Regresar a la página de contenido

Utilización de Microsoft® Active Directory®

Guía del usuario de instalación y seguridad de Dell OpenManage™ versión 5.1

  Control de acceso a su red

  Extendiendo el esquema de Active Directory



Control de acceso a su red

Si usa el software del servicio Active Directory, puede configurarlo para controlar el acceso a la red. Dell ha modificado la base de datos de Active Directory para admitir la administración y autorización de autentificación remota. Dell OpenManage™ IT Assistant y Dell OpenManage Server Administrator, así como los controladores de acceso remoto de Dell™, tienen ahora una interfaz con Active Directory. Con esta herramienta, se pueden agregar y controlar los usuarios y privilegios desde una base de datos central.

NOTA: El uso de Active Directory para reconocer a los usuarios de Dell Remote Access Controller (DRAC), IT Assistant o Server Administrator es compatible con los sistemas operativos Microsoft Windows® 2000 y Windows Server™ 2003.

Extensiones de esquema de Active Directory

Los datos de Active Directory existen en una base de datos distribuida de Atributos y Clases. Un ejemplo de una Clase de Active Directory es la clase Usuario. Algunos ejemplos de Atributos de la clase Usuario pueden ser el nombre del usuario, apellido, número de teléfono, etc., del usuario. Cada Atributo o Clase que se agrega a un esquema existente de Active Directory existente debe estar definido con una identificación única. Para mantener identificaciones únicas en toda la industria, Microsoft mantiene una base de datos de identificadores de objeto (OID) de Active Directory.

El esquema de Active Directory define las reglas para que los datos pueden ser incluidos en la base de datos. Para ampliar el esquema en Active Directory, Dell recibió OID únicas, extensiones de nombre exclusivas e identificaciones exclusivas de atributos vinculados para los nuevos atributos y clases en el servicio de directorio.

La extensión de Dell es: dell

El OID base de Dell es: 1.2.840.113556.1.8000.1280

El rango de identificación de vínculo de Dell es: de 12070 a 12079

Puede consultar la base de datos de OID de Active Directory mantenida por Microsoft en msdn.microsoft.com/certification/ADAcctInfo.asp si introduce nuestra extensión, dell.

Descripción general de las extensiones de esquema de Active Directory

Dell creó clases, o grupos de objetos, que el usuario puede configurar para cumplir sus necesidades únicas. Las nuevas clases en el esquema incluyen las clases Asociación, Producto y Privilegio. Un objeto de asociación vincula a los usuarios o grupos con un conjunto dado de privilegios y con los sistemas (productos) de la red. Este modelo otorga el control a un administrador sobre las distintas combinaciones de usuarios, privilegios y sistemas o dispositivos de RAC en la red, sin agregar complejidad.

Descripción general de objetos de Active Directory

Para cada uno de los sistemas que desee integrar con Active Directory para la autentificación y autorización, deberá haber al menos un objeto de asociación y un objeto de producto. El objeto de producto representa el sistema. El objeto de asociación lo vincula con los usuarios y privilegios. Usted puede crear el número de objetos de asociación que necesite.

Cada objeto de asociación puede estar vinculado con el número de usuarios, grupos de usuarios y objetos de producto que se desee. Los usuarios y los objetos de producto pueden provenir de cualquier dominio. Sin embargo, cada objeto de asociación puede vincularse sólo a un objeto de privilegio. Esto permite que un administrador tenga control sobre qué derechos tiene cada usuario en sistemas específicos.

El objeto de producto vincula el sistema con Active Directory para realizar consultas de autorización y autentificación. Cuando se agrega un sistema a la red, el administrador debe configurar el sistema y el objeto de producto con el nombre de Active Directory, de modo que los usuarios puedan realizar autenticaciones y autorizaciones con Active Directory. El administrador también deberá agregar el sistema por lo menos un objeto de asociación para que los usuarios se puedan autentificar.

La figura 8-1 muestra que el objeto de asociación proporciona la conexión necesaria para todas las autentificaciones y autorizaciones.

Figura 8-1. Configuración convencional de los objetos de Active Directory

Además, se pueden configurar objetos de Active Directory en un solo dominio o en varios. La configuración de objetos en un solo dominio no varía, ya sea que se estén configurando objetos de RAC, de Server Administrator o de IT Assistant. Sin embargo, cuando hay varios dominios involucrados, hay algunas diferencias.

