用户认证

您可以为系统的用户配置认证和权限。 系统支持远程用户的多因子认证，单点登录，本地用户认证和 LDAP 认证。

系统既支持本地用户，也支持通过远程认证服务向系统认证的远程用户。 您可以创建能够访问系统的本地用户。 这些用户类型基于他们在系统上拥有的管理特权来定义。 本地用户必须提供密码和/或 Secure Shell (SSH) 密钥。 本地用户通过系统上配置的认证方法进行认证。 如果本地用户需要访问管理 GUI，那么该用户需要使用密码。 如果用户需要通过 SSH 访问命令行界面 (CLI)，那么需要提供密码或有效的 SSH 密钥文件。 使用 PBKDF2 散列算法安全地存储本地用户密码。 本地用户必须属于系统上定义的用户组。 用户组定义了可授权该组中的用户对系统执行一组特定操作的角色。

除了本地用户的第一因子认证方法之外，还可以使系统能够要求对用户组中定义的所有本地用户进行多因子认证。 要在系统上使用多因子认证，需要配置受支持的认证服务，并在系统和用户组上启用多因子认证。 例如：，系统与提供第二因子认证的 IBM® Security Verify 集成。 还必须将本地用户手动添加到受支持的认证服务并设置其第二个因素。

远程用户在远程 LDAP 服务器上进行认证。 尽管可以添加远程用户以配置可选的 SSH 密钥，但无需将远程用户添加到系统上的用户列表。 对于远程用户，必须在系统上创建与远程 LDAP 服务器上的组具有相同名称和角色的等价用户组。 当远程 LDAP 服务器关闭时，远程用户无法访问系统。 在此情况下，必须使用本地用户帐户，直到恢复 LDAP 服务为止。 远程用户具有其由远程认证服务器定义的组。

系统还支持要求远程用户进行多因子认证。 与本地用户一样，您必须配置受支持的认证服务，并在系统和远程用户组上启用该功能。 但是，可以使用 IBM Security Verify 网桥用于目录同步自动管理远程用户。 对于向 LDAP 服务器进行认证的远程用户，请在 LDAP 服务器（例如 Windows Active Directory）上安装并配置 IBM Security Verify Bridge for Directory Sync。 IBM Security Verify Bridge for Directory Sync 将源 LDAP 服务器上定义的任何用户和组复制到 IBM Security Verify 中的 Cloud 目录。 对源 LDAP 服务器进行的任何后续更改都将自动复制到 IBM Security Verify 中的 Cloud Directory 下。

有关如何使用 Duo Security 为远程用户配置目录同步的信息，请参阅 Duo 目录同步。

除了多因子认证之外，系统还仅支持远程用户的单点登录。 远程用户通过单一凭证集向所有应用程序进行认证。 单点登录需要在系统级别和用户组上启用该功能部件。

系统支持多种认证方法。 但是，了解每种认证方法的密钥差异和限制非常重要。 下表总结了每种受支持的认证方法的差异和限制: