Retour à la page du sommaire

Utilisation de Microsoft® Active Directory®

Guide de sécurité et d'installation de Dell OpenManage™, version 5.1

  Contrôle de l'accès à votre réseau

  Extension du schéma d'Active Directory



Contrôle de l'accès à votre réseau

Si vous utilisez le logiciel de service Active Directory, vous pouvez le configurer pour contrôler l'accès à votre réseau. Dell a modifié la base de données de Active Directory pour prendre en charge l'authentification et l'autorisation de gestion distante. Dell OpenManage™ IT Assistant, Dell OpenManage Server Administrator et Dell™ Remote Access Controller peuvent désormais s'interfacer avec Active Directory. Avec cet outil, vous pouvez ajouter et contrôler utilisateurs et privilèges depuis une base de données centrale unique.

REMARQUE : L'utilisation d'Active Directory pour reconnaître les utilisateurs de Dell Remote Access Controller (DRAC), d'IT Assistant ou de Server Administrator est prise en charge sur les systèmes d'exploitation Microsoft Windows® 2000 et Windows Server™ 2003.

Extensions de schéma Active Directory

Les données d'Active Directory se trouvent dans une base de données distribuée d'attributs et de classes. Un exemple de classe d'Active Directory est la classe Utilisateur. Des exemples d'attributs de la classe Utilisateur pourraient être le prénom de l'utilisateur, son nom, son numéro de téléphone, etc. Chaque classe ou attribut ajouté à un schéma Active Directory existant doit être défini avec un ID unique. Pour maintenir des ID uniques à travers toute l'industrie, Microsoft maintient une base de données d'identificateurs d'objets (OID) Active Directory.

Le schéma Active Directory définit les règles régissant quelles données peuvent être incluses dans la base de données. Pour étendre le schéma dans Active Directory, Dell a reçu des OID uniques, des extensions de nom uniques et des ID d'attributs liés uniques pour les nouveaux attributs et les nouvelles classes dans le service de répertoire.

L'extension de Dell est : dell

L'OID de base de Dell est : 1.2.840.113556.1.8000.1280

La plage de LinkID Dell est : 12070 à 12079

La base de données OID d'Active Directory maintenue par Microsoft peut être consultée à l'adresse msdn.microsoft.com/certification/ADAcctInfo.asp en entrant l'extension dell.

Aperçu des extensions de schéma Active Directory

Dell a créé des classes, ou groupes d'objets, qui peuvent être configurés par l'utilisateur pour satisfaire leurs besoins particuliers. Des nouvelles classes dans le schéma comprennent une classe Association, une classe Produit et une classe Privilège. Un objet Association lie les utilisateurs ou les groupes à un ensemble donné de privilèges et à des systèmes (Objets Produit) dans votre réseau. Ce modèle donne à l'administrateur le contrôle sur différentes combinaisons d'utilisateurs, de privilèges et de systèmes ou périphériques RAC sur le réseau, sans ajouter de complexité.

Aperçu des objets Active Directory

Pour chaque système que vous souhaitez intégrer avec Active Directory pour l'authentification ou l'autorisation, il doit y avoir au moins un objet Association et un objet Produit. L'objet Produit représente le système. L'objet Association le lie avec des utilisateurs et des privilèges. Vous pouvez créer autant d'objets Association que vous en avez besoin.

Chaque objet Association peut être lié à autant d'utilisateurs, de groupes d'utilisateurs et d'objets Produit que vous le souhaitez. Les utilisateurs et les objets Produits peuvent provenir de n'importe quel domaine. Cependant, chaque objet Association ne peut lier qu'à un objet Privilège. Ce comportement permet à un Administrateur de contrôler quels utilisateurs ont quels droits sur des systèmes spécifiques.

L'objet Produit lie le système à Active Directory pour les requêtes d'authentification et d'autorisation. Quand un système est ajouté au réseau, l'Administrateur doit configurer le système et ses objets Produit avec le nom Active Directory pour que les utilisateurs puisse effectuer l'authentification et l'autorisation avec Active Directory. L'Administrateur devra également ajouter le système à au moins un objet Association pour que les utilisateurs puissent s'authentifier.

La figure 8-1 illustre la fourniture par l'objet Association de la connexion nécessaire pour toute authentification et autorisation.

Figure 8-1.Configuration typique pour les objets Active Directory

De plus, vous pouvez définir des objets Active Directory dans un domaine unique ou dans plusieurs domaines. La définition d'objets dans un domaine unique ne varie pas, que vous les configuriez pour RAC, Server Administrator ou IT Assistant. Quand plusieurs domaines sont impliqués, en revanche, il y a quelques différences.

Par exemple, vous avez deux cartes DRAC 4 (RAC1 et RAC2) et trois utilisateurs Active Directory existants (utilisateur 1, utilisateur 2 et utilisateur 3). Vous voulez donner à utilisateur 1 et à utilisateur 2 des privilèges d'administrateur sur les deux cartes DRAC 4 et donner à utilisateur 3 des privilèges d'ouverture de session sur la carte RAC2. La Figure 8-2 vous montre comment configurer les objets Active Directory dans ce scénario.

Figure 8-2. Définition d'objets Active Directory dans un domaine unique

Pour configurer les objets pour un scénario de domaine unique, effectuez les tâches suivantes :

  1. Créez deux objets Association.

  2. Créez deux objets Produit RAC, RAC1 et RAC2, pour représenter les deux cartes DRAC 4.

  3. Créez deux objets Privilège, Priv. 1 et Priv. 2, où Priv. 1 a tous les privilèges (administrateur) et Priv. 2 a des privilèges d'ouverture de session.

  4. Groupez Utilisateur1 et Utilisateur2 dans Groupe1.

  5. Ajoutez Groupe1 comme membre de l'objet Association1 (AO1), Priv1 comme objet Privilège dans AO1 et RAC1 et RAC2 comme Produits RAC dans AO1.

