Guide de sécurité et d'installation de Dell OpenManage™, version 5.1
Contrôle de l'accès à votre réseau
Extension du schéma d'Active Directory
Si vous utilisez le logiciel de service Active Directory, vous pouvez le configurer pour contrôler l'accès à votre réseau. Dell a modifié la base de données de Active Directory pour prendre en charge l'authentification et l'autorisation de gestion distante. Dell OpenManage™ IT Assistant, Dell OpenManage Server Administrator et Dell™ Remote Access Controller peuvent désormais s'interfacer avec Active Directory. Avec cet outil, vous pouvez ajouter et contrôler utilisateurs et privilèges depuis une base de données centrale unique.
![]() |
REMARQUE : L'utilisation d'Active Directory pour reconnaître les utilisateurs de Dell Remote Access Controller (DRAC), d'IT Assistant ou de Server Administrator est prise en charge sur les systèmes d'exploitation Microsoft Windows® 2000 et Windows Server™ 2003. |
Les données d'Active Directory se trouvent dans une base de données distribuée d'attributs et de classes. Un exemple de classe d'Active Directory est la classe Utilisateur. Des exemples d'attributs de la classe Utilisateur pourraient être le prénom de l'utilisateur, son nom, son numéro de téléphone, etc. Chaque classe ou attribut ajouté à un schéma Active Directory existant doit être défini avec un ID unique. Pour maintenir des ID uniques à travers toute l'industrie, Microsoft maintient une base de données d'identificateurs d'objets (OID) Active Directory.
Le schéma Active Directory définit les règles régissant quelles données peuvent être incluses dans la base de données. Pour étendre le schéma dans Active Directory, Dell a reçu des OID uniques, des extensions de nom uniques et des ID d'attributs liés uniques pour les nouveaux attributs et les nouvelles classes dans le service de répertoire.
L'extension de Dell est : dell
L'OID de base de Dell est : 1.2.840.113556.1.8000.1280
La plage de LinkID Dell est : 12070 à 12079
La base de données OID d'Active Directory maintenue par Microsoft peut être consultée à l'adresse msdn.microsoft.com/certification/ADAcctInfo.asp en entrant l'extension dell.
Dell a créé des classes, ou groupes d'objets, qui peuvent être configurés par l'utilisateur pour satisfaire leurs besoins particuliers. Des nouvelles classes dans le schéma comprennent une classe Association, une classe Produit et une classe Privilège. Un objet Association lie les utilisateurs ou les groupes à un ensemble donné de privilèges et à des systèmes (Objets Produit) dans votre réseau. Ce modèle donne à l'administrateur le contrôle sur différentes combinaisons d'utilisateurs, de privilèges et de systèmes ou périphériques RAC sur le réseau, sans ajouter de complexité.
Pour chaque système que vous souhaitez intégrer avec Active Directory pour l'authentification ou l'autorisation, il doit y avoir au moins un objet Association et un objet Produit. L'objet Produit représente le système. L'objet Association le lie avec des utilisateurs et des privilèges. Vous pouvez créer autant d'objets Association que vous en avez besoin.
Chaque objet Association peut être lié à autant d'utilisateurs, de groupes d'utilisateurs et d'objets Produit que vous le souhaitez. Les utilisateurs et les objets Produits peuvent provenir de n'importe quel domaine. Cependant, chaque objet Association ne peut lier qu'à un objet Privilège. Ce comportement permet à un Administrateur de contrôler quels utilisateurs ont quels droits sur des systèmes spécifiques.
L'objet Produit lie le système à Active Directory pour les requêtes d'authentification et d'autorisation. Quand un système est ajouté au réseau, l'Administrateur doit configurer le système et ses objets Produit avec le nom Active Directory pour que les utilisateurs puisse effectuer l'authentification et l'autorisation avec Active Directory. L'Administrateur devra également ajouter le système à au moins un objet Association pour que les utilisateurs puissent s'authentifier.
La figure 8-1 illustre la fourniture par l'objet Association de la connexion nécessaire pour toute authentification et autorisation.
Figure 8-1.Configuration typique pour les objets Active Directory
De plus, vous pouvez définir des objets Active Directory dans un domaine unique ou dans plusieurs domaines. La définition d'objets dans un domaine unique ne varie pas, que vous les configuriez pour RAC, Server Administrator ou IT Assistant. Quand plusieurs domaines sont impliqués, en revanche, il y a quelques différences.
Par exemple, vous avez deux cartes DRAC 4 (RAC1 et RAC2) et trois utilisateurs Active Directory existants (utilisateur 1, utilisateur 2 et utilisateur 3). Vous voulez donner à utilisateur 1 et à utilisateur 2 des privilèges d'administrateur sur les deux cartes DRAC 4 et donner à utilisateur 3 des privilèges d'ouverture de session sur la carte RAC2. La Figure 8-2 vous montre comment configurer les objets Active Directory dans ce scénario.
Figure 8-2. Définition d'objets Active Directory dans un domaine unique
Pour configurer les objets pour un scénario de domaine unique, effectuez les tâches suivantes :
Consultez la section « Ajout d'utilisateurs et de privilèges à Active Directory » pour des instructions détaillées.
La Figure 8-3 vous montre comment configurer les objets Active Directory dans des domaines multiples pour un RAC. Dans ce scénario, vous avez deux cartes DRAC 4 (RAC1 et RAC2) et trois utilisateurs Active Directory (Utilisateur1, Utilisateur2 et Utilisateur3). Utilisateur1 est dans Domaine1 mais Utilisateur2 et Utilisateur3 sont dans Domaine2. Vous souhaitez donner à Utilisateur1 et Utilisateur2 des privilèges d'administrateur sur les cartes RAC1 et RAC2 et donner à Utilisateur3 des privilèges d'ouverture de session sur la carte RAC2.
Figure 8-3.Configuration d'objets Active Directory RAC dans des domaines multiples
Pour définir les objets pour ce scénario à plusieurs domaines, effectuez les tâches suivantes :
En revanche, pour Server Administrator ou IT Assistant, les utilisateurs dans une Association unique peuvent être dans des domaines séparés sans devoir être ajoutés à un groupe universel. Ce qui suit est un exemple très similaire pour montrer comment des systèmes Server Administrator ou IT Assistant dans des domaines séparés affectent la configuration d'objets de répertoire. Au lieu de périphériques RAC, vous aurez deux systèmes exécutant Server Administrator (les Produits Server Administrator sys. 1 et sys. 2). Sys. 1 et sys. 2 sont dans des domaines différents. Vous pouvez utiliser n'importe quels utilisateurs ou groupes qui existent dans Active Directory. La Figure 8-4 vous montre comment configurer les objets Active Directory de Server Administrator pour cet exemple.
Figure 8-4. Configuration d'objets Active Directory de Server Administrator dans des domaines multiples
Pour définir les objets pour ce scénario à plusieurs domaines, effectuez les tâches suivantes :
Remarquez qu'aucun des objets Association n'a besoin d'être d'étendue Universel dans ce cas.
Avant que vous puissiez utiliser Active Directory pour accéder à vos systèmes, vous devez configurer le logiciel Active Directory et les systèmes.
Des extensions de schéma de RAC, Server Administrator et IT Assistant sont disponibles. Vous n'avez besoin d'étendre le schéma que pour les logiciels et le matériel que vous utilisez. Chaque extension doit être appliquée individuellement pour bénéficier de ses paramètres spécifiques au logiciel. Le fait d'étendre votre schéma Active Directory ajoutera des classes et des attributs de schéma, par exemple des objets association et privilèges, et une unité organisationnelle Dell au schéma.
![]() |
REMARQUE : Avant d'étendre le schéma, vous devez avoir des droits d'administrateur de schéma sur le propriétaire de rôle d'opération à maître unique flottant (FSMO) de maître de schéma de la forêt de domaines. |
Vous pouvez étendre votre schéma en utilisant deux méthodes différentes. Vous pouvez utiliser l'utilitaire Dell Schema Extender ou le fichier de script au format d'échange d'annuaires simplifié (LDIF).
![]() |
REMARQUE : L'unité organisationnelle Dell ne sera pas ajoutée si vous utilisez le fichier de script LDIF. |
Les fichiers de script LDIF et Dell Schema Extender se trouvent sur votre CD Dell PowerEdge™ Installation and Server Management dans les répertoires respectifs suivants :
Le type d'installation sera RAC4, RAC3, Server Administrator ou IT Assistant, version 7.0 ou ultérieure, selon votre choix d'extension de schéma.
Pour utiliser les fichiers LDIF, consultez les instructions dans le fichier lisez-moi qui se trouve dans le répertoire des fichiers LDIF. Pour utiliser Dell Schema Extender pour étendre le schéma Active Directory, suivez les étapes décrites dans « Utilisation de Dell Schema Extender ».
Vous pouvez copier et exécuter Schema Extender ou les fichiers LDIF depuis n'importe quel emplacement.
![]() |
AVIS : Dell Schema Extender utilise le fichier SchemaExtenderOem.ini . Pour que l'utilitaire Dell Schema Extender fonctionne correctement, ne modifiez pas le nom ou le contenu de ce fichier. |
Pour vérifier l'extension de schéma, utilisez le snap-in de schéma d'Active Directory de la console Microsoft Management Console (MMC) pour vérifier l'existence des classes suivantes (répertoriées dans les tableau 8-1, tableau 8-6, tableau 8-7, tableau 8-9, tableau 8-10, tableau 8-11 et tableau 8-12) et des attributs suivants (répertoriés dans les tableau 8-13, tableau 8-14 et tableau 8-15). Consultez votre documentation Microsoft pour plus d'informations sur l'activation et l'utilisation du snap-in de schéma Active Directory dans le MMC.
Tableau 8-1. Définitions de classe pour les classes ajoutées au schéma Active Directory
Nom de classe | Numéro d'identification d'objet attribué (OID) | Type de classe |
---|---|---|
dellRacDevice | 1.2.840.113556.1.8000.1280.1.1.1.1 | Classe structurelle |
dellAssociationObject | 1.2.840.113556.1.8000.1280.1.1.1.2 | Classe structurelle |
dellRAC4Privileges | 1.2.840.113556.1.8000.1280.1.1.1.3 | Classe auxiliaire |
dellPrivileges | 1.2.840.113556.1.8000.1280.1.1.1.4 | Classe structurelle |
dellProduct | 1.2.840.113556.1.8000.1280.1.1.1.5 | Classe structurelle |
dellRAC3Privileges | 1.2.840.113556.1.8000.1280.1.1.1.6 | Classe auxiliaire |
dellOmsa2AuxClass | 1.2.840.113556.1.8000.1280.1.2.1.1 | Classe auxiliaire |
dellOmsaApplication | 1.2.840.113556.1.8000.1280.1.2.1.2 | Classe structurelle |
dellIta7AuxClass | 1.2.840.113556.1.8000.1280.1.3.1.1 | Classe auxiliaire |
dellItaApplication | 1.2.840.113556.1.8000.1280.1.3.1.2 | Classe structurelle |
Tableau 8-2. Classe dellRacDevice
OID | 1.2.840.113556.1.8000.1280.1.1.1.1 |
---|---|
Description | Cette classe représente le périphérique RAC de Dell. Le périphérique RAC doit être configuré comme dellRacDevice dans Active Directory. Cette configuration permet au DRAC 4 d'envoyer des requêtes LDAP à Active Directory. |
Type de classe | Classe structurelle |
SuperClasses | dellProduct |
Attributs | dellSchemaVersion dellRacType |
Tableau 8-3. Classe dellAssociationObject
OID | 1.2.840.113556.1.8000.1280.1.1.1.2 |
---|---|
Description | Cette classe représente l'objet Association Dell. L'objet Association fournit la connexion entre les utilisateurs et les périphériques ou les produits. |
Type de classe | Classe structurelle |
SuperClasses | Groupe |
Attributs | dellProductMembers dellPrivilegeMember |
Tableau 8-4. Classe dellRAC4Privileges
OID | 1.2.840.113556.1.8000.1280.1.1.1.3 |
---|---|
Description | Cette classe est utilisée pour définir les privilèges (droits d'autorisation) pour le périphérique DRAC 4. |
Type de classe | Classe auxiliaire |
SuperClasses | Aucune |
Attributs | dellIsLoginUser dellIsCardConfigAdmin dellIsUserConfigAdmin dellIsLogClearAdmin dellIsServerResetUser dellIsConsoleRedirectUser dellIsVirtualMediaUser dellIsTestAlertUser dellIsDebugCommandAdmin |
Tableau 8-5. Classe dellPrivileges
OID | 1.2.840.113556.1.8000.1280.1.1.1.4 |
---|---|
Description | Cette classe est utilisée comme classe conteneur pour les privilèges Dell (droits d'autorisation). |
Type de classe | Classe structurelle |
SuperClasses | Utilisateur |
Attributs | dellRAC4Privileges dellRAC3Privileges dellOmsaAuxClass dellItaAuxClass |
Tableau 8-6. Classe dellProduct
OID | 1.2.840.113556.1.8000.1280.1.1.1.5 |
---|---|
Description | Il s'agit de la classe principale à partir de laquelle tous les produits Dell sont dérivés. |
Type de classe | Classe structurelle |
SuperClasses | Ordinateur |
Attributs | dellAssociationMembers |
Tableau 8-7. Classe dellRAC3Privileges
OID | 1.2.840.113556.1.8000.1280.1.1.1.6 |
---|---|
Description | Cette classe est utilisée pour définir les privilèges (droits d'autorisation) pour les périphériques DRAC III, DRAC III/XT, ERA, ERA/O et ERA/MC. |
Type de classe | Classe auxiliaire |
SuperClasses | Aucune |
Attributs | dellIsLoginUser |
Tableau 8-8. Classe dellOmsa2AuxClass
OID | 1.2.840.113556.1.8000.1280.1.2.1.1 |
---|---|
Description | Cette classe est utilisée pour définir les privilèges (droits d'autorisation) pour Server Administrator. |
Type de classe | Classe auxiliaire |
SuperClasses | Aucune |
Attributs | dellOmsaIsReadOnlyUser dellOmsaIsReadWriteUser dellOmsaIsAdminUser |
Tableau 8-9. Classe dellOmsaApplication
OID | 1.2.840.113556.1.8000.1280.1.2.1.2 |
---|---|
Description | Cette classe représente l'application Server Administrator. Server Administrator doit être configuré comme dellOmsaApplication dans Active Directory. Cette configuration permet à l'application de Server Administrator d'envoyer des requêtes LDAP à Active Directory. |
Type de classe | Classe structurelle |
SuperClasses | dellProduct |
Attributs | dellAssociationMembers |
Tableau 8-10. Classe delllta7AuxClass
OID | 1.2.840.113556.1.8000.1280.1.3.1.1 |
---|---|
Description | Cette classe est utilisée pour définir les privilèges (droits d'autorisation) pour IT Assistant. |
Type de classe | Classe auxiliaire |
SuperClasses | Aucune |
Attributs | dellItaIsReadOnlyUser dellItaIsReadWriteUser dellItaIsAdminUser |
Tableau 8-11. Classe dellltaApplication
OID | 1.2.840.113556.1.8000.1280.1.3.1.2 |
---|---|
Description | Cette classe représente l'application IT Assistant. IT Assistant doit être configuré comme dellItaApplication dans Active Directory. Cette configuration permet à IT Assistant d'envoyer des requêtes LDAP à Active Directory. |
Type de classe | Classe structurelle |
SuperClasses | dellProduct |
Attributs | dellAssociationMembers |
Tableau 8-12. Attributs généraux ajoutés au schéma Active Directory
Tableau 8-13. Attributs spécifiques au RAC ajoutés au schéma Active Directory
Tableau 8-14. Attributs spécifiques à Server Administrator ajoutés au schéma Active Directory
Tableau 8-15. Attributs spécifiques à IT Assistant ajoutés au schéma Active Directory
Quand vous étendez le schéma dans Active Directory, vous devez aussi étendre le snap-in utilisateurs et ordinateurs Active Directory pour que l'administrateur puisse gérer les Produits, les Utilisateurs et Groupes d'utilisateurs, les Associations et les Privilèges. Il suffit d'étendre le snap-in une seule fois, même si vous avez ajouté plus d'une extension de schéma. Vous devez installer le snap-in sur chaque système que vous avez l'intention d'utiliser pour gérer ces objets. L'extension Dell au snap-in utilisateurs et ordinateurs Active Directory est une option qui peut être installée quand vous installez vos logiciels Systems Management Software en utilisant le CD Dell PowerEdge Installation and Server Management.
![]() |
REMARQUE : Vous devez installer Administrator Pack sur chaque station de gestion qui gère les nouveaux objets Active Directory. L'installation est décrite dans la section suivante « Ouverture du snap-in Utilisateurs et ordinateurs d'Active Directory ». Si vous n'installez pas Administrator Pack, vous ne pourrez pas afficher le nouvel objet dans le conteneur. |
![]() |
REMARQUE : Pour plus d'informations le snap-in utilisateurs et ordinateurs Active Directory, consultez votre documentation Microsoft. |
Pour ouvrir le snap-in utilisateurs et ordinateurs Active Directory, effectuez les étapes suivantes :
la fenêtre console de gestion Microsoft (MMC) s'ouvre.
Le snap-in utilisateurs et ordinateurs Active Directory étendu par Dell vous permet d'ajouter des utilisateurs et des privilèges pour DRAC, Server Administrator et IT Assistant en créant des objets RAC, Association et Privilège. Pour ajouter un objet, effectuez les étapes dans la sous-section qui s'applique.
![]() |
REMARQUE : Les utilisateurs de Server Administrator et d'IT Assistant doivent utiliser les groupes de produit universels pour répartir les domaines avec leurs objets produits. |
![]() |
REMARQUE : Lorsque vous ajoutez des groupes de produits de type universel provenant de domaines séparés, vous devez créer un objet Association avec une étendue universelle.Les objets Association par défaut créés par l'utilitaire Dell Schema Extender sont des groupes locaux du domaine et ne fonctionneront pas avec les groupes de produits de type universel d'autres domaines. |
Dans la fenêtre Racine de la console (MMC), cliquez-droite sur un conteneur.
La fenêtre Nouvel objet s'ouvre.
Les objets Privilège doivent être créés dans le même domaine que les objets Association auxquels ils sont associés.
La fenêtre Nouvel objet s'ouvre.
L'objet Association est dérivé d'un groupe et doit contenir un type de groupe. L'étendue de l'association spécifie le type de groupe de sécurité pour l'objet Association. Quand vous créez un objet Association, vous devez choisir l'étendue d'Association qui s'applique au type des objets que vous avez l'intention d'ajouter. Le fait de sélectionner Universel, par exemple, signifie que les objets Association sont disponibles uniquement quand le domaine d'Active Directory fonctionne en mode natif ou supérieur.
La fenêtre Nouvel objet s'ouvre.
En utilisant la fenêtre des Propriétés de l'objet Association, vous pouvez associer des utilisateurs ou des groupes d'utilisateurs, des objets Privilège, des systèmes, des périphériques RAC et des groupes de systèmes ou de périphériques.
![]() |
REMARQUE : Les utilisateurs de RAC doivent utiliser des Groupes universels pour répartir les domaines avec leurs utilisateurs ou objets RAC. |
Vous pouvez ajouter des groupes d'utilisateurs et de produits. Vous pouvez créer des groupes liés à Dell de la même façon que vous avez créé d'autres groupes.
Pour ajouter des utilisateurs ou des groupes d'utilisateurs :
Cliquez sur l'onglet objet Privilège pour ajouter l'objet Privilège à l'association qui définit les privilèges de l'utilisateur ou du groupe d'utilisateurs durant l'authentification auprès d'un système.
![]() |
REMARQUE : Vous ne pouvez ajouter qu'un objet Privilège à un objet Association. |
Pour ajouter un privilège :
Cliquez sur l'onglet Produits pour ajouter un ou plusieurs systèmes ou périphériques à l'association. Les objets associés spécifient les produits connectés au réseau qui sont disponibles pour les utilisateurs et les groupes d'utilisateurs définis.
![]() |
REMARQUE : Vous pouvez ajouter plusieurs systèmes ou périphériques RAC à un objet Association. |
Pour ajouter des produits :
Si vous prévoyez d'utiliser le CA racine Microsoft Enterprise pour attribuer automatiquement des certificats SSL à tous vos contrôleurs de domaine, vous devez effectuer les étapes suivantes pour activer SSL sur chacun des contrôleurs de domaine.
![]() |
REMARQUE : Les étapes suivantes peuvent être légèrement différentes si vous utilisez Windows 2000. |
![]() |
REMARQUE : Si le certificat SSL du micrologiciel du DRAC 4 est signé par une CA connue, il n'est pas nécessaire d'effectuer les étapes décrites dans cette section. |
![]() |
REMARQUE : Les étapes suivantes peuvent être légèrement différentes si vous utilisez Windows 2000. |
Si vous avez installé votre propre certificat, assurez-vous que la CA qui signe votre certificat est dans liste des Autorités de certification racines de confiance. Si la CA n'est pas dans la liste, vous devez l'installer sur tous vos contrôleurs de domaine.
Pour des instructions sur la manière de configurer votre système Server Administrator ou IT Assistant en utilisant des commandes de CLI, consultez les sections « Configuration d'Active Directory avec la CLI sur un système exécutant Server Administrator » et « Configuration d'Active Directory sur un système exécutant IT Assistant ». Pour les utilisateurs de DRAC, il y a deux façons de configurer le DRAC 4. Consultez la section « Configuration du DRAC 4 en utilisant l'interface Web » ou la section « Configuration des paramètres Active Directory du DRAC 4 avec la CLI racadm ».
![]() |
REMARQUE : Les systèmes sur lesquels Server Administrator et/ou IT Assistant sont installés doivent faire partie du domaine d'Active Directory et doivent aussi avoir des comptes d'ordinateur sur le domaine. |
Vous pouvez utiliser la commande omconfig preferences dirservice pour configurer le service Active Directory. Le fichier productoem.ini est modifié pour refléter ces changements. Si adproductname n'est pas présent dans le fichier product oem.ini , un nom par défaut sera attribué. La valeur par défaut est nom du système-nom du produit logiciel, où nom du système est le nom du système qui exécute Server Administrator et nom du produit logiciel est le nom du produit logiciel défini dans omprv32.ini (c'est à dire nom de l'ordinateur-omsa).
![]() |
REMARQUE : Cette commande s'applique uniquement sur les systèmes exécutant le système d'exploitation Windows. |
![]() |
REMARQUE : Redémarrez le service Server Administrator après avoir configuré Active Directory. |
Le tableau 8-16 montre les paramètres valides de la commande.
Tableau 8-16. Paramètres de configuration du service Active Directory
Par défaut, le nom de produit d'Active Directory correspond au nom_d_ordinateur-ita, où nom_d_ordinateur est le nom du système sur lequel IT Assistant est installé. Pour configurer un nom différent , trouvez le fichier itaoem.ini dans votre répertoire d'installation. Modifiez le fichier pour ajouter la ligne « adproductname=texte> », où texte est le nom de l'objet du produit que vous avez créé dans Active Directory. Par exemple, le fichier itaoem.ini contiendra la syntaxe suivante si le nom de produit d'Active Directory est configuré sur mgmtStationITA.
productname=IT Assistant
startmenu=Dell OpenManage Applications
autdbid=ita
accessmask=3
startlink=ITAUIServlet
adsupport=true
adproductname=mgmtStationITA
![]() |
REMARQUE : Redémarrez les services IT Assistant après avoir enregistré le fichier itaoem.ini sur le disque. |
Utilisez les commandes suivantes pour configurer la fonctionnalité Active Directory du DRAC 4 en utilisant la CLI racadm au lieu de l'interface Web.
racadm config -g cfgActiveDirectory -o cfgADEnable 1
racadm config -g cfgActiveDirectory -o cfgADRacDomain <nom de domaine rac complètement qualifié>
racadm config -g cfgActiveDirectory -o cfgADRootDomain <nom de domaine racine complètement qualifié>
racadm config -g cfgActiveDirectory -o cfgADRacName <nom commun RAC>
racadm sslcertupload -t 0x2 -f <certificat d'autorité de certification racine ADS>
racadm sslcertdownload -t 0x1 -f <certificat SSL RAC>
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <adresse IP DNS primaire>
racadm config -g cfgLanNetworking -o cfgDNSServer2 <adresse IP DNS secondaire>
Consultez le Guide d'utilisation du Dell Remote Access Controller 4 pour des informations supplémentaires.