Por ejemplo, se tienen dos tarjetas DRAC 4 (RAC1 y RAC2) y tres usuarios existentes de Active Directory (usuario1, usuario2 y usuario3). Se quieren otorgar privilegios de administrador al usuario1 y al usuario2 en las dos tarjetas DRAC 4 y se desea dar un privilegio de inicio de sesión al usuario3 en la tarjeta RAC2. La figura 8-2 muestra cómo se configuran los objetos de Active Directory en este escenario.

Figura 8-2. Configuración de objetos de Active Directory en un solo dominio

Para configurar los objetos en el escenario de un solo dominio, realice las tareas siguientes:

  1. Cree dos objetos de asociación.

  2. Cree dos objetos de producto de RAC, RAC1 y RAC2, que representen las dos tarjetas DRAC 4.

  3. Cree dos objetos de privilegio, Priv1 y Priv2, donde Priv1 tenga todos los privilegios (administrador) y Priv2 tenga privilegios de inicio de sesión.

  4. Agrupe el Usuario1 y el Usuario2 en el Grupo1.

  5. Agregue el Grupo1 como miembro en el objeto de asociación 1 (OA1), Priv1 como objeto de privilegio en OA1, y RAC1 y RAC2 como productos RAC en OA1.

  6. Agregue el usuario3 como miembro en el objeto de asociación 2 (OA2), Priv2 como objeto de privilegio en OA2, y RAC2 como producto de RAC en OA2.

Consulte "Cómo agregar usuarios y privilegios a Active Directory" para ver instrucciones detalladas.

La figura 8-3 muestra cómo configurar los objetos de Active Directory en varios dominios del RAC. En este escenario, se tienen dos tarjetas DRAC 4 (RAC1 y RAC2) y tres usuarios existentes de Active Directory (Usuario1, Usuario2 y Usuario3). El Usuario1 está en el Dominio1, pero el Usuario2 y el Usuario3 están en el Dominio2. Se quieren dar privilegios de administrador al Usuario1 y al Usuario2 en ambas tarjetas, RAC1 y RAC2, y otorgar al Usuario3 un privilegio de inicio de sesión en la tarjeta RAC2.

Figura 8-3. Configuración de objetos de RAC de Active Directory en varios dominios

Para configurar los objetos en este escenario de múltiples dominios, realice las siguientes tareas:

  1. Asegúrese que la función de bosque de dominios esté en el modo Nativo o Windows 2003.

  2. Cree dos objetos de asociación, OA1 (de ámbito universal) y OA2, en cualquier dominio. La figura muestra los objetos en el Dominio2.

  3. Cree dos objetos de dispositivo de RAC, RAC1 y RAC2, para representar los dos sistemas remotos.

  4. Cree dos objetos de privilegio, Priv1 y Priv2, donde Priv1 tenga todos los privilegios (administrador) y Priv2 tenga privilegios de inicio de sesión.

  5. Agrupe el Usuario1 y el Usuario2 en el Grupo1. El ámbito de grupo del Grupo1 debe ser Universal.

  6. Agregue el Grupo1 como miembro en el objeto de asociación 1 (OA1), Priv1 como objeto de privilegio en OA1, y RAC1 y RAC2 como productos en OA1.

  7. Agregue el usuario3 como miembro en el objeto de asociación 2 (OA2), Priv2 como objeto de privilegio en OA2, y RAC2 como un producto en OA2.

Por otra parte, en el caso de Server Administrator o IT Assistant, los usuarios en una sola asociación pueden estar en dominios separados sin que sea necesario agregarlos a un grupo universal. El siguiente es un ejemplo muy parecido para mostrar la forma en la que los sistemas en dominios separados de IT Assistant o Server Administrator afectan la configuración de los objetos del directorio. En vez de dispositivos de RAC, tendrá dos sistemas que ejecutan Server Administrator (productos de Server Administrator sist1 y sist2). Sist1 y sist2 están en diferentes dominios. Puede usar cualquier usuario o grupo existente que tenga en Active Directory. La figura 8-4 muestra cómo configurar los objetos de Active Directory de Server Administrator para este ejemplo.