  6. Ajoutez utilisateur 3 comme Membres dans l'objet Association 2 (AO2), Priv. 2 comme objet Privilège dans AO2, et RAC 2 comme Produit RAC dans AO2.

Consultez la section « Ajout d'utilisateurs et de privilèges à Active Directory » pour des instructions détaillées.

La Figure 8-3 vous montre comment configurer les objets Active Directory dans des domaines multiples pour un RAC. Dans ce scénario, vous avez deux cartes DRAC 4 (RAC1 et RAC2) et trois utilisateurs Active Directory (Utilisateur1, Utilisateur2 et Utilisateur3). Utilisateur1 est dans Domaine1 mais Utilisateur2 et Utilisateur3 sont dans Domaine2. Vous souhaitez donner à Utilisateur1 et Utilisateur2 des privilèges d'administrateur sur les cartes RAC1 et RAC2 et donner à Utilisateur3 des privilèges d'ouverture de session sur la carte RAC2.

Figure 8-3.Configuration d'objets Active Directory RAC dans des domaines multiples

Pour définir les objets pour ce scénario à plusieurs domaines, effectuez les tâches suivantes :

  1. Assurez-vous que la fonction de forêt de domaines est en mode Natif ou Windows 2003.

  2. Créez deux objets Association, AO1 (de portée Universel) et AO2, dans n'importe quel domaine. La figure illustre les objets dans Domaine 2.

  3. Créez deux objets Périphérique RAC, RAC1 et RAC2, pour représenter les deux systèmes distants.

  4. Créez deux objets Privilège, Priv. 1 et Priv. 2, où Priv. 1 a tous les privilèges (administrateur) et Priv. 2 a des privilèges d'ouverture de session.

  5. Groupez Utilisateur1 et Utilisateur2 dans Groupe1.L'étendue de groupe de Groupe 1 doit être universelle.

  6. Ajoutez Groupe 1 comme Membres dans l'objet Association 1 (AO1), Priv. 1 comme objet Privilège dans AO1, et RAC 1 et RAC 2 comme Produits dans AO1.

  7. Ajoutez utilisateur 3 comme Membre dans l'objet Association 2 (AO2), Priv. 2 comme objet Privilège dans AO2, et RAC 2 comme Produit dans AO2.

En revanche, pour Server Administrator ou IT Assistant, les utilisateurs dans une Association unique peuvent être dans des domaines séparés sans devoir être ajoutés à un groupe universel. Ce qui suit est un exemple très similaire pour montrer comment des systèmes Server Administrator ou IT Assistant dans des domaines séparés affectent la configuration d'objets de répertoire. Au lieu de périphériques RAC, vous aurez deux systèmes exécutant Server Administrator (les Produits Server Administrator sys. 1 et sys. 2). Sys. 1 et sys. 2 sont dans des domaines différents. Vous pouvez utiliser n'importe quels utilisateurs ou groupes qui existent dans Active Directory. La Figure 8-4 vous montre comment configurer les objets Active Directory de Server Administrator pour cet exemple.

Figure 8-4. Configuration d'objets Active Directory de Server Administrator dans des domaines multiples

Pour définir les objets pour ce scénario à plusieurs domaines, effectuez les tâches suivantes :

  1. Assurez-vous que la fonction de forêt de domaines est en mode Natif ou Windows 2003.

  2. Créez deux objets Association, AO1 et AO2, dans n'importe quel domaine. La figure illustre les objets dans Domaine 1.

  3. Créez deux Produits Server Administrator, sys. 1 et sys. 2, pour représenter les deux systèmes. Sys. 1 est dans Domaine 1 et sys. 2 est dans Domaine 2.

  4. Créez deux objets Privilège, Priv. 1 et Priv. 2, où Priv. 1 a tous les privilèges (administrateur) et Priv. 2 a des privilèges d'ouverture de session.

  5. Groupez sys. 2 dans Groupe 1. L'étendue de groupe de Groupe 1 doit être Universel.

  6. Ajoutez Utilisateur1 et Utilisateur2 comme membres de l'objet Association1 (AO1), Priv1 comme objet Privilège dans AO1, et sys1 et Groupe1 comme Produits dans AO1.

  7. Ajoutez utilisateur 3 comme Membre dans l'objet Association 2 (AO2), Priv. 2 comme objet Privilèges dans AO2, et Groupe 1 comme Produit dans AO2.

Remarquez qu'aucun des objets Association n'a besoin d'être d'étendue Universel dans ce cas.

Configuration d'Active Directory pour accéder à vos systèmes

Avant que vous puissiez utiliser Active Directory pour accéder à vos systèmes, vous devez configurer le logiciel Active Directory et les systèmes.

  1. Étendez le schéma d'Active Directory (consultez la section « Extension du schéma d'Active Directory »).

  2. Étendez le snap-in utilisateurs et ordinateurs Active Directory (consultez la section « Installation de l'extension Dell au snap-in utilisateurs et ordinateurs Active Directory »).

  3. Ajoutez des utilisateurs système et leurs privilèges à Active Directory (consultez la section « Ajout d'utilisateurs et de privilèges à Active Directory »).

  4. Pour les systèmes RAC uniquement, activez SSL sur chacun de vos contrôleurs de domaine (consultez la section « Activation de SSL sur un contrôleur de domaine (RAC seulement) »).

  5. Configurez les propriétés Active Directory du système en utilisant soit l'interface Web soit la CLI (consultez la section « Configuration de vos systèmes ou de vos périphériques »).


Extension du schéma d'Active Directory

Des extensions de schéma de RAC, Server Administrator et IT Assistant sont disponibles. Vous n'avez besoin d'étendre le schéma que pour les logiciels et le matériel que vous utilisez. Chaque extension doit être appliquée individuellement pour bénéficier de ses paramètres spécifiques au logiciel. Le fait d'étendre votre schéma Active Directory ajoutera des classes et des attributs de schéma, par exemple des objets association et privilèges, et une unité organisationnelle Dell au schéma.

REMARQUE : Avant d'étendre le schéma, vous devez avoir des droits d'administrateur de schéma sur le propriétaire de rôle d'opération à maître unique flottant (FSMO) de maître de schéma de la forêt de domaines.

Vous pouvez étendre votre schéma en utilisant deux méthodes différentes. Vous pouvez utiliser l'utilitaire Dell Schema Extender ou le fichier de script au format d'échange d'annuaires simplifié (LDIF).

REMARQUE : L'unité organisationnelle Dell ne sera pas ajoutée si vous utilisez le fichier de script LDIF.

Les fichiers de script LDIF et Dell Schema Extender se trouvent sur votre CD Dell PowerEdge™ Installation and Server Management dans les répertoires respectifs suivants :

Le type d'installation sera RAC4, RAC3, Server Administrator ou IT Assistant, version 7.0 ou ultérieure, selon votre choix d'extension de schéma.

Pour utiliser les fichiers LDIF, consultez les instructions dans le fichier lisez-moi qui se trouve dans le répertoire des fichiers LDIF. Pour utiliser Dell Schema Extender pour étendre le schéma Active Directory, suivez les étapes décrites dans « Utilisation de Dell Schema Extender ».

Vous pouvez copier et exécuter Schema Extender ou les fichiers LDIF depuis n'importe quel emplacement.

Utilisation de Dell Schema Extender

AVIS : Dell Schema Extender utilise le fichier SchemaExtenderOem.ini . Pour que l'utilitaire Dell Schema Extender fonctionne correctement, ne modifiez pas le nom ou le contenu de ce fichier.
  1. Cliquez sur Suivant sur l'écran d'accueil.

  2. Lisez l'avertissement et cliquez à nouveau sur Suivant.

  3. Sélectionnez Utiliser les références d'ouverture de session actuelles ou entrez un nom d'utilisateur et un mot de passe avec des droits d'administrateur de schéma.

  4. Cliquez sur Suivant pour exécuter Dell Schema Extender.

  5. Cliquez sur Terminer.

Pour vérifier l'extension de schéma, utilisez le snap-in de schéma d'Active Directory de la console Microsoft Management Console (MMC) pour vérifier l'existence des classes suivantes (répertoriées dans les tableau 8-1, tableau 8-6, tableau 8-7, tableau 8-9, tableau 8-10, tableau 8-11 et tableau 8-12) et des attributs suivants (répertoriés dans les tableau 8-13, tableau 8-14 et tableau 8-15). Consultez votre documentation Microsoft pour plus d'informations sur l'activation et l'utilisation du snap-in de schéma Active Directory dans le MMC.

Tableau 8-1. Définitions de classe pour les classes ajoutées au schéma Active Directory

Nom de classe

Numéro d'identification d'objet attribué (OID)

Type de classe

dellRacDevice

1.2.840.113556.1.8000.1280.1.1.1.1

Classe structurelle

dellAssociationObject

1.2.840.113556.1.8000.1280.1.1.1.2

Classe structurelle

dellRAC4Privileges

1.2.840.113556.1.8000.1280.1.1.1.3

Classe auxiliaire

dellPrivileges

1.2.840.113556.1.8000.1280.1.1.1.4

Classe structurelle

dellProduct

1.2.840.113556.1.8000.1280.1.1.1.5

Classe structurelle

dellRAC3Privileges

1.2.840.113556.1.8000.1280.1.1.1.6

Classe auxiliaire

dellOmsa2AuxClass

1.2.840.113556.1.8000.1280.1.2.1.1

Classe auxiliaire

dellOmsaApplication

1.2.840.113556.1.8000.1280.1.2.1.2

Classe structurelle

dellIta7AuxClass

1.2.840.113556.1.8000.1280.1.3.1.1

Classe auxiliaire

dellItaApplication

1.2.840.113556.1.8000.1280.1.3.1.2

Classe structurelle

Tableau 8-2. Classe dellRacDevice 

OID

1.2.840.113556.1.8000.1280.1.1.1.1

Description

Cette classe représente le périphérique RAC de Dell. Le périphérique RAC doit être configuré comme dellRacDevice dans Active Directory. Cette configuration permet au DRAC 4 d'envoyer des requêtes LDAP à Active Directory.

Type de classe

Classe structurelle

SuperClasses

dellProduct

Attributs

dellSchemaVersion

dellRacType

Tableau 8-3. Classe dellAssociationObject

OID

1.2.840.113556.1.8000.1280.1.1.1.2

Description

Cette classe représente l'objet Association Dell. L'objet Association fournit la connexion entre les utilisateurs et les périphériques ou les produits.

Type de classe

Classe structurelle

SuperClasses

Groupe

Attributs

dellProductMembers

dellPrivilegeMember

Tableau 8-4. Classe dellRAC4Privileges 

OID

1.2.840.113556.1.8000.1280.1.1.1.3

Description

Cette classe est utilisée pour définir les privilèges (droits d'autorisation) pour le périphérique DRAC 4.

Type de classe

Classe auxiliaire

SuperClasses

Aucune

Attributs

dellIsLoginUser

dellIsCardConfigAdmin

dellIsUserConfigAdmin

dellIsLogClearAdmin

dellIsServerResetUser

dellIsConsoleRedirectUser

dellIsVirtualMediaUser

dellIsTestAlertUser

dellIsDebugCommandAdmin

Tableau 8-5. Classe dellPrivileges 

OID

1.2.840.113556.1.8000.1280.1.1.1.4

Description

Cette classe est utilisée comme classe conteneur pour les privilèges Dell (droits d'autorisation).

Type de classe

Classe structurelle

SuperClasses

Utilisateur

Attributs

dellRAC4Privileges

dellRAC3Privileges

dellOmsaAuxClass

dellItaAuxClass

Tableau 8-6. Classe dellProduct

OID

1.2.840.113556.1.8000.1280.1.1.1.5

Description

Il s'agit de la classe principale à partir de laquelle tous les produits Dell sont dérivés.

Type de classe

Classe structurelle

SuperClasses

Ordinateur

Attributs

dellAssociationMembers

Tableau 8-7. Classe dellRAC3Privileges

OID

1.2.840.113556.1.8000.1280.1.1.1.6

Description

Cette classe est utilisée pour définir les privilèges (droits d'autorisation) pour les périphériques DRAC III, DRAC III/XT, ERA, ERA/O et ERA/MC.

Type de classe

Classe auxiliaire

SuperClasses

Aucune

Attributs

dellIsLoginUser

Tableau 8-8. Classe dellOmsa2AuxClass 

OID

1.2.840.113556.1.8000.1280.1.2.1.1

Description

Cette classe est utilisée pour définir les privilèges (droits d'autorisation) pour Server Administrator.

Type de classe

Classe auxiliaire

SuperClasses

Aucune

Attributs

dellOmsaIsReadOnlyUser

dellOmsaIsReadWriteUser

dellOmsaIsAdminUser

Tableau 8-9. Classe dellOmsaApplication 

OID

1.2.840.113556.1.8000.1280.1.2.1.2

Description

Cette classe représente l'application Server Administrator. Server Administrator doit être configuré comme dellOmsaApplication dans Active Directory. Cette configuration permet à l'application de Server Administrator d'envoyer des requêtes LDAP à Active Directory.

Type de classe

Classe structurelle

SuperClasses

dellProduct

Attributs

dellAssociationMembers

Tableau 8-10. Classe delllta7AuxClass

OID

1.2.840.113556.1.8000.1280.1.3.1.1

Description

Cette classe est utilisée pour définir les privilèges (droits d'autorisation) pour IT Assistant.

Type de classe

Classe auxiliaire

SuperClasses

Aucune

Attributs

dellItaIsReadOnlyUser

dellItaIsReadWriteUser

dellItaIsAdminUser

Tableau 8-11. Classe dellltaApplication 

OID

1.2.840.113556.1.8000.1280.1.3.1.2

Description

Cette classe représente l'application IT Assistant. IT Assistant doit être configuré comme dellItaApplication dans Active Directory. Cette configuration permet à IT Assistant d'envoyer des requêtes LDAP à Active Directory.

Type de classe

Classe structurelle

SuperClasses

dellProduct

Attributs

dellAssociationMembers

Tableau 8-12. Attributs généraux ajoutés au schéma Active Directory 

Nom/description de l'attribut

OID attribué/Identificateur d'objet de syntaxe

Valeur unique

dellPrivilegeMember

Liste des objets dellPrivilege qui appartiennent à cet Attribut.

1.2.840.113556.1.8000.1280.1.1.2.1

Nom distingué (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSE

dellProductMembers

Liste des objets dellRacDevices qui appartiennent à ce rôle. Cet attribut est le lien vers l'avant vers le lien arrière dellAssociationMembers.

ID de lien : 12070

1.2.840.113556.1.8000.1280.1.1.2.2

Nom distingué (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSE

dellAssociationMembers

Liste des objets dellAssociationObjectMembers qui appartiennent à ce Produit. Cet attribut est le lien vers l'arrière vers l'attribut dellProductMembers.

ID de lien : 12071

1.2.840.113556.1.8000.1280.1.1.2.14

Nom distingué (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSE

Tableau 8-13. Attributs spécifiques au RAC ajoutés au schéma Active Directory 

Nom/description de l'attribut

OID attribué/Identificateur d'objet de syntaxe

Valeur unique

dellIsLoginUser

TRUE (VRAI) si l'utilisateur a des droits d'ouverture de session sur le périphérique.

1.2.840.113556.1.8000.1280.1.1.2.3

Booléen (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsCardConfigAdmin

TRUE (VRAI) si l'utilisateur a des droits de configuration de carte sur le périphérique.

1.2.840.113556.1.8000.1280.1.1.2.4

Booléen (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsUserConfigAdmin

TRUE (VRAI) si l'utilisateur a des droits de configuration d'utilisateur sur le périphérique.

1.2.840.113556.1.8000.1280.1.1.2.5

Booléen (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

delIsLogClearAdmin

TRUE (VRAI) si l'utilisateur a des droits d'effacement de journal sur le périphérique.

1.2.840.113556.1.8000.1280.1.1.2.6

Booléen (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsServerResetUser

TRUE (VRAI) si l'utilisateur a des droits de réinitialisation de serveur sur le périphérique.

1.2.840.113556.1.8000.1280.1.1.2.7

Booléen (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsConsoleRedirectUser

TRUE (VRAI) si l'utilisateur a des droits de redirection de console sur le périphérique.

1.2.840.113556.1.8000.1280.1.1.2.8

Booléen (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsVirtualMediaUser

TRUE (VRAI) si l'utilisateur a des droits de média virtuel sur le périphérique.

1.2.840.113556.1.8000.1280.1.1.2.9

Booléen (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsTestAlertUser

TRUE (VRAI) si l'utilisateur a des droits d'alerte de test sur le périphérique.

1.2.840.113556.1.8000.1280.1.1.2.10

Booléen (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsDebugCommandAdmin

TRUE (VRAI) si l'utilisateur a des droits d'administration de commande de débogage sur ce périphérique.

1.2.840.113556.1.8000.1280.1.1.2.11

Booléen (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellSchemaVersion

La version de schéma courante est utilisée pour mettre à jour le schéma.

1.2.840.113556.1.8000.1280.1.1.2.12

Chaîne de caractères de non prise en compte de la casse
(LDAPTYPE_CASEIGNORESTRING
1.2.840.113556.1.4.905)

TRUE

dellRacType

Cet attribut est le type courant de RAC pour l'objet dellRacDevice et le lien vers l'arrière vers le lien vers l'avant dellAssociationObjectMembers.

1.2.840.113556.1.8000.1280.1.1.2.13

Chaîne de caractères de non prise en compte de la casse
(LDAPTYPE_CASEIGNORESTRING
1.2.840.113556.1.4.905)

TRUE

Tableau 8-14. Attributs spécifiques à Server Administrator ajoutés au schéma Active Directory 

Nom/description de l'attribut

OID attribué/Identificateur d'objet de syntaxe

Valeur unique

dellOmsaIsReadOnlyUser

TRUE si l'utilisateur a des droits de lecture seule dans Server Administrator

1.2.840.113556.1.8000.1280.1.2.2.1

Booléen (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellOmsaIsReadWriteUser

TRUE si l'utilisateur a des droits de lecture et d'écriture dans Server Administrator

1.2.840.113556.1.8000.1280.1.2.2.2

Booléen (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellOmsaIsAdminUser

TRUE si l'utilisateur a des droits d'administrateur dans Server Administrator

1.2.840.113556.1.8000.1280.1.2.2.3

Booléen (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

Tableau 8-15. Attributs spécifiques à IT Assistant ajoutés au schéma Active Directory

Nom/description de l'attribut

OID attribué/Identificateur d'objet de syntaxe

Valeur unique

dellItaIsReadWriteUser

TRUE si l'utilisateur a des droits de lecture et écriture dans IT Assistant

1.2.840.113556.1.8000.1280.1.3.2.1

Booléen (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellItaIsAdminUser

TRUE si l'utilisateur a des droits d'administrateur dans IT Assistant

1.2.840.113556.1.8000.1280.1.3.2.2

Booléen (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellItaIsReadOnlyUser

TRUE si l'utilisateur a des droits de lecture seule dans IT Assistant

1.2.840.113556.1.8000.1280.1.3.2.3

Booléen (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

Utilisateurs Active Directory et Snap-In d'ordinateur

Installation de l'extension Dell au snap-in utilisateurs et ordinateurs Active Directory

Quand vous étendez le schéma dans Active Directory, vous devez aussi étendre le snap-in utilisateurs et ordinateurs Active Directory pour que l'administrateur puisse gérer les Produits, les Utilisateurs et Groupes d'utilisateurs, les Associations et les Privilèges. Il suffit d'étendre le snap-in une seule fois, même si vous avez ajouté plus d'une extension de schéma. Vous devez installer le snap-in sur chaque système que vous avez l'intention d'utiliser pour gérer ces objets. L'extension Dell au snap-in utilisateurs et ordinateurs Active Directory est une option qui peut être installée quand vous installez vos logiciels Systems Management Software en utilisant le CD Dell PowerEdge Installation and Server Management.

REMARQUE : Vous devez installer Administrator Pack sur chaque station de gestion qui gère les nouveaux objets Active Directory. L'installation est décrite dans la section suivante « Ouverture du snap-in Utilisateurs et ordinateurs d'Active Directory ». Si vous n'installez pas Administrator Pack, vous ne pourrez pas afficher le nouvel objet dans le conteneur.
REMARQUE : Pour plus d'informations le snap-in utilisateurs et ordinateurs Active Directory, consultez votre documentation Microsoft.

Ouverture du snap-in utilisateurs et ordinateurs Active Directory

Pour ouvrir le snap-in utilisateurs et ordinateurs Active Directory, effectuez les étapes suivantes :

  1. Si vous êtes sur le contrôleur de domaine, cliquez sur Démarrer Outils d'administration ® Utilisateurs et ordinateurs Active Directory. Si vous n'êtes pas sur le contrôleur de domaine, vous devez avoir un Administrator Pack de Microsoft approprié installé sur votre système local. Pour l'installer, cliquez sur Démarrer®Exécuter, tapez MMC et appuyez sur Entrée.

la fenêtre console de gestion Microsoft (MMC) s'ouvre.

  1. Cliquez sur Fichier (ou sur Console sur les systèmes fonctionnant sous Windows 2000) dans la fenêtre Console 1.

  2. Cliquez sur Ajouter/Supprimer un snap-in.

  3. Sélectionnez le snap-in Utilisateurs et ordinateurs Active Directory et cliquez sur Ajouter.

  4. Cliquez sur Fermer et cliquez sur OK.

Ajout d'utilisateurs et de privilèges à Active Directory

Le snap-in utilisateurs et ordinateurs Active Directory étendu par Dell vous permet d'ajouter des utilisateurs et des privilèges pour DRAC, Server Administrator et IT Assistant en créant des objets RAC, Association et Privilège. Pour ajouter un objet, effectuez les étapes dans la sous-section qui s'applique.

Création d'un objet Produit

REMARQUE : Les utilisateurs de Server Administrator et d'IT Assistant doivent utiliser les groupes de produit universels pour répartir les domaines avec leurs objets produits.
REMARQUE : Lorsque vous ajoutez des groupes de produits de type universel provenant de domaines séparés, vous devez créer un objet Association avec une étendue universelle.Les objets Association par défaut créés par l'utilitaire Dell Schema Extender sont des groupes locaux du domaine et ne fonctionneront pas avec les groupes de produits de type universel d'autres domaines.

Dans la fenêtre Racine de la console (MMC), cliquez-droite sur un conteneur.

  1. Sélectionnez Nouveau.

  2. Sélectionnez un objet RAC, Server Administrator ou IT Assistant, selon ce que vous avez installé.

La fenêtre Nouvel objet s'ouvre.

