Regresar a la página de contenido
Guía del usuario de instalación y seguridad de Dell OpenManage™ versión 5.1
Extendiendo el esquema de Active Directory
Si usa el software del servicio Active Directory, puede configurarlo para controlar el acceso a la red. Dell ha modificado la base de datos de Active Directory para admitir la administración y autorización de autentificación remota. Dell OpenManage™ IT Assistant y Dell OpenManage Server Administrator, así como los controladores de acceso remoto de Dell™, tienen ahora una interfaz con Active Directory. Con esta herramienta, se pueden agregar y controlar los usuarios y privilegios desde una base de datos central.
![]() |
NOTA: El uso de Active Directory para reconocer a los usuarios de Dell Remote Access Controller (DRAC), IT Assistant o Server Administrator es compatible con los sistemas operativos Microsoft Windows® 2000 y Windows Server™ 2003. |
Los datos de Active Directory existen en una base de datos distribuida de Atributos y Clases. Un ejemplo de una Clase de Active Directory es la clase Usuario. Algunos ejemplos de Atributos de la clase Usuario pueden ser el nombre del usuario, apellido, número de teléfono, etc., del usuario. Cada Atributo o Clase que se agrega a un esquema existente de Active Directory existente debe estar definido con una identificación única. Para mantener identificaciones únicas en toda la industria, Microsoft mantiene una base de datos de identificadores de objeto (OID) de Active Directory.
El esquema de Active Directory define las reglas para que los datos pueden ser incluidos en la base de datos. Para ampliar el esquema en Active Directory, Dell recibió OID únicas, extensiones de nombre exclusivas e identificaciones exclusivas de atributos vinculados para los nuevos atributos y clases en el servicio de directorio.
La extensión de Dell es: dell
El OID base de Dell es: 1.2.840.113556.1.8000.1280
El rango de identificación de vínculo de Dell es: de 12070 a 12079
Puede consultar la base de datos de OID de Active Directory mantenida por Microsoft en msdn.microsoft.com/certification/ADAcctInfo.asp si introduce nuestra extensión, dell.
Dell creó clases, o grupos de objetos, que el usuario puede configurar para cumplir sus necesidades únicas. Las nuevas clases en el esquema incluyen las clases Asociación, Producto y Privilegio. Un objeto de asociación vincula a los usuarios o grupos con un conjunto dado de privilegios y con los sistemas (productos) de la red. Este modelo otorga el control a un administrador sobre las distintas combinaciones de usuarios, privilegios y sistemas o dispositivos de RAC en la red, sin agregar complejidad.
Para cada uno de los sistemas que desee integrar con Active Directory para la autentificación y autorización, deberá haber al menos un objeto de asociación y un objeto de producto. El objeto de producto representa el sistema. El objeto de asociación lo vincula con los usuarios y privilegios. Usted puede crear el número de objetos de asociación que necesite.
Cada objeto de asociación puede estar vinculado con el número de usuarios, grupos de usuarios y objetos de producto que se desee. Los usuarios y los objetos de producto pueden provenir de cualquier dominio. Sin embargo, cada objeto de asociación puede vincularse sólo a un objeto de privilegio. Esto permite que un administrador tenga control sobre qué derechos tiene cada usuario en sistemas específicos.
El objeto de producto vincula el sistema con Active Directory para realizar consultas de autorización y autentificación. Cuando se agrega un sistema a la red, el administrador debe configurar el sistema y el objeto de producto con el nombre de Active Directory, de modo que los usuarios puedan realizar autenticaciones y autorizaciones con Active Directory. El administrador también deberá agregar el sistema por lo menos un objeto de asociación para que los usuarios se puedan autentificar.
La figura 8-1 muestra que el objeto de asociación proporciona la conexión necesaria para todas las autentificaciones y autorizaciones.
Figura 8-1. Configuración convencional de los objetos de Active Directory
Además, se pueden configurar objetos de Active Directory en un solo dominio o en varios. La configuración de objetos en un solo dominio no varía, ya sea que se estén configurando objetos de RAC, de Server Administrator o de IT Assistant. Sin embargo, cuando hay varios dominios involucrados, hay algunas diferencias.
