Configurando Autenticação Remota

A autenticação remota permite que os usuários se autentiquem no sistema que usa credenciais que são armazenadas em um serviço de autenticação externa. Quando você configura a autenticação remota, não é necessário configurar usuários no sistema ou designar mais senhas. Em vez disso, é possível usar suas senhas e grupos de usuários existentes que estão definidos no serviço remoto para simplificar o gerenciamento de usuários e o acesso, para cumprir as políticas de senha de forma mais eficiente e para separar o gerenciamento de usuários do gerenciamento de armazenamento.

Um usuário remoto é autenticado em um serviço remoto com suporte ao Lightweight Directory Access Protocol (LDAPv3). Um usuário remoto não precisa ser incluído na lista de usuários no sistema, embora eles possam ser incluídos para configurar chaves SSH opcionais. Os usuários remotos não podem acessar o sistema quando o serviço remoto está indisponível. Nesse caso, uma conta de usuário local deve ser usada até que o serviço remoto seja restaurado. Eles possuem seus grupos definidos pelo serviço de autenticação remota.

Usando a GUI de gerenciamento

Para configurar autenticação remota com LDAP, conclua estas etapas:
  1. Na GUI de gerenciamento, selecione Configurações > Segurança > Autenticação remota.
  2. Selecione Configurar Autenticação Remota.
  3. Selecione LDAP.
  4. Selecione o tipo de servidor LDAP que é usado para autenticação.
  5. Selecione uma das opções de segurança a seguir:
    LDAP com StartTLS
    Selecione esta opção para configurar extensões que fazem upgrade da porta LDAP padrão (389) para uma porta criptografada que usa TLS ou SSL. A conexão inicial com o servidor de diretório está decriptografada, mas pode ser usada em sistemas que não tenham a porta 636 disponível.
    LDAPS
    Selecione esta opção para proteger a comunicação LDAP usando a porta segura padrão (636). As conexões para todas as transações com o servidor de diretório são criptografadas.
    LDAP sem segurança
    Selecione esta opção para transportar dados em formato de texto sem criptografia.
  6. Especifique credenciais de serviço opcionais ou modifique as configurações LDAP avançadas. Os atributos LDAP a seguir podem ser configurados:
    Atributo do Usuário
    Para todos os tipos de servidor, os usuários são autenticados com um nome de usuário que é definido com o atributo do usuário LDAP. Este atributo deve existir em seu esquema LDAP e deve ser exclusivo para cada um de seus usuários. Os usuários do Active Directory também podem ser autenticados usando seus User Principal Names (UPN) ou nomes de login do NT.
    Atributo Grupo
    Usuários autenticados são funções designadas de acordo com suas associações ao grupo LDAP. Os grupos aos quais um usuário pertence são armazenados no atributo de grupo LDAP. Este valor de atributo pode ser o nome distinto de cada grupo ou uma lista separada por vírgulas de nomes de grupo de usuários.
    Atributo de Log de Auditoria
    Se um usuário LDAP concluir uma ação auditada, os conteúdos do atributo de log de auditoria serão registrados no log de auditoria.
  7. Defina até seis servidores LDAP para usar para autenticação. Diversos servidores podem ser configurados para fornecer acesso a diferentes conjuntos de usuários ou para redundância. Também é possível configurar quais servidores são preferenciais para usuários autenticados.
  8. Verifique sua configuração LDAP. Para testar a conexão com os servidores LDAP, selecione Ações globais > Testar conexões LDAP. Para testar a autenticação com os servidores LDAP, selecione Ações globais > Testar autenticação LDAP e insira as credenciais correspondentes para o usuário.
  9. Os usuários remotos, que requerem acesso sem uma senha, devem configurar uma chave de shell seguro (SSH) no sistema. Para configurar um usuário remoto para acesso de chave de SSH, conclua estas etapas:
    1. Selecione Acessar > Usuários.
    2. Selecione Novo usuário ou mude um usuário existente selecionando Ações > Propriedades.
    3. Selecione o modo de autenticação remota e forneça uma chave pública SSH. Se você precisar de acesso à linha de comandos sem inserir uma senha, use uma chave pública SSH.

    Para excluir um usuário do sistema, conclua estas etapas:

    1. Selecione Acessar > Usuários.
    2. Clique com o botão direito no usuário e selecione Ações > Excluir.

Usando a interface da linha de comandos

Para ativar a autenticação de usuário com LDAP usando a interface da linha de comandos, siga estas etapas:
  1. Configurar LDAP inserindo o comando chldap.
    Este comando fornece configurações padrão para o IBM Security Directory Server e o AD. Para configurar a autenticação com padrões de esquema do IBM Security Directory Server e da Segurança da Camada de Transporte (TLS), por exemplo, insira o seguinte comando: 
    chldap -type itds -security tls
    A configuração LDAP pode ser inspecionada com o comando lsldap.
    Nota: Use o TLS para que as senhas transmitidas sejam criptografadas.
  2. Especifique o comando mkldapserver para definir até seis servidores LDAP para uso na autenticação.
    Diversos servidores podem ser configurados para fornecer acesso a diferentes conjuntos de usuários ou para redundância. Todos os servidores devem compartilhar as definições que são configuradas com o chldap. Para configurar um servidor LDAP com um certificado SSL e usuários na subárvore cn=users,dc=company,dc=com, por exemplo, insira o comando a seguir: 
    mkldapserver -ip 9.71.45.108 -basedn cn=users,dc=company,dc=com -sslcert /tmp/sslcert.pem

    Também é possível configurar quais servidores são preferenciais para usuários autenticados.

    Especifique lsldapserver para obter informações de configuração do servidor LDAP. Especifique chldapserver e rmldapserver para mudar os servidores LDAP configurados.

  3. Configure os grupos de usuários no sistema, correspondendo aqueles grupos de usuários que são usados pelo serviço de autenticação.

    Para cada grupo de interesse que é conhecido pelo serviço de autenticação, um grupo de usuários do sistema deve ser criado com o mesmo nome e com a configuração remota ativada. Se membros de um grupo que é chamado sysadmins, por exemplo, requererem a função de administrador do sistema (admin), insira o comando a seguir:

    mkusergrp -name sysadmins -remote -role Administrator

    Se nenhum dos grupos de usuários corresponder a um grupo de usuários do sistema, o usuário não poderá acessar o sistema.

  4. Verifique a configuração de LDAP usando o comando testldapserver.
    Para testar a conexão com os servidores LDAP, insira o comando sem nenhuma opção. Um nome do usuário pode ser fornecido com ou sem uma senha para testar erros de configuração. Para processar uma tentativa de autenticação integral com relação a cada servidor, insira os comandos a seguir: 
    testldapserver -username username -password 'password'
  5. Insira o comando a seguir para ativar a autenticação LDAP: 
    chauthservice -type ldap -enable yes
  6. Configure usuários que não requeiram acesso de chave de Shell Seguro (SSH).
    Exclua usuários do sistema que devem usar o serviço de autenticação remota e não requerem acesso de chave SSH.
    Lembre-se: Um superusuário não pode ser excluído ou usar o serviço de autenticação remota.
  7. Configure os usuários que requeiram o acesso a chave SSH.

    Todos os usuários do sistema que usam o serviço de autenticação remota e requerem acesso de chave SSH devem ter configurações remotas que estejam ativadas e uma chave SSH válida que esteja configurada no sistema.

  8. Especifique o tipo de segurança a ser usado ao comunicar-se com servidores LDAP.

    Especifique tls para ativar o TLS. Selecione esta opção para configurar extensões que fazem upgrade da porta LDAP padrão (389) para uma porta criptografada que usa TLS. A conexão inicial com o servidor de diretórios não está criptografada, mas pode ser usada em sistemas que não possuam porta 636 disponível.

    Especifique ssl para ativar a segurança SSL. Esta opção protege a comunicação LDAP usando a porta segura padrão (636). As conexões para todas as transações com o servidor de diretório são criptografadas. O valor-padrão é nenhum.