返回目录页

使用 Microsoft® Active Directory®

Dell OpenManage™ 5.1 版安装和安全性用户指南

  控制对网络的访问

  扩展 Active Directory 架构



控制对网络的访问

如果使用 Active Directory 服务软件,可以配置它以控制对网络的访问。 Dell 修改了 Active Directory 数据库以支持远程管理身份验证和授权。 Dell OpenManage™ IT Assistant 和 Dell OpenManage Server Administrator 以及 Dell™ Remote Access Controller 现在可以与 Active Directory 交互。 借助此工具,可以从一个中央数据库添加并控制用户和权限。

注:在 Microsoft Windows® 2000 和 Windows Server™ 2003 操作系统上支持使用 Active Directory 识别 Dell Remote Access Controller (DRAC)、IT Assistant 或 Server Administrator 用户。

Active Directory 架构扩展

Active Directory 数据存放在一个“Attributes”(属性)“Classes”(类)的分布式数据库中。 一种 Active Directory“Class”(类)的示例为“User”(用户)类。 一些用户类的示例“Attributes”(属性)可为用户的名、姓和电话号码等。 每个添加到现有 Active Directory 架构的“Attribute”(属性)“Class”(类)都必须定义有一个唯一 ID。 要在整个业界中保证唯一 ID,Microsoft 维护着一个 Active Directory 对象标识符 (OID) 数据库。

Active Directory 架构定义了规定哪些数据可以包括在数据库中的规则。 要扩展 Active Directory 中的架构,Dell 为目录服务中的新属性和类申请了唯一 OID、唯一名称扩展和唯一链接属性 ID。

Dell 扩展是: dell

Dell 基础 OID 是: 1.2.840.113556.1.8000.1280

Dell LinkID 范围是: 12070 到 12079

Microsoft 维护的 Active Directory OID 数据库可以在 msdn.microsoft.com/certification/ADAcctInfo.asp 通过输入我们的扩展名 dell 进行查看。

Active Directory 架构扩展概览

Dell 创建了类或对象组,可以由用户配置以满足特定需求。 架构中的新类包括关联、产品和权限类。 关联对象将用户或组链接到一组给定的权限以及网络中的系统(产品对象)。 这种模式使管理员能够控制网络上各种组合的用户、权限和系统或 RAC 设备,而不增加复杂性。

Active Directory 对象概览

对于每一个想与 Active Directory 集成以进行验证和授权的系统来说,必须创建至少一个关联对象和一个产品对象。 产品对象代表系统。 关联对象将其与用户和权限相链接。 可以根据需要创建任意多个关联对象。

每个关联对象都可以链接到任意多个用户、用户组和产品对象。 用户和产品对象可以来自任何域。 不过,每个关联对象只能链接到一个权限对象。 此行为使管理员能够控制哪些用户对于特定系统具有什么样的权限。

产品对象将系统链接到 Active Directory 以进行验证和授权查询。 将系统添加到网络后,管理员必须使用 Active Directory 名称配置系统及其产品对象以便用户可以使用 Active Directory 执行验证和授权。 管理员还必须将系统添加到至少一个关联对象以使用户能够验证。

图 8-1 说明关联对象提供了进行所有验证和授权所需的连接。

图 8-1. Active Directory 对象的典型设置

此外,可以在一个域或多个域中设置 Active Directory 对象。 在一个域中设置对象并没有什么不同,无论是设置 RAC、Server Administrator,还是 IT Assistant 对象。 不过,涉及到多个域时,就有些不同了。

比如,您有两个 DRAC 4 卡(RAC1 和 RAC2)以及三个现有 Active Directory 用户(用户 1、用户 2 和用户 3)。 想给用户 1 和用户 2 对两个 DRAC 4 卡的管理员权限,而给用户 3 对 RAC2 卡的登录权限。 图 8-2 显示了如何在此情况下设置 Active Directory 对象。

图 8-2. 在一个域中设置 Active Directory 对象

要为一个域的情况设置对象,应执行以下任务:

  1. 创建两个关联对象。

  2. 创建两个 RAC 产品对象(RAC1 和 RAC2)来表示这两个 DRAC 4 卡。

  3. 创建两个权限对象(权限 1 和权限 2),其中权限 1 具有所有权限(管理员),而权限 2 具有登录权限。

  4. 将用户 1 和用户 2 分组到组 1。

  5. 将组 1 添加为关联对象 1 (AO1) 的成员,权限 1 作为 AO1 中的权限对象,而 RAC1 和 RAC2 作为 AO1 中的RAC 产品。

  6. 将用户 3 添加为关联对象 2 (AO2) 的成员,权限 2 作为 AO2 中的权限对象,而 RAC2 作为 AO2 中的 RAC 产品。

请参阅“将用户和权限添加到 Active Directory”了解详细指导。

图 8-3 显示了如何在 RAC 的多个域中设置 Active Directory 对象。 在这种情况下,假如您有两个 DRAC 4 卡(RAC1 和 RAC2)以及三个现有 Active Directory 用户(用户 1、用户 2 和用户 3)。 用户 1 位于域 1,不过用户 2 和用户 3位于域 2。 想给用户 1 和用户 2 对 RAC1 和 RAC2 卡的管理员权限,而给用户 3 对 RAC2 卡的登录权限。