Por ejemplo, se tienen dos tarjetas DRAC 4 (RAC1 y RAC2) y tres usuarios existentes de Active Directory (usuario1, usuario2 y usuario3). Se quieren otorgar privilegios de administrador al usuario1 y al usuario2 en las dos tarjetas DRAC 4 y se desea dar un privilegio de inicio de sesión al usuario3 en la tarjeta RAC2. La figura 8-2 muestra cómo se configuran los objetos de Active Directory en este escenario.
Figura 8-2. Configuración de objetos de Active Directory en un solo dominio
Para configurar los objetos en el escenario de un solo dominio, realice las tareas siguientes:
Consulte "Cómo agregar usuarios y privilegios a Active Directory" para ver instrucciones detalladas.
La figura 8-3 muestra cómo configurar los objetos de Active Directory en varios dominios del RAC. En este escenario, se tienen dos tarjetas DRAC 4 (RAC1 y RAC2) y tres usuarios existentes de Active Directory (Usuario1, Usuario2 y Usuario3). El Usuario1 está en el Dominio1, pero el Usuario2 y el Usuario3 están en el Dominio2. Se quieren dar privilegios de administrador al Usuario1 y al Usuario2 en ambas tarjetas, RAC1 y RAC2, y otorgar al Usuario3 un privilegio de inicio de sesión en la tarjeta RAC2.
Figura 8-3. Configuración de objetos de RAC de Active Directory en varios dominios
Para configurar los objetos en este escenario de múltiples dominios, realice las siguientes tareas:
Por otra parte, en el caso de Server Administrator o IT Assistant, los usuarios en una sola asociación pueden estar en dominios separados sin que sea necesario agregarlos a un grupo universal. El siguiente es un ejemplo muy parecido para mostrar la forma en la que los sistemas en dominios separados de IT Assistant o Server Administrator afectan la configuración de los objetos del directorio. En vez de dispositivos de RAC, tendrá dos sistemas que ejecutan Server Administrator (productos de Server Administrator sist1 y sist2). Sist1 y sist2 están en diferentes dominios. Puede usar cualquier usuario o grupo existente que tenga en Active Directory. La figura 8-4 muestra cómo configurar los objetos de Active Directory de Server Administrator para este ejemplo.
Figura 8-4. Configuración de objetos de Server Administrator de Active Directory en varios dominios
Para configurar los objetos en este escenario de múltiples dominios, realice las siguientes tareas:
Note que, en este caso, ninguno de los objetos de asociación necesitan ser de ámbito universal.
Antes de que pueda usar Active Directory para acceder los sistemas, debe configurar tanto el software Active Directory como los sistemas.
Hay extensiones de esquema de RAC, Server Administrator e IT Assistant disponibles. Usted sólo necesita ampliar el esquema para el software o hardware que está usando. Cada extensión debe aplicarse individualmente para recibir los beneficios de la configuración específica del software. Al ampliar el esquema de Active Directory se agregarán clases y atributos de esquema, objetos de privilegio y de asociación de ejemplo, y una unidad organizativa de Dell al esquema.
![]() |
NOTA: Para ampliar el esquema, debe tener privilegios de Administrador de esquema en el propietario de la función de operación maestra simple y flexible (FSMO) del esquema en el bosque de dominio. |
Usted puede ampliar el esquema por medio de dos métodos distintos. Usted puede usar la utilidad de extensión de esquema de Dell, o usted puede usar el archivo de secuencia de comandos en formato de intercambio de directorio ligero (LDIF).
![]() |
NOTA: La unidad organizativa de Dell no se agregará si usted usa el archivo de secuencia de comandos LDIF. |
Los archivos de secuencia de comandos LDIF y la extensión del esquema de Dell se encuentran en el CD Dell PowerEdge Installation and Server Management en los directorios respectivos siguientes:
donde tipo de instalación será RAC4, RAC3, Server Administrator o IT Assistant versión 7.0 o posterior, según la elección de extensión de esquema que usted haya hecho.
Para usar los archivos LDIF, consulte las instrucciones en el archivo léame que está en el directorio de archivos LDIF. Para usar el ampliador de esquema de Dell para ampliar el esquema de Active Directory, realice los pasos descritos en "Uso del ampliador de esquema de Dell".
Puede copiar y ejecutar el ampliador de esquema o los archivos LDIF desde cualquier ubicación.
![]() |
AVISO: El ampliador de esquema de Dell usa el archivo SchemaExtenderOem.ini. Para asegurar que la utilidad de extensión de esquema de Dell funcione correctamente, no modifique el nombre o el contenido de este archivo. |
Para verificar la extensión del esquema, use el complemento de esquema de Active Directory en la consola administración de Microsoft (MMC) para verificar la existencia de las siguientes clases (que aparecen en la tabla 8-1, la tabla 8-6, la tabla 8-7, la tabla 8-9, la tabla 8-10, la tabla 8-11 y la tabla 8-12) y atributos (que aparecen en la tabla 8-13, la tabla 8-14 y la tabla 8-15). Consulte la documentación de Microsoft para obtener más información acerca de cómo activar y usar el complemento de esquema de Active Directory en el MMC.
Tabla 8-1. Definiciones de las clases agregadas al esquema de Active Directory
Nombre de clase | Número asignado de identificación de objeto (OID) | Tipo de clase |
---|---|---|
dellRacDevice | 1.2.840.113556.1.8000.1280.1.1.1.1 | Clase estructural |
dellAssociationObject | 1.2.840.113556.1.8000.1280.1.1.1.2 | Clase estructural |
dellRAC4Privileges | 1.2.840.113556.1.8000.1280.1.1.1.3 | Clase auxiliar |
dellPrivileges | 1.2.840.113556.1.8000.1280.1.1.1.4 | Clase estructural |
dellProduct | 1.2.840.113556.1.8000.1280.1.1.1.5 | Clase estructural |
dellRAC3Privileges | 1.2.840.113556.1.8000.1280.1.1.1.6 | Clase auxiliar |
dellOmsa2AuxClass | 1.2.840.113556.1.8000.1280.1.2.1.1 | Clase auxiliar |
dellOmsaApplication | 1.2.840.113556.1.8000.1280.1.2.1.2 | Clase estructural |
dellIta7AuxClass | 1.2.840.113556.1.8000.1280.1.3.1.1 | Clase auxiliar |
dellItaApplication | 1.2.840.113556.1.8000.1280.1.3.1.2 | Clase estructural |
Tabla 8-2. Clase dellRacDevice
OID | 1.2.840.113556.1.8000.1280.1.1.1.1 |
---|---|
Descripción | Esta clase representa el dispositivo de RAC de Dell. El dispositivo de RAC debe estar configurado como dellRacDevice en Active Directory. Esta configuración permite que el DRAC 4 envíe preguntas de LDAP a Active Directory. |
Tipo de clase | Clase estructural |
Superclases | dellProduct |
Atributos | dellSchemaVersion dellRacType |
Tabla 8-3. Clase dellAssociationObject
OID | 1.2.840.113556.1.8000.1280.1.1.1.2 |
---|---|
Descripción | Esta clase representa el objeto de asociación de Dell. El objeto de asociación proporciona la conexión entre los usuarios y los dispositivos o productos. |
Tipo de clase | Clase estructural |
Superclases | Grupo |
Atributos | dellProductMembers dellPrivilegeMember |
Tabla 8-4. Clase dellRAC4Privileges
OID | 1.2.840.113556.1.8000.1280.1.1.1.3 |
---|---|
Descripción | Esta clase se usa para definir los privilegios (derechos de autorización) del dispositivo DRAC 4. |
Tipo de clase | Clase auxiliar |
Superclases | Ninguna |
Atributos | dellIsLoginUser dellIsCardConfigAdmin dellIsUserConfigAdmin dellIsLogClearAdmin dellIsServerResetUser dellIsConsoleRedirectUser dellIsVirtualMediaUser dellIsTestAlertUser dellIsDebugCommandAdmin |
Tabla 8-5. Clase dellPrivileges
OID | 1.2.840.113556.1.8000.1280.1.1.1.4 |
---|---|
Descripción | Esta clase se usa como clase contenedora de los privilegios de Dell (derechos de autorización). |
Tipo de clase | Clase estructural |
Superclases | Usuario |
Atributos | dellRAC4Privileges dellRAC3Privileges dellOmsaAuxClass dellItaAuxClass |
OID | 1.2.840.113556.1.8000.1280.1.1.1.5 |
---|---|
Descripción | Ésta es la clase principal de la que se derivan todos los productos de Dell. |
Tipo de clase | Clase estructural |
Superclases | Equipo |
Atributos | dellAssociationMembers |
Tabla 8-7. Clase dellRAC3Privileges
OID | 1.2.840.113556.1.8000.1280.1.1.1.6 |
---|---|
Descripción | Esta clase se usa para definir los privilegios (derechos de autorización) de los dispositivos DRAC III, DRAC III/XT, ERA, ERA/O y ERA/MC. |
Tipo de clase | Clase auxiliar |
Superclases | Ninguna |
Atributos | dellIsLoginUser |
Tabla 8-8. Clase dellOmsa2AuxClass
OID | 1.2.840.113556.1.8000.1280.1.2.1.1 |
---|---|
Descripción | Esta clase se usa para definir los privilegios (derechos de autorización) de Server Administrator. |
Tipo de clase | Clase auxiliar |
Superclases | Ninguna |
Atributos | dellOmsaIsReadOnlyUser dellOmsaIsReadWriteUser dellOmsaIsAdminUser |
Tabla 8-9. Clase dellOmsaApplication
OID | 1.2.840.113556.1.8000.1280.1.2.1.2 |
---|---|
Descripción | Esta clase representa la aplicación Server Administrator. Server Administrator debe estar configurado como dellOmsaApplication en Active Directory. Esta configuración permite a la aplicación de Server Administrator enviar consultas de LDAP a Active Directory. |
Tipo de clase | Clase estructural |
Superclases | dellProduct |
Atributos | dellAssociationMembers |
Tabla 8-10. Clase dellIta7AuxClass
OID | 1.2.840.113556.1.8000.1280.1.3.1.1 |
---|---|
Descripción | Esta clase se usa para definir los privilegios (derechos de autorización) de IT Assistant. |
Tipo de clase | Clase auxiliar |
Superclases | Ninguna |
Atributos | dellItaIsReadOnlyUser dellItaIsReadWriteUser dellItaIsAdminUser |
Tabla 8-11. Clase dellItaApplication
OID | 1.2.840.113556.1.8000.1280.1.3.1.2 |
---|---|
Descripción | Esta clase representa la aplicación de IT Assistant. IT Assistant debe estar configurado como dellItaApplication en Active Directory. Esta configuración permite a IT Assistant enviar consultas LDAP a Active Directory. |
Tipo de clase | Clase estructural |
Superclases | dellProduct |
Atributos | dellAssociationMembers |
Tabla 8-12. Atributos generales agregados al esquema de Active Directory
Tabla 8-13. Atributos específicos del RAC que se agregan al esquema de Active Directory
Tabla 8-14. Atributos específicos de Server Administrator que se agregan al esquema de Active Directory
Tabla 8-15. Atributos específicos de IT Assistant que se agregan al esquema de Active Directory
Cuando usted amplía el esquema en Active Directory, también debe ampliar el complemento de usuarios y equipos de Active Directory de manera que el administrador pueda administrar productos, usuarios y grupos de usuario, asociaciones y privilegios. Sólo tiene que extender el componente una vez, aun cuando haya agregado más de una extensión de esquema. Debe instalar el complemento en cada sistema que desea usar para administrar estos objetos. La extensión de Dell para el complemento de usuarios y equipos de Active Directory es una opción que se puede instalar cuando usted instala el software Systems Management por medio del CD Dell PowerEdge Installation and Server Management.
