По правилам безопасности потребовалось настроить доменную аутентификация в Huawei iBMC. Настраивать будем на примере iBMC сервера Huawei FusionServer Pro 2288X V5.
Пришлось повозиться, надеюсь, мой опыт поможет вам сэкономить нервы и время.
Создаю в AD группу ilo-admins, включаю в неё всех доменных пользователей, которые имеют право иметь административный доступ в iLO. Можно настроить несколько групп пользователей с разными правами, но мне достаточно группы администраторов.
В iBMC переходим в раздел User & Security → LDAP.
Включаем тумблер LDAP. Есть возможность настроить несколько контроллеров, настроим Controller 1.
Настраиваем Basic Settings.
- LDAP Server Address: указываем IP адрес или FQDN контроллера домена, например, dc01.company.local.
- LDAPS Port: 636.
- Domain: домен, например, company.local.
- Bind DB: DN пользователя домена (LDAP proxy user), под которым сервер будет лезть в LDAP. К примеру, юзер ldap-viewer, его DN - CN=ldap-viewer,OU=Service_Account,OU=Company,DC=company,DC=local.
- Bind Password: пароль указанного выше LDAP proxy user.
- User Folder: а вот здесь начинаются чудеса, указываем часть DN папки без DC, в которой нужно искать пользователей, которым можно логиниться в iBMC, например, OU=Admins,OU=Users,OU=Company.
Блок с сертификатом я пропускаю, не буду пока загружать:
- LDAP Certificate Verification: Disable
- Certificate Validation Level: Allow (без разницы, на самом деле)
Указываем пароль.
- Current User Password: указываем пароль пользователя, под которым мы сейчас залогинены в iBMC.
Save.
Теперь нужно добавить группы пользователей и назначить права. Мне достаточно одной группы анминистраторов. Add.
- Group Name: пишем имя группы в AD: ilo-admins.
- Group Folder: а вот здесь чудеса продолжаются, указываем часть DN папки без DC, в которой нужно искать группу, например, OU=Access,OU=Groups,OU=Company.
- Role: выбираем роль пользователей в iBMC.
- Login Rules: можно настроить правила, мне не нужно.
- Login Interfaces: выбираем интерфейсы, на который разрешён логин пользователям группы.
- Current User Password: указываем пароль пользователя, под которым мы сейчас залогинены в iBMC.
Save.
Готово. При логине указываем имя пользователя в виде v.pupkin, доменный пароль, выбираем из выпадающего списка домен.
Примечания
Никаких проверок работы аутентификации нет, поэтому, приходится возиться. Боль доставили поля User Folder и Group Folder. Всегда проверяйте что у вас получилось после сохранения, у меня сервер дублировал поле домена, ошибка какая-то.