  1. Tapez un nom pour le nouvel objet. Ce nom doit concorder avec le nom de produit Active Directory, comme indiqué dans la section « Configuration d'Active Directory avec la CLI sur un système exécutant Server Administrator » ou, pour un périphérique RAC, le nom que vous taperez à l'étape 4 de « Configuration de vos systèmes ou périphériques » ou, pour IT Assistant, le nom indiqué dans « Configuration d'Active Directory sur un système exécutant IT Assistant ».

  2. Sélectionnez l'objet Produit approprié.

  3. Cliquez sur OK.

Création d'un objet Privilège

Les objets Privilège doivent être créés dans le même domaine que les objets Association auxquels ils sont associés.

  1. Dans la fenêtre Racine de la console (MMC), cliquez-droite sur un conteneur.

  2. Sélectionnez Nouveau.

  3. Sélectionnez un objet RAC, Server Administrator ou IT Assistant, selon ce que vous avez installé.

La fenêtre Nouvel objet s'ouvre.

  1. Tapez un nom pour le nouvel objet.

  2. Sélectionnez l'objet Privilège approprié.

  3. Cliquez sur OK.

  4. Cliquez-droite sur l'objet Privilège que vous avez créé et sélectionnez Propriétés.

  5. Cliquez sur l'onglet Privilèges approprié et sélectionnez les privilèges que vous voulez attribuer à l'utilisateur (pour plus d'informations, consultez le tableau 8-1 et le tableau 8-10).

Création d'un objet Association

L'objet Association est dérivé d'un groupe et doit contenir un type de groupe. L'étendue de l'association spécifie le type de groupe de sécurité pour l'objet Association. Quand vous créez un objet Association, vous devez choisir l'étendue d'Association qui s'applique au type des objets que vous avez l'intention d'ajouter. Le fait de sélectionner Universel, par exemple, signifie que les objets Association sont disponibles uniquement quand le domaine d'Active Directory fonctionne en mode natif ou supérieur.

  1. Dans la fenêtre Racine de la console (MMC), cliquez-droite sur un conteneur.

  2. Sélectionnez Nouveau.

  3. Sélectionnez un objet RAC, Server Administrator ou IT Assistant, selon ce que vous avez installé.

La fenêtre Nouvel objet s'ouvre.

  1. Tapez un nom pour le nouvel objet.

  2. Sélectionnez objet Association.

  3. Sélectionnez l'étendue de l'objet Association.

  4. Cliquez sur OK.

Ajout d'objets à un objet Association

En utilisant la fenêtre des Propriétés de l'objet Association, vous pouvez associer des utilisateurs ou des groupes d'utilisateurs, des objets Privilège, des systèmes, des périphériques RAC et des groupes de systèmes ou de périphériques.

REMARQUE : Les utilisateurs de RAC doivent utiliser des Groupes universels pour répartir les domaines avec leurs utilisateurs ou objets RAC.

Vous pouvez ajouter des groupes d'utilisateurs et de produits. Vous pouvez créer des groupes liés à Dell de la même façon que vous avez créé d'autres groupes.

Pour ajouter des utilisateurs ou des groupes d'utilisateurs :

  1. Cliquez-droite sur l'objet Association et sélectionnez Propriétés.

  2. Sélectionnez l'onglet Utilisateurs et cliquez sur Ajouter.

  3. Tapez le nom de l'utilisateur ou du groupe d'utilisateurs ou naviguez pour en sélectionner un et cliquez sur OK.

Cliquez sur l'onglet objet Privilège pour ajouter l'objet Privilège à l'association qui définit les privilèges de l'utilisateur ou du groupe d'utilisateurs durant l'authentification auprès d'un système.

REMARQUE : Vous ne pouvez ajouter qu'un objet Privilège à un objet Association.

Pour ajouter un privilège :

  1. Sélectionnez l'onglet Objet Privilèges et cliquez sur Ajouter.

  2. Tapez le nom de l'objet Privilège ou parcourez la liste pour en sélectionner un et cliquez sur OK.

Cliquez sur l'onglet Produits pour ajouter un ou plusieurs systèmes ou périphériques à l'association. Les objets associés spécifient les produits connectés au réseau qui sont disponibles pour les utilisateurs et les groupes d'utilisateurs définis.

REMARQUE : Vous pouvez ajouter plusieurs systèmes ou périphériques RAC à un objet Association.

Pour ajouter des produits :

  1. Sélectionnez l'onglet Produits et cliquez sur Ajouter.

  2. Tapez le nom du système, du périphérique ou du groupe et cliquez sur OK.

  3. Dans la fenêtre Propriétés, cliquez sur Appliquer puis sur OK.

Activation de SSL sur un contrôleur de domaine (RAC seulement)

Si vous prévoyez d'utiliser le CA racine Microsoft Enterprise pour attribuer automatiquement des certificats SSL à tous vos contrôleurs de domaine, vous devez effectuer les étapes suivantes pour activer SSL sur chacun des contrôleurs de domaine.

  1. Installez un CA racine Microsoft Enteprise sur un contrôleur de domaine.

    1. Sélectionnez Démarrer ® Panneau de configuration ® Ajoute ou suppression de programmes.

    1. Sélectionnez Ajouter/Supprimer des composants Windows.

    2. Dans l'assistant Composants Windows, sélectionnez la case à cocher Services de certificat.

    3. Sélectionnez CA racine Enterprise comme Type de CA et cliquez sur Suivant.

    4. Entrez un Nom de domaine pour ce CA, cliquez sur Suivant puis sur Terminer.

  2. Activez SSL sur chacun de vos contrôleurs de domaine en installant le certificat SSL pour chaque contrôleur.

    1. Cliquez sur Démarrer ® Outils d'administration ® Règles de sécurité du domaine.

    1. Développez le dossier Stratégies de clé publique, cliquez-droite sur Paramètres de demande automatique de certificat et cliquez sur Demande automatique de certificat.