![]() |
NOTA: Debe instalar el paquete de administrador en cada estación de administración que va a administrar los nuevos objetos de Active Directory. La instalación se describe en la sección siguiente, "Cómo abrir el complemento de usuarios y equipos de Active Directory". Si no instala el paquete de administrador, no podrá ver el nuevo objeto en el contenedor. |
![]() |
NOTA: Para obtener más información acerca del complemento de usuarios y equipos de Active Directory, consulte la documentación de Microsoft. |
Para abrir el complemento de usuarios y equipos de Active Directory, realice los pasos siguientes:
Se abre la Consola de Administración de Microsoft (MMC).
El complemento de usuarios y computadores de Active Directory de Dell permite agregar usuarios y privilegios de usuario para DRAC, Server Administrator y IT Assistant mediante la creación de objetos de asociación y privilegio para RAC. Para agregar un objeto, realice los pasos del apartado correspondiente.
![]() |
NOTA: Los usuarios de Server Administrator e IT Assistant deben usar tipos de grupos de producto universales para abarcar dominios con los objetos de producto. |
![]() |
NOTA: Al agregar grupos de productos de tipo universal a partir de dominios separados, tiene que crear un objeto de asociación con ámbito universal. Los objetos de asociación predeterminados creados por la utilidad Dell Schema Extender grupos locales del dominio y no funcionarán con los grupos de productos de tipo universal procedentes de otros dominios. |
En la ventana Raíz de consola (MMC), haga clic con el botón derecho del mouse en un contenedor.
Aparecerá la ventana Nuevo objeto.
Los objetos de privilegio se deben crear en el mismo dominio que el objeto de asociación al que están asociados.
Aparecerá la ventana Nuevo objeto.
El objeto de asociación se deriva de un grupo y debe contener un tipo de grupo. El ámbito de la asociación especifica el tipo de grupo de seguridad del objeto de asociación. Cuando se crea un objeto de asociación, se debe elegir el ámbito de la asociación que se aplica al tipo de objetos que se van a agregar. Por ejemplo si se selecciona Universal, significa que los objetos de asociación estarán disponibles únicamente cuando el dominio de Active Directory esté funcionando en modo nativo o superior.
Aparecerá la ventana Nuevo objeto.
Con la ventana Propiedades del objeto de asociación, usted puede asociar usuarios o grupos de usuario, objetos de privilegio, sistemas, dispositivos RAC y grupos de dispositivos o sistemas.
![]() |
NOTA: Los usuarios de RAC deben usar grupos universales para abarcar los dominios con los usuarios u objetos de RAC. |
Usted puede agregar grupos de usuarios y productos. Puede crear grupos Dell relacionados de la misma manera en que creó otros grupos.
Para agregar usuarios o grupos de usuarios:
Haga clic en la ficha Objeto de privilegio para agregar el objeto de privilegio para la asociación que define los privilegios del usuario o grupo de usuarios al momento de autenticar para un sistema.
![]() |
NOTA: Sólo puede agregar un objeto de privilegio a un objeto de asociación. |
Para agregar un privilegio:
Haga clic en la ficha Productos para agregar uno o varios sistemas o dispositivos a la asociación. Los objetos asociados especifican los productos conectados a la red que están disponibles para los usuarios o grupos de usuarios definidos.
![]() |
NOTA: Puede agregar múltiples sistemas o dispositivos RAC a un objeto de asociación. |
Para agregar productos:
Si planea usar la Entidad emisora de certificados raíz de Microsoft para asignar automáticamente todos los certificados SSL de los controladores de dominio, deberá realizar los pasos siguientes para activar el SSL en cada controlador de dominio.
