Dell OpenManage™ 5.1 版安装和安全性用户指南
如果使用 Active Directory 服务软件,可以配置它以控制对网络的访问。 Dell 修改了 Active Directory 数据库以支持远程管理身份验证和授权。 Dell OpenManage™ IT Assistant 和 Dell OpenManage Server Administrator 以及 Dell™ Remote Access Controller 现在可以与 Active Directory 交互。 借助此工具,可以从一个中央数据库添加并控制用户和权限。
![]() |
注:在 Microsoft Windows® 2000 和 Windows Server™ 2003 操作系统上支持使用 Active Directory 识别 Dell Remote Access Controller (DRAC)、IT Assistant 或 Server Administrator 用户。 |
Active Directory 数据存放在一个“Attributes”(属性)和“Classes”(类)的分布式数据库中。 一种 Active Directory“Class”(类)的示例为“User”(用户)类。 一些用户类的示例“Attributes”(属性)可为用户的名、姓和电话号码等。 每个添加到现有 Active Directory 架构的“Attribute”(属性)或“Class”(类)都必须定义有一个唯一 ID。 要在整个业界中保证唯一 ID,Microsoft 维护着一个 Active Directory 对象标识符 (OID) 数据库。
Active Directory 架构定义了规定哪些数据可以包括在数据库中的规则。 要扩展 Active Directory 中的架构,Dell 为目录服务中的新属性和类申请了唯一 OID、唯一名称扩展和唯一链接属性 ID。
Dell 扩展是: dell
Dell 基础 OID 是: 1.2.840.113556.1.8000.1280
Dell LinkID 范围是: 12070 到 12079
Microsoft 维护的 Active Directory OID 数据库可以在 msdn.microsoft.com/certification/ADAcctInfo.asp 通过输入我们的扩展名 dell 进行查看。
Dell 创建了类或对象组,可以由用户配置以满足特定需求。 架构中的新类包括关联、产品和权限类。 关联对象将用户或组链接到一组给定的权限以及网络中的系统(产品对象)。 这种模式使管理员能够控制网络上各种组合的用户、权限和系统或 RAC 设备,而不增加复杂性。
对于每一个想与 Active Directory 集成以进行验证和授权的系统来说,必须创建至少一个关联对象和一个产品对象。 产品对象代表系统。 关联对象将其与用户和权限相链接。 可以根据需要创建任意多个关联对象。
每个关联对象都可以链接到任意多个用户、用户组和产品对象。 用户和产品对象可以来自任何域。 不过,每个关联对象只能链接到一个权限对象。 此行为使管理员能够控制哪些用户对于特定系统具有什么样的权限。
产品对象将系统链接到 Active Directory 以进行验证和授权查询。 将系统添加到网络后,管理员必须使用 Active Directory 名称配置系统及其产品对象以便用户可以使用 Active Directory 执行验证和授权。 管理员还必须将系统添加到至少一个关联对象以使用户能够验证。
图 8-1 说明关联对象提供了进行所有验证和授权所需的连接。
图 8-1. Active Directory 对象的典型设置
此外,可以在一个域或多个域中设置 Active Directory 对象。 在一个域中设置对象并没有什么不同,无论是设置 RAC、Server Administrator,还是 IT Assistant 对象。 不过,涉及到多个域时,就有些不同了。
比如,您有两个 DRAC 4 卡(RAC1 和 RAC2)以及三个现有 Active Directory 用户(用户 1、用户 2 和用户 3)。 想给用户 1 和用户 2 对两个 DRAC 4 卡的管理员权限,而给用户 3 对 RAC2 卡的登录权限。 图 8-2 显示了如何在此情况下设置 Active Directory 对象。
图 8-2. 在一个域中设置 Active Directory 对象
要为一个域的情况设置对象,应执行以下任务:
请参阅“将用户和权限添加到 Active Directory”了解详细指导。
图 8-3 显示了如何在 RAC 的多个域中设置 Active Directory 对象。 在这种情况下,假如您有两个 DRAC 4 卡(RAC1 和 RAC2)以及三个现有 Active Directory 用户(用户 1、用户 2 和用户 3)。 用户 1 位于域 1,不过用户 2 和用户 3位于域 2。 想给用户 1 和用户 2 对 RAC1 和 RAC2 卡的管理员权限,而给用户 3 对 RAC2 卡的登录权限。
图 8-3. 在多个域中设置 RAC Active Directory 对象
要为此多个域的情况设置对象,应执行以下任务:
对于 Server Administrator 或 IT Assistant,在另一方面,一个关联中的用户可以位于不同的域中,而无需添加到通用组中。 以下是一个非常相似的示例,显示不同域中的 Server Administrator 或 IT Assistant 系统如何影响目录对象的设置。 除了 RAC 设备,将有两个运行 Server Administrator 的系统(Server Administrator 产品系统 1 和系统 2)。 系统 1 和系统 2 位于不同的域中。 可以使用 Active Directory 中任何现有用户或组。 图 8-4 显示了如何为此示例设置 Server Administrator Active Directory 对象。
图 8-4. 在多个域中设置 Server Administrator Active Directory 对象
要为此多个域的情况设置对象,应执行以下任务:
请注意在本情况下每个关联对象都不需要是通用范围。
在使用 Active Directory 访问系统前,必须配置好 Active Directory 软件和系统。
可以使用 RAC、Server Administrator 和 IT Assistant 架构扩展。 只需为要使用的软件或硬件扩展架构。 必须单独应用每个扩展以得到其软件特定设置的好处。 扩展 Active Directory 架构将会为架构添加架构类和属性、示例权限和关联对象,以及 Dell 组织单元。
![]() |
注:扩展架构前,必须在域目录林的架构主灵活单主机操作 (FSMO) 角色物主上拥有“Schema Admin”(架构管理员)权限。 |
可以用两种不同方法扩展架构。 可以使用 Dell Schema Extender 公用程序,或者可使用轻型目录交换格式 (LDIF) 脚本文件。
![]() |
注:如果使用 LDIF 脚本文件,将不会添加 Dell 组织单元。 |
LDIF 脚本文件和 Dell Schema Extender 位于 Dell PowerEdge™ Installation and Server Management CD 的以下相应目录中:
安装类型将是 RAC4、RAC3、Server Administrator 或 IT Assistant 7.0 或更高版本,具体取决于架构扩展的选择。
要使用 LDIF 文件,请参阅 LDIF 文件目录中自述文件的说明。 要使用 Dell Schema Extender 扩展 Active Directory 架构,执行“使用 Dell Schema Extender”中的步骤。
可以从任意位置复制并运行 Schema Extender 或 LDIF 文件。
![]() |
注意:Dell Schema Extender 使用 SchemaExtenderOem.ini 文件。 要确保 Dell Schema Extender 公用程序运作正常,请勿修改此文件的名称或内容。 |
要验证架构扩展,使用 Microsoft Management Console (MMC) 中的 Active Directory 架构管理单元来验证是否存在以下分类(列于表 8-1、表 8-6、表 8-7、表 8-9、表 8-10、表 8-11 和 表 8-12 中)和属性(列在表 8-13、表 8-14 和表 8-15中)。 请参阅 Microsoft 说明文件详细了解如何在 MMC 中启用并使用 Active Directory 架构管理单元。
表 8-1. 添加到 Active Directory 架构类的类定义
类名称 | 分配的对象标识号 (OID) | 类的类型 |
---|---|---|
dellRacDevice | 1.2.840.113556.1.8000.1280.1.1.1.1 | 结构类 |
dellAssociationObject | 1.2.840.113556.1.8000.1280.1.1.1.2 | 结构类 |
dellRAC4Privileges | 1.2.840.113556.1.8000.1280.1.1.1.3 | 辅助类 |
dellPrivileges | 1.2.840.113556.1.8000.1280.1.1.1.4 | 结构类 |
dellProduct | 1.2.840.113556.1.8000.1280.1.1.1.5 | 结构类 |
dellRAC3Privileges | 1.2.840.113556.1.8000.1280.1.1.1.6 | 辅助类 |
dellOmsa2AuxClass | 1.2.840.113556.1.8000.1280.1.2.1.1 | 辅助类 |
dellOmsaApplication | 1.2.840.113556.1.8000.1280.1.2.1.2 | 结构类 |
dellIta7AuxClass | 1.2.840.113556.1.8000.1280.1.3.1.1 | 辅助类 |
dellItaApplication | 1.2.840.113556.1.8000.1280.1.3.1.2 | 结构类 |
OID | 1.2.840.113556.1.8000.1280.1.1.1.1 |
---|---|
说明 | 这种类表示 Dell RAC 设备。 RAC 设备必须在 Active Directory 中配置为 dellRacDevice。 此配置启用 DRAC 4 将 LDAP 查询发送到 Active Directory。 |
类的类型 | 结构类 |
超类 | dellProduct |
属性 | dellSchemaVersion dellRacType |
表 8-3. dellAssociationObject 类
OID | 1.2.840.113556.1.8000.1280.1.1.1.2 |
---|---|
说明 | 这种类表示 Dell 关联对象。 关联对象提供了用户和设备或产品之间的连接。 |
类的类型 | 结构类 |
超类 | 组 |
属性 | dellProductMembers dellPrivilegeMember |
OID | 1.2.840.113556.1.8000.1280.1.1.1.3 |
---|---|
说明 | 这种类用于为 DRAC 4 设备定义权限(授权权限)。 |
类的类型 | 辅助类 |
超类 | 无 |
属性 | dellIsLoginUser dellIsCardConfigAdmin dellIsUserConfigAdmin dellIsLogClearAdmin dellIsServerResetUser dellIsConsoleRedirectUser dellIsVirtualMediaUser dellIsTestAlertUser dellIsDebugCommandAdmin |
OID | 1.2.840.113556.1.8000.1280.1.1.1.4 |
---|---|
说明 | 这种类用作 Dell 权限(授权权限)的容器类。 |
类的类型 | 结构类 |
超类 | 用户 |
属性 | dellRAC4Privileges dellRAC3Privileges dellOmsaAuxClass dellItaAuxClass |
OID | 1.2.840.113556.1.8000.1280.1.1.1.5 |
---|---|
说明 | 这是所有 Dell 产品所派生的主类。 |
类的类型 | 结构类 |
超类 | 计算机 |
属性 | dellAssociationMembers |
OID | 1.2.840.113556.1.8000.1280.1.1.1.6 |
---|---|
说明 | 这种类用于为 DRAC III、DRAC III/XT、ERA、ERA/O 和 ERA/MC 设备定义权限(授权权限)。 |
类的类型 | 辅助类 |
超类 | 无 |
属性 | dellIsLoginUser |
OID | 1.2.840.113556.1.8000.1280.1.2.1.1 |
---|---|
说明 | 这种类用于为 Server Administrator 定义权限(授权权限)。 |
类的类型 | 辅助类 |
超类 | 无 |
属性 | dellOmsaIsReadOnlyUser dellOmsaIsReadWriteUser dellOmsaIsAdminUser |
OID | 1.2.840.113556.1.8000.1280.1.2.1.2 |
---|---|
说明 | 这种类代表 Server Administrator 应用程序。 Server Administrator 必须在 Active Directory 中配置为 dellOmsaApplication。 此配置启用 Server Administrator 应用程序将 LDAP 查询发送到 Active Directory。 |
类的类型 | 结构类 |
超类 | dellProduct |
属性 | dellAssociationMembers |
OID | 1.2.840.113556.1.8000.1280.1.3.1.1 |
---|---|
说明 | 这种类用于为 IT Assistant 定义权限(授权权限)。 |
类的类型 | 辅助类 |
超类 | 无 |
属性 | dellItaIsReadOnlyUser dellItaIsReadWriteUser dellItaIsAdminUser |
OID | 1.2.840.113556.1.8000.1280.1.3.1.2 |
---|---|
说明 | 这种类代表 IT Assistant 应用程序。 IT Assistant 必须在 Active Directory 中配置为 dellItaApplication。 此配置启用 IT Assistant 将 LDAP 查询发送到 Active Directory。 |
类的类型 | 结构类 |
超类 | dellProduct |
属性 | dellAssociationMembers |
表 8-12. 添加到 Active Directory 架构的常规属性
表 8-13. 添加到 Active Directory 架构的 RAC 特定属性
表 8-14. 添加到 Active Directory 架构的 Server Administrator 特定属性
表 8-15. 添加到 Active Directory 架构的 IT Assistant 特定属性
在 Active Directory 中扩展架构时,也必须扩展 Active Directory 用户和计算机管理单元以便管理员可以管理产品、用户和用户组、关联和权限。 只需扩展一次管理单元,即使已经添加了一个以上的架构扩展。 必须在每个用于管理这些对象的系统上安装管理单元。 Dell 对 Active Directory 用户和计算机管理单元的扩展是一个选件,可以在使用 Dell PowerEdge Installation and Server Management CD 安装 Systems Management 软件时安装。
![]() |
注:必须在准备管理新 Active Directory 对象的各个管理站上安装 Administrator Pack。 安装过程在下面的“打开 Active Directory 用户和计算机管理单元”部分中介绍。 如果没有安装 Administrator Pack,则无法查看容器中的新对象。 |
![]() |
注:有关 Active Directory 用户和计算机管理单元的详情,请参阅 Microsoft 说明文件。 |
要打开 Active Directory 用户和计算机管理单元,应执行以下步骤:
这会打开 Microsoft Management Console (MMC)。
Dell 扩展的 Active Directory 用户和计算机管理单元使您能够通过创建 RAC、关联和权限对象来添加 DRAC、Server Administrator 和 IT Assistant 用户和权限。 要添加对象,执行相应小节中的步骤。
![]() |
注:Server Administrator 和 IT Assistant 用户必须使用通用类型产品组用其产品对象来跨越域。 |
![]() |
注:当添加来自不同域的通用类型产品组时,需要用通用范围创建一个关联对象。由 Dell Schema Extender 公用程序创建的默认关联对象为域本地组,并且不能与来自其它域的通用类型产品组一起使用。 |
在“Console Root”(控制台根节点) (MMC) 窗口,右击一个容器。
系统将打开“New Object”(新建对象)窗口。
权限对象必须创建在其关联的关联对象的域中。
系统将打开“New Object”(新建对象)窗口。
关联对象从组中派生并且必须包含一个组类型。 关联范围为关联对象指定安全组类型。 创建关联对象时,必须选择适用于要添加对象类型的关联范围。 比如,选择“Universal”(通用)表示关联对象只有在 Active Directory 域以本机或更高模式运行时才可用。
系统将打开“New Object”(新建对象)窗口。
通过使用“Association Object Properties”(关联对象属性)窗口,可以关联用户或用户组、权限对象、系统、RAC 设备以及系统或设备组。
![]() |
注:RAC 用户必须使用通用组用其用户或 RAC 对象跨越域。 |
可以添加用户和产品组。 可以采用创建其它组的相同方法创建与 Dell 相关的组。
要添加用户或用户组:
单击“Privilege Object”(权限对象)选项卡将权限对象添加到关联,从而定义用户或用户组验证系统时的权限。
![]() |
注:只能将一个权限对象添加到关联对象。 |
要添加权限:
单击“Products”(产品)选项卡将一个或多个系统或设备添加到关联。 关联的对象指定连接到网络的对已定义用户或用户组可用的产品。
![]() |
注:可以将多个系统或 RAC 设备添加到关联对象。 |
要添加产品:
如果准备使用 Microsoft 企业根 CA 自动给所有的域控制器分配 SSL 认证,必须执行下列步骤在各个域控制器上启用 SSL。
![]() |
注:如果在使用 Windows 2000,以下步骤可能略有不同。 |
![]() |
注:如果 DRAC 4 固件 SSL 认证是由有名的 CA 签署的,则无需执行本部分中介绍的步骤。 |
![]() |
注:如果在使用 Windows 2000,以下步骤可能略有不同。 |
如果已安装了自己的认证,确保签署认证的 CA 位于“Trusted Root Certification Authority”(受信任的根认证颁发机构)列表。 如果 CA 不在列表中,必须在所有的域控制器上安装它。
有关如何使用 CLI 命令配置 Server Administrator 或 IT Assistant 系统的说明,请参阅“在运行 Server Administrator 的系统上使用 CLI 配置 Active Directory”和“在运行 IT Assistant 的系统上配置 Active Directory”。对于 DRAC 用户,有两种方式配置 DRAC 4。 请参阅“使用基于 Web 的界面配置 DRAC 4”或“使用 racadm CLI 配置 DRAC 4 Active Directory 设置”。
![]() |
注:装有 Server Administrator 和/或 IT Assistant 的系统必须是 Active Directory 域的一部分并且在该域中还应具有计算机帐户。 |
可以使用 omconfig preferences dirservice 命令配置 Active Directory 服务。 产品oem.ini 文件会修改以反映这些更改。 如果 adproductname 没有出现在产品oem.ini 文件中,则会分配一个默认名称。默认值是系统名称-软件-产品名称,其中系统名称 是运行 Server Administrator 的系统的名称,而软件-产品名称是指 omprv32.ini(即,计算机名称-omsa)中定义的软件产品的名称。
![]() |
注:此命令只适用于运行 Windows 操作系统的系统。 |
![]() |
注:配置完 Active Directory 后重新启动 Server Administrator 服务。 |
表 8-16 显示命令的有效参数。
表 8-16. Active Directory 服务配置参数
默认情况下,Active Directory 产品名称对应于 机器名-ita,其中机器名是装有 IT Assistant 的系统的名称。 要配置其它名称,找到安装目录中的 itaoem.ini 文件。 编辑该文件以添加“adproductname=文本”行,其中文本是在 Active Directory 中创建的产品对象的名称。 例如,如果 Active Directory 产品名称配置为 mgmtStationITA,itaoem.ini 文件将包含以下语法。
productname=IT Assistant
startmenu=Dell OpenManage Applications
autdbid=ita
accessmask=3
startlink=ITAUIServlet
adsupport=true
adproductname=mgmtStationITA
![]() |
注:将 itaoem.ini 文件保存到磁盘后重新启动 IT Assistant 服务。 |
通过 racadm CLI 而不是基于 Web 的界面,使用以下命令配置 DRAC 4 Active Directory 功能。
racadm config -g cfgActiveDirectory -o cfgADEnable 1
racadm config -g cfgActiveDirectory -o cfgADRacDomain <完全合格的 rac 域名>
racadm config -g cfgActiveDirectory -o cfgADRootDomain <完全合格的 root 域名>
racadm config -g cfgActiveDirectory -o cfgADRacName <RAC 常用名>
racadm sslcertupload -t 0x2 -f <ADS root CA 证书>
racadm sslcertdownload -t 0x1 -f <RAC SSL 证书>
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <主 DNS IP 地址>
racadm config -g cfgLanNetworking -o cfgDNSServer2 <次 DNS IP 地址>
请参阅《Dell Remote Access Controller 4 用户指南》了解详情。