    2. Dans l'Assistant Création de demandes automatiques de certificats, cliquez sur Suivant et sélectionnez Contrôleur de domaine.

    3. Cliquez sur Suivant et cliquez sur Terminer.

Exportation du certificat CA racine du contrôleur de domaine (RAC seulement)

REMARQUE : Les étapes suivantes peuvent être légèrement différentes si vous utilisez Windows 2000.
  1. Allez sur le contrôleur de domaine sur lequel vous avez installé le service de CA Microsoft Enterprise.

  2. Cliquez sur Démarrer ® Exécuter.

  3. Tapez mmc et cliquez sur OK.

  4. Dans la fenêtre Console 1 (MMC), cliquez sur Fichier (ou Console sur les systèmes Windows 2000) et sélectionnez Ajouter/Supprimer un snap-in.

  5. Dans la fenêtre Ajouter/Supprimer un Snap-in, cliquez sur Ajouter.

  6. Dans la fenêtre Snap-in autonome, sélectionnez Certificats et cliquez sur Ajouter.

  7. Sélectionnez le compte Ordinateur et cliquez sur Suivant.

  8. Sélectionnez Ordinateur local et cliquez sur Terminer.

  9. Cliquez sur OK.

  10. Dans la fenêtre Console 1, développez le dossier Certificats, puis le dossier Personnel et cliquez sur le dossier Certificats.

  11. Repérez et cliquez-droite sur le certificat CA racine, sélectionnez Toutes les tâches et cliquez sur Exporter....

  12. Dans l'Assistant Exportation de certificat, cliquez sur Suivant et sélectionnez Ne pas exporter la clé privée.

  13. Cliquez sur Suivant et sélectionnez Codé à base 64 X.509 (.cer) comme format.

  14. Cliquez sur Suivant et enregistrez le certificat dans un emplacement de votre choix. Vous devrez télécharger ce certificat sur le DRAC 4. Pour ce faire, allez dans l'interface Web du DRAC 4 ®, l'onglet Configuration ®, la page Active Directory Vous pouvez aussi utiliser les commandes de ligne de commande racadm (consultez la section Configuration des paramètres Active Directory du DRAC 4 avec la CLI racadm).

  15. Cliquez sur Terminer et cliquez sur OK.

Importation du certificat SLL du micrologiciel du DRAC 4 dans les listes de certificats de confiance de tous les contrôleurs de domaine

REMARQUE : Si le certificat SSL du micrologiciel du DRAC 4 est signé par une CA connue, il n'est pas nécessaire d'effectuer les étapes décrites dans cette section.
REMARQUE : Les étapes suivantes peuvent être légèrement différentes si vous utilisez Windows 2000.
  1. Le certificat SSL du DRAC 4 est le même certificat que celui utilisé pour le Web Server du DRAC 4. Tous les contrôleurs DRAC 4 sont livrés avec un certificat auto-signé par défaut. Vous pouvez obtenir ce certificat du DRAC 4 en sélectionnant Importer le certificat de serveur DRAC 4 (reportez-vous à l'onglet Configuration de l'interface Web du DRAC 4 et au sous-onglet Active Directory).

  2. Sur le contrôleur de domaine, ouvrez une fenêtre Console MMC et sélectionnez Certificats ®Autorités de certification racines fiables .

  3. Cliquez-droite sur Certificats, sélectionnez Toutes les tâches et cliquez sur Importer.

  4. Cliquez sur Suivant et naviguez pour sélectionner le fichier de certificat SSL.

  5. Installez le certificat SSL de RAC dans chaque Autorité de certification racine de confiance de contrôleur de domaine.

Si vous avez installé votre propre certificat, assurez-vous que la CA qui signe votre certificat est dans liste des Autorités de certification racines de confiance. Si la CA n'est pas dans la liste, vous devez l'installer sur tous vos contrôleurs de domaine.

  1. Cliquez sur Suivant et choisissez si vous voulez que Windows sélectionne automatiquement le magasin de certificats en fonction du type de certificat, ou sélectionnez un magasin de votre choix.

  2. Cliquez sur Terminer et cliquez sur OK.

Configuration de vos systèmes ou de vos périphériques

Pour des instructions sur la manière de configurer votre système Server Administrator ou IT Assistant en utilisant des commandes de CLI, consultez les sections « Configuration d'Active Directory avec la CLI sur un système exécutant Server Administrator » et « Configuration d'Active Directory sur un système exécutant IT Assistant ». Pour les utilisateurs de DRAC, il y a deux façons de configurer le DRAC 4. Consultez la section « Configuration du DRAC 4 en utilisant l'interface Web » ou la section « Configuration des paramètres Active Directory du DRAC 4 avec la CLI racadm ».

REMARQUE : Les systèmes sur lesquels Server Administrator et/ou IT Assistant sont installés doivent faire partie du domaine d'Active Directory et doivent aussi avoir des comptes d'ordinateur sur le domaine.

Configuration d'Active Directory avec la CLI sur un système exécutant Server Administrator

Vous pouvez utiliser la commande omconfig preferences dirservice pour configurer le service Active Directory. Le fichier productoem.ini est modifié pour refléter ces changements. Si adproductname n'est pas présent dans le fichier product oem.ini , un nom par défaut sera attribué. La valeur par défaut est nom du système-nom du produit logiciel, où nom du système est le nom du système qui exécute Server Administrator et nom du produit logiciel est le nom du produit logiciel défini dans omprv32.ini (c'est à dire nom de l'ordinateur-omsa).

REMARQUE : Cette commande s'applique uniquement sur les systèmes exécutant le système d'exploitation Windows.
REMARQUE : Redémarrez le service Server Administrator après avoir configuré Active Directory.

Le tableau 8-16 montre les paramètres valides de la commande.

Tableau 8-16. Paramètres de configuration du service Active Directory

paire nom=valeur

Description

prodname=<texte>

Spécifie le produit logiciel auquel vous voulez appliquer les changements de configuration Active Directory. Prodname correspond au nom du produit défini dans omprv32.ini. Pour Server Administrator, c'est omsa.

enable=<true | false>

true : Active la prise en charge de l'authentification du service Active Directory.

false : Désactive la prise en charge de l'authentification du service Active Directory.

adprodname=<texte>

Spécifie le nom du produit tel que défini dans le service Active Directory. Ce nom est un lien vers le produit avec les données de privilège Active Directory pour l'authentification des utilisateurs.

Configuration d'Active Directory sur un système exécutant IT Assistant

Par défaut, le nom de produit d'Active Directory correspond au nom_d_ordinateur-ita, où nom_d_ordinateur est le nom du système sur lequel IT Assistant est installé. Pour configurer un nom différent , trouvez le fichier itaoem.ini dans votre répertoire d'installation. Modifiez le fichier pour ajouter la ligne « adproductname=texte> », où texte est le nom de l'objet du produit que vous avez créé dans Active Directory. Par exemple, le fichier itaoem.ini contiendra la syntaxe suivante si le nom de produit d'Active Directory est configuré sur mgmtStationITA.

productname=IT Assistant
startmenu=Dell OpenManage Applications
autdbid=ita
accessmask=3
startlink=ITAUIServlet
adsupport=true
adproductname=mgmtStationITA

REMARQUE : Redémarrez les services IT Assistant après avoir enregistré le fichier itaoem.ini sur le disque.

Configuration du DRAC 4 en utilisant l'interface Web

  1. Ouvrez une session sur l'interface Web en utilisant l'utilisateur par défaut, « root », et son mot de passe.

  2. Cliquez sur l'onglet Configuration et sélectionnez l'Active Directory.

  3. Sélectionnez la case à cocher Activer Active Directory.

  4. Tapez le Nom du DRAC 4. Ce nom doit être le même que le nom de domaine de l'objet RAC que vous avez créé dans votre contrôleur de domaine (consultez la section « Installation de l'extension Dell au snap-in utilisateurs et ordinateurs Active Directory »).

  5. Tapez le Nom de domaine racine. Le Nom de domaine racine est le nom de domaine racine pleinement qualifié de la forêt.

  6. Tapez le Nom de domaine du DRAC 4 (par exemple, drac4.com). N'utilisez pas le nom NetBIOS. Le Nom de domaine du DRAC 4 est le nom de domaine pleinement qualifié du sous-domaine où l'objet périphérique RAC se trouve.

  7. Cliquez sur Appliquer pour enregistrer les paramètres Active Directory.

  8. Cliquez sur Exporter le certificat de CA d'Active Directory pour télécharger votre certificat CA racine de forêt de domaines dans le DRAC 4. Vos certificats SSL de contrôleurs de domaine de forêt de domaine doivent avoir signé ce certificat CA racine. Assurez-vous que vous disposez du certificat CA racine sur votre système local (consultez la section « Exportation du certificat CA racine du contrôleur de domaine (RAC seulement) »). Spécifiez le chemin complet et le nom de fichier du certificat CA racine et cliquez sur Télécharger pour télécharger le certificat CA racine dans le micrologiciel du DRAC 4. Le Web Server du DRAC 4 redémarre automatiquement après que vous avez cliqué sur Télécharger. Vous devez ouvrir une nouvelle session pour terminer la configuration de la fonctionnalité Active Directory du DRAC 4.

  9. Cliquez sur l'onglet Configuration et sélectionnez Réseau.

  10. Si DHCP de la carte NIC du DRAC4 est activé, cochez Utiliser DHCP pour obtenir l'adresse du serveur DNS. Si vous voulez entrer une adresse IP de serveur DNS manuellement, décochez Utiliser DHCP pour obtenir l'adresse du serveur DNS et entrez vos adresses IP de serveur DNS principale et secondaire.

  11. Cliquez sur Appliquez pour terminer la configuration de la fonctionnalité Active Directory du DRAC 4.

Configuration des paramètres d'Active Directory du DRAC 4 avec la CLI racadm

Utilisez les commandes suivantes pour configurer la fonctionnalité Active Directory du DRAC 4 en utilisant la CLI racadm au lieu de l'interface Web.

  1. Ouvrez une invite de commande et tapez les commandes racadm suivantes :

racadm config -g cfgActiveDirectory -o cfgADEnable 1
racadm config -g cfgActiveDirectory -o cfgADRacDomain <
nom de domaine rac complètement qualifié>
racadm config -g cfgActiveDirectory -o cfgADRootDomain <
nom de domaine racine complètement qualifié>
racadm config -g cfgActiveDirectory -o cfgADRacName <
nom commun RAC>
racadm sslcertupload -t 0x2 -f <
certificat d'autorité de certification racine ADS>
racadm sslcertdownload -t 0x1 -f <
certificat SSL RAC>

  1. Si DHCP est activé sur le DRAC 4 et que vous souhaitez utiliser le nom DNS fourni par le serveur DHCP, tapez la commande suivante :

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1

  1. Si DHCP est désactivé sur le DRAC 4, ou que vous souhaitez entrer manuellement vos adresses IP DNS, tapez les commandes suivantes :

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <
adresse IP DNS primaire>
racadm config -g cfgLanNetworking -o cfgDNSServer2
<adresse IP DNS secondaire>

  1. Appuyez sur Entrée pour terminer la configuration de la fonctionnalité Active Directory du DRAC 4.

Consultez le Guide d'utilisation du Dell Remote Access Controller 4 pour des informations supplémentaires.


Retour à la page du sommaire