Monday, October 5, 2015

IBM Flex. Настройка аутентификации и авторизации через Active Directory с использованием SSL шифрования


  1. Перед настройкой параметров LDAP и SSL необходимо, чтобы в сети была настроена инфраструктура Active Directory и Certification Authority (CA). Также служба Active Directory Domain Services должна быть сконфигурирована для использования SSL шифрования.
  2. Настройка аутентификации и авторизации через Active Directory
    • Загружаем и устанавливаем консоль IBM Enhanced Role Based Security Snapin. Запускаем ее.
      • При первом запуске необходимо будет добавить подключение к контроллеру домена. Добавляем и подключаемся.
      • Заходим в RBS -> Managed Targets и создаем новый Target "BladeCenter" (у нас этот таргет был создан еще, когда я настраивал аутентификацию через AD в шасси IBM BladeCenter. Для настройки IBM Flex можно использовать его же или создать новый таргет.)
        - Name: BladeCenter
        - Define target by: Target class
        - Any BladeCenter Advanced Management Module (AMM)
      • Заходим в RBS -> Roles и создаем новую роль (физически это будет новая группа в AD с дополнительными аттрибутами. Упралять составом этой группы можно через обычную остнастку ADUC). Задаем в ней необходимые права, добавляем в группу нужных пользователей и связываем эту роль с существующим Target'ом.
    • Настраиваем аутентификацию и авторизацию через Active Directory.
      Заходим в вэб-интерфейс CMM. Далее идем в "Mgt Module Management" -> "Network" -> вкладка "LDAP Client".
      Задаем следующие параметры:
      - LDAP method: Use LDAP Servers for Authentication and Authorization
      - LDAP servers: Use Pre-Configured Servers
      - Server 1.
         Host name or IP address: DomainController1.flyuia.com
         Port: 389
      - Server 2.
         Host name or IP address: DomainController 2.flyuia.com
         Port: 389
      - Enable enhanced role-based security: Yes
      - CMM target name: BladeCenter
      - Root DN: OU=IT,DC=domain,DC=com
      - Binding method: w/ Login Credentials
    • Включаем проверку логина/пароля через Active Directory.
      Заходим в вэб-интерфейс CMM. Далее идем в "Mgt Module Management" -> "User Accounts" -> кликаем на кнопке "Global Login Settings".
      В появившемся окне на вкладке "General" находим пункт "User authentication method" и выбираем в нем значение "External first, then local authentication".
    • Этим мы настроили аутентификацию и авторизацию через Active Directory без SSL. Пробуем войти в вэб-интерфейс CMM с использованием доменной учетной записи.
  3. Настраиваем использование SSL.
    • Необходимо сгенерировать SSL сертификат для LDAP клиента CMM модуля.
      • Необходимо сгенерировать CSR запрос для генерации SSL сертификата для LDAP клиента CMM. Сделаем это через вэб-интерфейс.
        Для этого заходим в вэб-интерфейс CMM. Далее идем в "Mgt Module Management" -> "Security" -> вкладка "LDAP Client" -> пункт "Generate a New Key and a Certificate Signing Request (CSR)". В открывшемся окне вводим данные:
        - Country: UA - Ukraine
        - State or Province: Kiev
        - City or Locality: Kiev
        - Organization Name: UIA
        - Management Module Host Name: <cmm_host_name>.flyuia.com
        - E-Mail address: <e-mail_address>
        - Organizational Unit: IT
        И жмем Ок.
      • Затем жмем "Download Client CSR"и скачиваем файл со сгенерированным CSR запросом.
      • Используя этот CSR запрос на издающем CA генерируем SSL сертификат. Для этого на издающем CA выполняем команду (на Windows 2008 R2 командную строку нужно запускать с правами администратора):
        certreq -submit -attrib "CertificateTemplate:WebServer" <path_to_CSR_file>
      • В итоге получаем необходимый SSL сертификат. Для дальнейшего использования SSL сертификат нужно сохранить в DER формате.
    • Необходимо импортировать SSL сертификаты в CMM модуль.
      • Нам понадобятся три сертификата:
        - сгенерированный SSL сертификат для LDAP клиента
        - сертификат промежуточного центра сертификации
        - сертификат коренвого центра сертификации
        Все эти сертификаты необходимо экспортировать в файлы в DER формате.
      • Необходимо импортировать эти сертификаты в CMM модуль. Для этого заходим в вэб-интерфейс CMM. Далее идем в "Mgt Module Management" -> "Security" -> вкладка "LDAP Client".
      • кликаем на пункте "Import a Signed Certificate" и импортируем SSL сертификат для LDAP клиента
      • кликаем на пункте "Import a Trusted Certificate" и импортируем SSL сертификаты обоих центров сертификации
    • Заходим в "Mgt Module Management" -> "Network" -> вкладка "LDAP Client" и меняем для указанных серверов порт на 636 (стандартный порт, который используется для подключения к AD при использовании SSL сертификатов).
    • Возвращаемся в "Mgt Module Management" -> "Security" -> вкладка "LDAP Client". В поле "LDAP security" выбираем вариант "Enable secure LDAP" и жмем "Apply".
  4. Все. Проверяем вход в вэб-интерфейс CMM с доменной учетной записью.
Posted by at
Labels:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)