图 8-3. 在多个域中设置 RAC Active Directory 对象

要为此多个域的情况设置对象,应执行以下任务:

  1. 确保域目录林功能处在本机或 Windows 2003 模式。

  2. 在任何域中创建两个关联对象 AO1(通用范围)和 AO2。 此图显示了域 2 中的对象。

  3. 创建两个 RAC 设备对象(RAC1 和 RAC2)来表示这两个远程系统。

  4. 创建两个权限对象(权限 1 和权限 2),其中权限 1 具有所有权限(管理员),而权限 2 具有登录权限。

  5. 将用户 1 和用户 2 分组到组 1。组 1 的组范围必须是通用。

  6. 将组 1 添加为关联对象 1 (AO1) 的成员,权限 1 作为 AO1 中的权限对象,而 RAC1 和 RAC2 作为 AO1 中的产品。

  7. 将用户 3 添加为关联对象 2 (AO2) 的成员,权限 2 作为 AO2 中的权限对象,而 RAC2 作为 AO2 中的产品。

对于 Server Administrator 或 IT Assistant,在另一方面,一个关联中的用户可以位于不同的域中,而无需添加到通用组中。 以下是一个非常相似的示例,显示不同域中的 Server Administrator 或 IT Assistant 系统如何影响目录对象的设置。 除了 RAC 设备,将有两个运行 Server Administrator 的系统(Server Administrator 产品系统 1 和系统 2)。 系统 1 和系统 2 位于不同的域中。 可以使用 Active Directory 中任何现有用户或组。 图 8-4 显示了如何为此示例设置 Server Administrator Active Directory 对象。

图 8-4. 在多个域中设置 Server Administrator Active Directory 对象

要为此多个域的情况设置对象,应执行以下任务:

  1. 确保域目录林功能处在本机或 Windows 2003 模式。

  2. 在任意域中创建两个关联对象(AO1 和 AO2)。 此图显示了域 1 中的对象。

  3. 创建两个 Server Administrator 产品(系统 1 和系统 2)来表示两个系统。 系统 1 位于域 1 而系统 2 位于域 2 中。

  4. 创建两个权限对象(权限 1 和权限 2),其中权限 1 具有所有权限(管理员),而权限 2 具有登录权限。

  5. 将系统 2 分组到组 1。 组 1 的组范围必须是通用。

  6. 将用户 1 和用户 2 添加为关联对象 1 (AO1) 的成员,权限 1 作为 AO1 中的权限对象,而系统 1 和组 1 作为 AO1 中的产品。

  7. 将用户 3 添加为关联对象 2 (AO2) 的成员,权限 2 作为 AO2 中的权限对象,而组 1 作为 AO2 中的产品。

请注意在本情况下每个关联对象都不需要是通用范围。

配置 Active Directory 访问系统

在使用 Active Directory 访问系统前,必须配置好 Active Directory 软件和系统。

  1. 扩展 Active Directory 架构(请参阅“扩展 Active Directory 架构”)。

  2. 扩展 Active Directory 用户和计算机管理单元(请参阅“安装 Dell 对 Active Directory 用户和计算机管理单元的扩展”)。

  3. 将系统用户及其权限添加到 Active Directory(请参阅“将用户和权限添加到 Active Directory”)。

  4. 仅对于 RAC 系统,在各个域控制器上启用 SSL(请参阅“在域控制器上启用 SSL(仅限 RAC)”)。

  5. 使用基于 Web 的界面或 CLI 配置系统的 Active Directory 属性(请参阅“配置系统或设备”)。


扩展 Active Directory 架构

可以使用 RAC、Server Administrator 和 IT Assistant 架构扩展。 只需为要使用的软件或硬件扩展架构。 必须单独应用每个扩展以得到其软件特定设置的好处。 扩展 Active Directory 架构将会为架构添加架构类和属性、示例权限和关联对象,以及 Dell 组织单元。

注:扩展架构前,必须在域目录林的架构主灵活单主机操作 (FSMO) 角色物主上拥有“Schema Admin”(架构管理员)权限。

可以用两种不同方法扩展架构。 可以使用 Dell Schema Extender 公用程序,或者可使用轻型目录交换格式 (LDIF) 脚本文件。

注:如果使用 LDIF 脚本文件,将不会添加 Dell 组织单元。

LDIF 脚本文件和 Dell Schema Extender 位于 Dell PowerEdge™ Installation and Server Management CD 的以下相应目录中:

安装类型将是 RAC4、RAC3、Server Administrator 或 IT Assistant 7.0 或更高版本,具体取决于架构扩展的选择。

要使用 LDIF 文件,请参阅 LDIF 文件目录中自述文件的说明。 要使用 Dell Schema Extender 扩展 Active Directory 架构,执行“使用 Dell Schema Extender”中的步骤。

可以从任意位置复制并运行 Schema Extender 或 LDIF 文件。

使用 Dell Schema Extender

注意:Dell Schema Extender 使用 SchemaExtenderOem.ini 文件。 要确保 Dell Schema Extender 公用程序运作正常,请勿修改此文件的名称或内容。
  1. 单击“Welcome”(欢迎)屏幕上的 “Next”(下一步)。

  2. 阅读警告并再次单击“Next”(下一步)

  3. 既可以选择“Use Current Log In Credentials”(使用当前登录凭据)也可以输入具有架构管理员权限的用户名和密码。

  4. 单击“Next”(下一步)运行 Dell Schema Extender。

  5. 单击“Finish”(完成)

要验证架构扩展,使用 Microsoft Management Console (MMC) 中的 Active Directory 架构管理单元来验证是否存在以下分类(列于表 8-1表 8-6表 8-7表 8-9表 8-10表 8-11表 8-12 中)和属性(列在表 8-13表 8-14表 8-15中)。 请参阅 Microsoft 说明文件详细了解如何在 MMC 中启用并使用 Active Directory 架构管理单元。

表 8-1. 添加到 Active Directory 架构类的类定义

类名称

分配的对象标识号 (OID)

类的类型

dellRacDevice

1.2.840.113556.1.8000.1280.1.1.1.1

结构类

dellAssociationObject

1.2.840.113556.1.8000.1280.1.1.1.2

结构类

dellRAC4Privileges

1.2.840.113556.1.8000.1280.1.1.1.3

辅助类

dellPrivileges

1.2.840.113556.1.8000.1280.1.1.1.4

结构类

dellProduct

1.2.840.113556.1.8000.1280.1.1.1.5

结构类

dellRAC3Privileges

1.2.840.113556.1.8000.1280.1.1.1.6

辅助类

dellOmsa2AuxClass

1.2.840.113556.1.8000.1280.1.2.1.1

辅助类

dellOmsaApplication

1.2.840.113556.1.8000.1280.1.2.1.2

结构类

dellIta7AuxClass

1.2.840.113556.1.8000.1280.1.3.1.1

辅助类

dellItaApplication

1.2.840.113556.1.8000.1280.1.3.1.2

结构类

表 8-2. dellRacDevice 类 

OID

1.2.840.113556.1.8000.1280.1.1.1.1

说明

这种类表示 Dell RAC 设备。 RAC 设备必须在 Active Directory 中配置为 dellRacDevice。 此配置启用 DRAC 4 将 LDAP 查询发送到 Active Directory。

类的类型

结构类

超类

dellProduct

属性

dellSchemaVersion

dellRacType

表 8-3. dellAssociationObject 类

OID

1.2.840.113556.1.8000.1280.1.1.1.2

说明

这种类表示 Dell 关联对象。 关联对象提供了用户和设备或产品之间的连接。

类的类型

结构类

超类

属性

dellProductMembers

dellPrivilegeMember

表 8-4. dellRAC4Privileges 类 

OID

1.2.840.113556.1.8000.1280.1.1.1.3

说明

这种类用于为 DRAC 4 设备定义权限(授权权限)。

类的类型

辅助类

超类

属性

dellIsLoginUser

dellIsCardConfigAdmin

dellIsUserConfigAdmin

dellIsLogClearAdmin

dellIsServerResetUser

dellIsConsoleRedirectUser

dellIsVirtualMediaUser

dellIsTestAlertUser

dellIsDebugCommandAdmin

表 8-5. dellPrivileges 类 

OID

1.2.840.113556.1.8000.1280.1.1.1.4

说明

这种类用作 Dell 权限(授权权限)的容器类。

类的类型

结构类

超类

用户

属性

dellRAC4Privileges

dellRAC3Privileges

dellOmsaAuxClass

dellItaAuxClass

表 8-6. dellProduct 类

OID

1.2.840.113556.1.8000.1280.1.1.1.5

说明

这是所有 Dell 产品所派生的主类。

类的类型

结构类

超类

计算机

属性

dellAssociationMembers

表 8-7. dellRAC3Privileges 类

OID

1.2.840.113556.1.8000.1280.1.1.1.6

说明

这种类用于为 DRAC III、DRAC III/XT、ERA、ERA/O 和 ERA/MC 设备定义权限(授权权限)。

类的类型

辅助类

超类

属性

dellIsLoginUser

表 8-8. dellOmsa2AuxClass 类 

OID

1.2.840.113556.1.8000.1280.1.2.1.1

说明

这种类用于为 Server Administrator 定义权限(授权权限)。

类的类型

辅助类

超类

属性

dellOmsaIsReadOnlyUser

dellOmsaIsReadWriteUser

dellOmsaIsAdminUser

表 8-9. dellOmsaApplication 类 

OID

1.2.840.113556.1.8000.1280.1.2.1.2

说明

这种类代表 Server Administrator 应用程序。 Server Administrator 必须在 Active Directory 中配置为 dellOmsaApplication。 此配置启用 Server Administrator 应用程序将 LDAP 查询发送到 Active Directory。

类的类型

结构类

超类

dellProduct

属性

dellAssociationMembers

表 8-10. dellIta7AuxClass 类

OID

1.2.840.113556.1.8000.1280.1.3.1.1

说明

这种类用于为 IT Assistant 定义权限(授权权限)。

类的类型

辅助类

超类

属性

dellItaIsReadOnlyUser

dellItaIsReadWriteUser

dellItaIsAdminUser

表 8-11. dellItaApplication 类 

OID

1.2.840.113556.1.8000.1280.1.3.1.2

说明

这种类代表 IT Assistant 应用程序。 IT Assistant 必须在 Active Directory 中配置为 dellItaApplication。 此配置启用 IT Assistant 将 LDAP 查询发送到 Active Directory。

类的类型

结构类

超类

dellProduct

属性

dellAssociationMembers

表 8-12. 添加到 Active Directory 架构的常规属性 

属性名称/说明

分配的 OID/语法对象标识符

单值

dellPrivilegeMember

列出属于此属性的 dellPrivilege 对象。

1.2.840.113556.1.8000.1280.1.1.2.1

可分辨名称 (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSE

dellProductMembers

列出属于此角色的 dellRacDevices 对象。 此属性是到 dellAssociationMembers 后退链接的前进链接。

链接 ID: 12070

1.2.840.113556.1.8000.1280.1.1.2.2

可分辨名称 (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSE

dellAssociationMembers

属于此产品的 dellAssociationObjectMembers 的列表。 此属性是到 dellProductMembers 链接属性的后退链接。

链接 ID: 12071

1.2.840.113556.1.8000.1280.1.1.2.14

可分辨名称 (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSE

表 8-13. 添加到 Active Directory 架构的 RAC 特定属性 

属性名称/说明

分配的 OID/语法对象标识符

单值

dellIsLoginUser

如果用户具有设备的登录权限,则为 TRUE。

1.2.840.113556.1.8000.1280.1.1.2.3

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsCardConfigAdmin

如果用户具有设备的卡配置权限,则为 TRUE。

1.2.840.113556.1.8000.1280.1.1.2.4

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsUserConfigAdmin

如果用户具有设备的用户配置权限,则为 TRUE。

1.2.840.113556.1.8000.1280.1.1.2.5

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

delIsLogClearAdmin

如果用户具有设备的日志清除权限,则为 TRUE。

1.2.840.113556.1.8000.1280.1.1.2.6

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsServerResetUser

如果用户具有设备的服务器重设权限,则为 TRUE。

1.2.840.113556.1.8000.1280.1.1.2.7

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsConsoleRedirectUser

如果用户具有设备的控制台重定向权限,则为 TRUE。

1.2.840.113556.1.8000.1280.1.1.2.8

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsVirtualMediaUser

如果用户具有设备的虚拟介质权限,则为 TRUE。

1.2.840.113556.1.8000.1280.1.1.2.9

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsTestAlertUser

如果用户具有设备的检测警报权限,则为 TRUE。

1.2.840.113556.1.8000.1280.1.1.2.10

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsDebugCommandAdmin

如果用户具有设备的调试命令管理员权限,则为 TRUE。

1.2.840.113556.1.8000.1280.1.1.2.11

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellSchemaVersion

当前架构版本用于更新架构。

1.2.840.113556.1.8000.1280.1.1.2.12

不区分大小写的字符串
(LDAPTYPE_CASEIGNORESTRING
1.2.840.113556.1.4.905)

TRUE

dellRacType

此属性是 dellRacDevice 对象的当前 RAC 类型以及到 dellAssociationObjectMembers 前进链接的后退链接。

1.2.840.113556.1.8000.1280.1.1.2.13

不区分大小写的字符串
(LDAPTYPE_CASEIGNORESTRING
1.2.840.113556.1.4.905)

TRUE

表 8-14. 添加到 Active Directory 架构的 Server Administrator 特定属性 

属性名称/说明

分配的 OID/语法对象标识符

单值

dellOMSAIsReadOnlyUser

如果用户在 Server Administrator 中具有只读权限,则为 TRUE

1.2.840.113556.1.8000.1280.1.2.2.1

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellOMSAIsReadWriteUser

如果用户在 Server Administrator 中具有读写权限,则为 TRUE

1.2.840.113556.1.8000.1280.1.2.2.2

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellOMSAIsAdminUser

如果用户在 Server Administrator 中具有管理员权限,则为 TRUE

1.2.840.113556.1.8000.1280.1.2.2.3

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

表 8-15. 添加到 Active Directory 架构的 IT Assistant 特定属性

属性名称/说明

分配的 OID/语法对象标识符

单值

dellItaIsReadWriteUser

如果用户在 IT Assistant 中具有读写权限,则为 TRUE

1.2.840.113556.1.8000.1280.1.3.2.1

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellItaIsAdminUser

如果用户在 IT Assistant 中具有管理员权限,则为 TRUE

1.2.840.113556.1.8000.1280.1.3.2.2

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellItaIsReadOnlyUser

如果用户在 IT Assistant 中具有只读权限,则为 TRUE

1.2.840.113556.1.8000.1280.1.3.2.3

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

Active Directory 用户和计算机管理单元

安装 Dell 对 Active Directory 用户和计算机管理单元的扩展

在 Active Directory 中扩展架构时,也必须扩展 Active Directory 用户和计算机管理单元以便管理员可以管理产品、用户和用户组、关联和权限。 只需扩展一次管理单元,即使已经添加了一个以上的架构扩展。 必须在每个用于管理这些对象的系统上安装管理单元。 Dell 对 Active Directory 用户和计算机管理单元的扩展是一个选件,可以在使用 Dell PowerEdge Installation and Server Management CD 安装 Systems Management 软件时安装。

注:必须在准备管理新 Active Directory 对象的各个管理站上安装 Administrator Pack。 安装过程在下面的“打开 Active Directory 用户和计算机管理单元”部分中介绍。 如果没有安装 Administrator Pack,则无法查看容器中的新对象。
注:有关 Active Directory 用户和计算机管理单元的详情,请参阅 Microsoft 说明文件。

打开 Active Directory 用户和计算机管理单元

要打开 Active Directory 用户和计算机管理单元,应执行以下步骤:

  1. 如果在域控制器上,单击“Start”(开始) “Admin Tools”(管理工具)®“Active Directory Users and Computers”(Active Directory 用户和计算机)。 如果不在域控制器上,必须在本地系统上安装相应的 Microsoft Administrator Pack。 要安装此 Administrator Pack,单击“Start”(开始)® “Run”(运行),键入 MMC 并按 Enter

这会打开 Microsoft Management Console (MMC)。

  1. 单击“Console 1”(控制台 1)窗口中的“File”(文件)(或运行 Windows 2000 系统上的“Console”(控制台))。

  2. 单击“Add/Remove Snap-in”(添加/删除管理单元)

  3. 选择“Active Directory Users and Computers”(Active Directory 用户和计算机)管理单元并单击“Add”(添加)

  4. 单击“Close”(关闭)并单击“OK”(确定)

将用户和权限添加到 Active Directory

Dell 扩展的 Active Directory 用户和计算机管理单元使您能够通过创建 RAC、关联和权限对象来添加 DRAC、Server Administrator 和 IT Assistant 用户和权限。 要添加对象,执行相应小节中的步骤。

创建产品对象

注:Server Administrator 和 IT Assistant 用户必须使用通用类型产品组用其产品对象来跨越域。
注:当添加来自不同域的通用类型产品组时,需要用通用范围创建一个关联对象。由 Dell Schema Extender 公用程序创建的默认关联对象为域本地组,并且不能与来自其它域的通用类型产品组一起使用。

“Console Root”(控制台根节点) (MMC) 窗口,右击一个容器。

  1. 选择“New”(新建)

  2. 根据安装情况,选择 RAC、Server Administrator 或 IT Assistant 对象。

系统将打开“New Object”(新建对象)窗口。

  1. 键入新对象的名称。 此名称必须匹配 Active Directory 产品名称(如“在运行 Server Administrator 的系统上使用 CLI 配置 Active Directory”中所述),或者对于 RAC 设备匹配在“配置系统或设备”步骤 4 中键入的名称,或者对于 IT Assistant 匹配在“在运行 IT Assistant 的系统上配置 Active Directory”中所述的名称。

  2. 选择相应的“Product Object”(产品对象)

  3. 单击“OK”(确定)

创建权限对象

权限对象必须创建在其关联的关联对象的域中。

  1. “Console Root”(控制台根节点) (MMC) 窗口,右击一个容器。

  2. 选择“New”(新建)

  3. 根据安装情况,选择 RAC、Server Administrator 或 IT Assistant 对象。

系统将打开“New Object”(新建对象)窗口。

  1. 键入新对象的名称。

  2. 选择相应的“Privilege Object”(权限对象)

  3. 单击“OK”(确定)

  4. 右击创建的权限对象并选择“Properties”(属性)

  5. 单击相应的“Privileges”(权限)选项卡并选择希望用户具有的权限(有关详情,请参阅表 8-1表 8-10)。

创建关联对象

关联对象从组中派生并且必须包含一个组类型。 关联范围为关联对象指定安全组类型。 创建关联对象时,必须选择适用于要添加对象类型的关联范围。 比如,选择“Universal”(通用)表示关联对象只有在 Active Directory 域以本机或更高模式运行时才可用。

  1. “Console Root”(控制台根节点) (MMC) 窗口,右击一个容器。

  2. 选择“New”(新建)

  3. 根据安装情况,选择 RAC、Server Administrator 或 IT Assistant 对象。

系统将打开“New Object”(新建对象)窗口。

  1. 键入新对象的名称。

  2. 选择“Association Object”(关联对象)

  3. 选择“Association Object”(关联对象)的范围。

  4. 单击“OK”(确定)

将对象添加到关联对象

通过使用“Association Object Properties”(关联对象属性)窗口,可以关联用户或用户组、权限对象、系统、RAC 设备以及系统或设备组。

注:RAC 用户必须使用通用组用其用户或 RAC 对象跨越域。

可以添加用户和产品组。 可以采用创建其它组的相同方法创建与 Dell 相关的组。

要添加用户或用户组:

  1. 右击“Association Object”(关联对象)并选择“Properties”(属性)

  2. 选择“Users”(用户)选项卡并单击“Add”(添加)

  3. 键入用户或用户组名称或浏览选择一个并单击“OK”(确定)

单击“Privilege Object”(权限对象)选项卡将权限对象添加到关联,从而定义用户或用户组验证系统时的权限。

注:只能将一个权限对象添加到关联对象。

要添加权限:

  1. 选择“Privileges Object”(权限对象)选项卡并单击“Add”(添加)

  2. 键入权限对象名称或浏览选择一个并单击“OK”(确定)

单击“Products”(产品)选项卡将一个或多个系统或设备添加到关联。 关联的对象指定连接到网络的对已定义用户或用户组可用的产品。

注:可以将多个系统或 RAC 设备添加到关联对象。

要添加产品:

  1. 选择”Products“(产品)选项卡并单击”Add“(添加)。

  2. 键入系统、设备或组名称并单击“OK”(确定)

  3. “Properties”(属性)窗口中,单击“Apply”(应用),然后单击“OK”(确定)

在域控制器上启用 SSL(仅限 RAC)

如果准备使用 Microsoft 企业根 CA 自动给所有的域控制器分配 SSL 认证,必须执行下列步骤在各个域控制器上启用 SSL。

  1. 在域控制器上安装 Microsoft 企业根 CA。

    1. 选择“Start”(开始)® “Control Panel”(控制面板)®“Add or Remove Programs”(添加或删除程序)

    1. 选择“Add/Remove Windows Components”(添加/删除 Windows 组件)

    2. ”Windows Components Wizard“(Windows 组件向导)中,选择”Certificate Services“(证书服务)复选框。

    3. 选择“Enterprise root CA”(企业根 CA)作为“CA Type”(CA 类型)并单击“Next”(下一步)

    4. 输入“Common name for this CA”(此 CA 的常用名),单击“Next”(下一步)并单击“Finish”(完成)

  2. 通过安装每个控制器的 SSL 认证启用每个域控制器上 SSL。

    1. 单击“Start”(开始)®“Administrative Tools”(管理工具)®“Domain Security Policy”(域安全策略)

    1. 展开“Public Key Policies”(公共密钥策略)文件夹,右击“Automatic Certificate Request Settings”(自动认证申请设置)并单击“Automatic Certificate Request”(自动认证申请)

    2. “Automatic Certificate Request Setup Wizard”(自动认证申请设置向导)中,单击“Next”(下一步)并选择“Domain Controller”(域控制器)

    3. 单击“Next”(下一步)并单击“Finish”(完成)

导出域控制器根 CA 认证(仅限 RAC)

注:如果在使用 Windows 2000,以下步骤可能略有不同。
  1. 转至装有 Microsoft Enterprise CA 服务的域控制器。

  2. 单击“Start”(开始)®“Run”(运行)

  3. 键入 mmc 并单击“OK”(确定)

  4. “Console 1”(控制台 1) (MMC) 窗口中,单击 “File”(文件)(或 Windows 2000 系统上的控制台)并选择”Add/Remove Snap-in“(添加/删除管理单元)

