SATA/NVMe и прошивка RAID-контроллера для мониторинга и управления адаптерами Broadcom MegaRAID.
В качестве подготовительных работ нам понадобится пользователь в AD без прав, от имени которого будет проводиться проверка прав доступа и сёрфинг по группам домена. Дополнительно мы создадим группу пользователей, в которую добавим всех пользователей, которые будут иметь право администрировать BMC сервера Gigabyte, пусть для примера это будет bmc-admins.
В MEGARAC SP-X в разделе Settings → External User Services есть три варианта настройки внешней аутентификации:
- LDAP/E-Directory Settings
- Active Directory Settings
- RADIUS Settings
Нам нужен Active Directory Settings.
Active Directory Settings
Active Directory Settings. Эта страница позволяет вам установить параметры Active Directory. AD выполняет множество функций, включая возможность предоставления информации об объектах, помогает организовать эти объекты для легкого поиска и доступа, разрешает доступ пользователям и администраторам и позволяет администраторам настраивать безопасность для каталога.
Переходим в Settings → External User Services → Active Directory Settings → General Settings.
Включаем галку Enable Active Directory Authentication. Отключаю SSL, если включите, нужно будет загрузить сертификат. Должен подойти рутовый сертификат вашего DC в формате PEM.
Оставляем пустыми Secret Username и Secret Password. Если поля имени пользователя и пароля оставлены пустыми, ошибка аутентификации всегда будет рассматриваться как ошибка "Неверный пароль". При ошибке "Неверный пароль" PAM не будет пробовать другие методы аутентификации. Поэтому рекомендуется размещать AD последним в порядке методов PAM.
User Domain Name — указываем домен, например, domain.local.
Domain Controller Server Address 1 (2, 3) — IP адрес контроллера домена.
Save.
Добавим группу. Переходим в Settings → External User Services → Active Directory Settings → Role Groups. Выбираем пустую группу.
Group Name — имя группы, в нашем примере bmc-admins.
Group Domain — указываем домен, например, domain.local.
Group Privilege — права, с которыми будет выполнен вход пользователя:
- Administrator
- Operator
- OEM
- None
Выбираем нужные опции: KVM Access, Media Access.
Save.
Переходим в Settings → Pam Order. Мышкой двигаем блоки и устанавливаем порядок проверки пароля сверху вниз.
Save.
Теперь можно войти под доменной УЗ типа v.pupkin.
Подключение будет по LDAP TCP 389. Если хотим LDAPS TCP 636, то включаем галку SSL и загружаем сертификат центра сертификации, который выпустил сертификат для LDAPS в формате BASE64 с расширением PEM.