![]() |
NOTA: Los pasos siguientes pueden variar ligeramente si se está usando Windows 2000. |
![]() |
NOTA: Si el certificado SSL de firmware del DRAC 4 está firmado por una autoridad de certificados reconocida, no tiene que realizar los pasos descritos en esta sección. |
![]() |
NOTA: Los pasos siguientes pueden variar ligeramente si se está usando Windows 2000. |
Si ha instalado su propio certificado, asegúrese que la CA que firma su certificado esté en la lista de Autoridad de certificación de raíz de confianza. Si el certificado de autoridad (CA) no está en la lista, deberá instalarla en todos los controladores de dominio.
Para obtener instrucciones acerca de cómo configurar los sistemas con Server Administrator o con IT Assistant utilizando comandos de la CLI, consulte "Configuración de Active Directory utilizando a la CLI en sistemas que ejecutan Server Administrator" y "Configuración de Active Directory en sistemas que ejecutan IT Assistant". Para los usuarios de DRAC, hay dos modos de configurar el DRAC 4. Consulte "Configuración del DRAC 4 por medio de la interfaz basada en web", o bien, "Configuración de los valores de Active Directory del DRAC 4 por medio de la CLI de racadm".
![]() |
NOTA: Los sistemas en los que están instalados Server Administrator y/o IT Assistant deben formar parte del dominio de Active Directory y deben tener también cuentas de equipo en el dominio. |
Puede usar el comando omconfig preferences dirservice para configurar el servicio Active Directory. El archivo oem.ini del producto se modifica para reflejar estos cambios. Si adproductname no está presente en el archivo oem.ini del producto, se asignará un nombre predeterminado. El valor predeterminado será nombre del sistema-nombre del producto de software, donde nombre del sistema es el nombre del sistema que ejecuta Server Administrator y nombre del producto de software se refiere al nombre del producto de software definido en omprv32.ini (es decir, nombre_del_equipo-omsa).
![]() |
NOTA: Este comando se puede aplicar únicamente en sistemas que ejecutan el sistema operativo Windows. |
![]() |
NOTA: Reinicie el servicio de Server Administrator después de haber configurado el Active Directory. |
La tabla 8-16 muestra los parámetros válidos para el comando.
Tabla 8-16. Parámetros de configuración del servicio Active Directory
De manera predeterminada, el nombre del producto de Active Directory corresponde a nombre_del_equipo-ita, donde nombre_de_máquina es el nombre del sistema en el que está instalado IT Assistant. Para configurar un nombre distinto, localice el archivo itaoem.ini en el directorio de instalación. Edite el archivo para agregar la línea "adproductname=texto", donde texto es el nombre del objeto de producto que se creó en Active Directory. Por ejemplo, el archivo itaoem.ini contendrá la sintaxis siguiente si el nombre de producto de Active Directory es configurado como mgmtStationITA.
productname=IT Assistant
startmenu=Dell OpenManage Applications
autdbid=ita
accessmask=3
startlink=ITAUIServlet
adsupport=true
adproductname=mgmtStationITA
![]() |
NOTA: Reinicie los servicios de IT Assistant después de guardar el archivo itaoem.ini en el disco. |
Utilice los comandos siguientes para configurar la función de Active Directory del DRAC 4 por medio de la CLI de racadm en vez de la interfaz basada en web.
racadm config -g cfgActiveDirectory -o cfgADEnable 1
racadm config -g cfgActiveDirectory -o cfgADRacDomain <nombre y ruta completa del dominio del RAC>
racadm config -g cfgActiveDirectory -o cfgADRootDomain <nombre y ruta completa del dominio raíz>
racadm config -g cfgActiveDirectory -o cfgADRacName <nombre común del RAC>
racadm sslcertupload -t 0x2 -f <certificado de CA raíz de ADS>
racadm sslcertdownload -t 0x1 -f <Certificado de SSL del RAC>
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <dirección IP de DNS primaria>
racadm config -g cfgLanNetworking -o cfgDNSServer2 <dirección IP de DNS secundaria>
Consulte la Guía del usuario de Dell Remote Access Controller 4 para obtener más información.
Regresar a la página de contenido