  5. “Add/Remove Snap-in”(添加/删除管理单元)窗口,单击“Add”(添加)

  6. “Standalone Snap-in”(独立管理单元)窗口,选择“Certificates”(认证)并单击“Add”(添加)

  7. 选择“Computer”(计算机)帐户并单击“Next”(下一步)

  8. 选择“Local Computer”(本地计算机)并单击“Finish”(完成)

  9. 单击“OK”(确定)

  10. “Console 1”(控制台 1)窗口中,展开“Certificates”(认证)文件夹,展开“Personal”(个人)文件夹并单击“Certificates”(认证)文件夹。

  11. 查找并右击根 CA 认证,选择“All Tasks”(所有任务)并单击“Export”(导出)

  12. “Certificate Export Wizard”(认证导出向导),单击“Next”(下一步)并选择“No do not export the private key”(不,不要导出私钥)

  13. 单击“Next”(下一步)并选择“Base-64 encoded X.509 (.cer)”( Base-64 编码 X.509 [.cer]) 作为格式。

  14. 单击“Next”(下一步)并将认证保存到所选位置。 需要将此认证上载到 DRAC 4。 要这样做,转至 ”DRAC 4 Web-based interface“(DRAC 4 基于 Web 的界面)® ”Configuration“(配置)选项卡® “Active Directory page”(Active Directory 页)。或者可以使用 racadm CLI 命令(请参阅“使用 racadm CLI 配置 DRAC 4 Active Directory 设置”)。

  15. 单击“Finish”(完成)并单击“OK”(确定)

将 DRAC 4 固件 SSL 认证导入所有域控制器可信认证列表

注:如果 DRAC 4 固件 SSL 认证是由有名的 CA 签署的,则无需执行本部分中介绍的步骤。
注:如果在使用 Windows 2000,以下步骤可能略有不同。
  1. 该 DRAC 4 SSL 认证就是用于 DRAC 4 Web Server 的认证。 所有 DRAC 4 控制器都配备有默认自签署认证。 通过选择“Download DRAC 4 Server Certificate”(下载 DRAC 4 服务器认证)(请参阅 DRAC 4 基于 Web 的界面“Configuration”(配置)选项卡和 Active Directory 子选项卡),可以从 DRAC 4 获取此认证。

  2. 在域控制器上,打开“MMC Console”(MMC 控制台)窗口并选择“Certificates”(认证) ®“Trusted Root Certification Authorities”(受信任的根认证颁发机构)

  3. 右击“Certificates”(认证),选择“All Tasks”(所有任务)并单击“Import”(导入)

  4. 单击“Next”(下一步)并浏览查找到 SSL 认证文件。

  5. 在每个域控制器的“Trusted Root Certification Authority”(受信任的根认证颁发机构)中安装 RAC SSL 认证。

如果已安装了自己的认证,确保签署认证的 CA 位于“Trusted Root Certification Authority”(受信任的根认证颁发机构)列表。 如果 CA 不在列表中,必须在所有的域控制器上安装它。

  1. 单击“Next”(下一步)并选择是否要 Windows 根据认证类型自动选择认证存储,或浏览到所选存储。

  2. 单击“Finish”(完成)并单击“OK”(确定)

配置系统或设备

有关如何使用 CLI 命令配置 Server Administrator 或 IT Assistant 系统的说明,请参阅“在运行 Server Administrator 的系统上使用 CLI 配置 Active Directory”和“在运行 IT Assistant 的系统上配置 Active Directory”。对于 DRAC 用户,有两种方式配置 DRAC 4。 请参阅“使用基于 Web 的界面配置 DRAC 4”或“使用 racadm CLI 配置 DRAC 4 Active Directory 设置”。

注:装有 Server Administrator 和/或 IT Assistant 的系统必须是 Active Directory 域的一部分并且在该域中还应具有计算机帐户。

在运行 Server Administrator 的系统上使用 CLI 配置 Active Directory

可以使用 omconfig preferences dirservice 命令配置 Active Directory 服务。 产品oem.ini 文件会修改以反映这些更改。 如果 adproductname 没有出现在产品oem.ini 文件中,则会分配一个默认名称。默认值是系统名称-软件-产品名称,其中系统名称 是运行 Server Administrator 的系统的名称,而软件-产品名称是指 omprv32.ini(即,计算机名称-omsa)中定义的软件产品的名称。

注:此命令只适用于运行 Windows 操作系统的系统。
注:配置完 Active Directory 后重新启动 Server Administrator 服务。

表 8-16 显示命令的有效参数。

表 8-16. Active Directory 服务配置参数

名称=值对

说明

prodname=<文本>

指定要应用 Active Directory 配置更改的软件产品。 产品名称是指 omprv32.ini 中定义的产品的名称。 对于 Server Administrator,为 omsa

enable=<true | false>

true: 启用 Active Directory 服务验证支持。

false: 禁用 Active Directory 服务验证支持。

adprodname=<文本>

指定 Active Directory 服务中定义的产品名称。 此名称将产品与 Active Directory 权限数据链接到一起以进行用户验证。

在运行 IT Assistant 的系统上配置 Active Directory

默认情况下,Active Directory 产品名称对应于 机器名-ita,其中机器名是装有 IT Assistant 的系统的名称。 要配置其它名称,找到安装目录中的 itaoem.ini 文件。 编辑该文件以添加“adproductname=文本”行,其中文本是在 Active Directory 中创建的产品对象的名称。 例如,如果 Active Directory 产品名称配置为 mgmtStationITAitaoem.ini 文件将包含以下语法。

productname=IT Assistant
startmenu=Dell OpenManage Applications
autdbid=ita
accessmask=3
startlink=ITAUIServlet
adsupport=true
adproductname=mgmtStationITA

注: itaoem.ini 文件保存到磁盘后重新启动 IT Assistant 服务。

使用基于 Web 的界面配置 DRAC 4

  1. 使用默认用户 root 及其密码登录到基于 Web 的界面。

  2. 单击“Configuration”(配置)选项卡并选择 Active Directory

  3. 选择“Enable Active Directory”(启用 Active Directory)复选框。

  4. 键入“DRAC 4 Name”(DRAC 4 名称)。 此名称必须和域控制器中创建的 RAC 对象的常用名一样(请参阅“安装 Dell 对 Active Directory 用户和计算机管理单元的扩展 ”)。

  5. 键入“Root Domain Name”(Root 域名)“Root Domain Name”(Root 域名)是目录林的完全限定 Root 域名。

  6. 键入“DRAC 4 Domain Name”(DRAC 4 域名)(例如,drac4.com)。 请勿使用 NetBIOS 名称。 “DRAC 4 Domain Name”(DRAC 4 域名)是 RAC 设备对象所在子域的完全限定域名。

  7. 单击“Apply”(应用)保存 Active Directory 设置。

  8. 单击“Upload Active Directory CA Certificate”(上载 Active Directory CA 认证)将域目录林根 CA 认证上载到 DRAC 4。 域目录林域控制器的 SSL 认证需要已签署此根 CA 认证。 将根 CA 认证提供给本地系统(请参阅“导出域控制器根 CA 认证 [仅限 RAC]”)。 指定根 CA 认证的完整路径和文件名并单击“Upload”(上载)将根 CA 认证上载到 DRAC 4 固件。 DRAC 4 Web Server 会在单击“Upload”(上载)后自动重新启动。 必须再次登录以完成 DRAC 4 Active Directory 功能配置。

  9. 单击“Configuration”(配置) 选项卡并选择“Network”(网络)

  10. 如果启用了 DRAC 4 NIC DHCP,在“Use DHCP to obtain DNS server address”(使用 DHCP 获取 DNS 服务器地址)旁选中复选框。 如果想手动输入 DNS 服务器 IP 地址,取消选中“Use DHCP to obtain DNS server address”(使用 DHCP 获取 DNS 服务器地址)旁的复选框并输入主要和备用 DNS 服务器 IP 地址。

  11. 单击“Apply”(应用)完成 DRAC 4 Active Directory 功能配置。

使用 racadm CLI 配置 DRAC 4 Active Directory 设置

通过 racadm CLI 而不是基于 Web 的界面,使用以下命令配置 DRAC 4 Active Directory 功能。

  1. 打开命令提示符并键入以下 racadm 命令:

racadm config -g cfgActiveDirectory -o cfgADEnable 1
racadm config -g cfgActiveDirectory -o cfgADRacDomain <
完全合格的 rac 域名>
racadm config -g cfgActiveDirectory -o cfgADRootDomain <
完全合格的 root 域名>
racadm config -g cfgActiveDirectory -o cfgADRacName <
RAC 常用名>
racadm sslcertupload -t 0x2 -f <
ADS root CA 证书>
racadm sslcertdownload -t 0x1 -f <
RAC SSL 证书>

  1. 如果在 DRAC 4 上启用了 DHCP 并且想使用 DHCP 服务器提供的 DNS,应键入以下命令:

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1

  1. 如果在 DRAC 4 上禁用了 DHCP,或者想手动输入 DNS IP 地址,应键入以下命令:

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <
主 DNS IP 地址>
racadm config -g cfgLanNetworking -o cfgDNSServer2
<次 DNS IP 地址>

  1. Enter 完成 DRAC 4 Active Directory 功能配置。

请参阅《Dell Remote Access Controller 4 用户指南》了解详情。


返回目录页