Figura 8-4. Configuración de objetos de Server Administrator de Active Directory en varios dominios

Para configurar los objetos en este escenario de múltiples dominios, realice las siguientes tareas:

  1. Asegúrese que la función de bosque de dominios esté en el modo Nativo o Windows 2003.

  2. Cree dos objetos de asociación, OA1 y OA2, en cualquier dominio. La figura muestra los objetos en el Dominio1.

  3. Cree dos productos de Server Administrator, sist1 y sist2, para representar los dos sistemas. Sist1 está en el Dominio1 y sist2 está en el Dominio2.

  4. Cree dos objetos de privilegio, Priv1 y Priv2, donde Priv1 tenga todos los privilegios (administrador) y Priv2 tenga privilegios de inicio de sesión.

  5. Agrupe el sist2 al Grupo1. El ámbito de grupo del Grupo1 debe ser universal.

  6. Agregue el Usuario1 y el Usuario2 como miembros en el objeto de asociación 1 (OA1), Priv1 como objeto de privilegio en OA1, y sist1 y Grupo1 como productos en OA1.

  7. Agregue el usuario3 como miembro en el objeto de asociación 2 (OA2), Priv2 como objeto de privilegio en OA2, y Grupo1 como producto en OA2.

Note que, en este caso, ninguno de los objetos de asociación necesitan ser de ámbito universal.

Configuración de Active Directory para acceder a los sistemas

Antes de que pueda usar Active Directory para acceder los sistemas, debe configurar tanto el software Active Directory como los sistemas.

  1. Amplíe el esquema Active Directory (consulte "Extensiones de esquema de Active Directory").

  2. Amplíe el complemento de usuarios y equipos de Active Directory (consulte "Instalación de la extensión de Dell para el complemento de usuarios y equipos de Active Directory").

  3. Agregue los usuarios de sistema y sus privilegios a Active Directory (consulte "Cómo agregar usuarios y privilegios a Active Directory").

  4. Sólo en el caso de los sistemas de RAC, active el SSL en cada uno de los controladores de dominio (consulte "Activación de SSL en un controlador de dominio (sólo para RAC)").

  5. Configure las propiedades de Active Directory del sistema que usan la interfaz basada en web o la CLI (consulte "Configuración de los sistemas o dispositivos").


Extendiendo el esquema de Active Directory

Hay extensiones de esquema de RAC, Server Administrator e IT Assistant disponibles. Usted sólo necesita ampliar el esquema para el software o hardware que está usando. Cada extensión debe aplicarse individualmente para recibir los beneficios de la configuración específica del software. Al ampliar el esquema de Active Directory se agregarán clases y atributos de esquema, objetos de privilegio y de asociación de ejemplo, y una unidad organizativa de Dell al esquema.

NOTA: Para ampliar el esquema, debe tener privilegios de Administrador de esquema en el propietario de la función de operación maestra simple y flexible (FSMO) del esquema en el bosque de dominio.

Usted puede ampliar el esquema por medio de dos métodos distintos. Usted puede usar la utilidad de extensión de esquema de Dell, o usted puede usar el archivo de secuencia de comandos en formato de intercambio de directorio ligero (LDIF).

NOTA: La unidad organizativa de Dell no se agregará si usted usa el archivo de secuencia de comandos LDIF.

Los archivos de secuencia de comandos LDIF y la extensión del esquema de Dell se encuentran en el CD Dell PowerEdge Installation and Server Management en los directorios respectivos siguientes:

donde tipo de instalación será RAC4, RAC3, Server Administrator o IT Assistant versión 7.0 o posterior, según la elección de extensión de esquema que usted haya hecho.

Para usar los archivos LDIF, consulte las instrucciones en el archivo léame que está en el directorio de archivos LDIF. Para usar el ampliador de esquema de Dell para ampliar el esquema de Active Directory, realice los pasos descritos en "Uso del ampliador de esquema de Dell".

Puede copiar y ejecutar el ampliador de esquema o los archivos LDIF desde cualquier ubicación.

Uso del ampliador de esquema de Dell

AVISO: El ampliador de esquema de Dell usa el archivo SchemaExtenderOem.ini. Para asegurar que la utilidad de extensión de esquema de Dell funcione correctamente, no modifique el nombre o el contenido de este archivo.
  1. Haga clic en Siguiente en la pantalla de bienvenida.

  2. Lea la advertencia y haga clic en Siguiente otra vez.

  3. Seleccione Usar credenciales del inicio de sesión actual, o bien, introduzca un nombre y contraseña de usuario con derechos de administrador de esquema.

  4. Haga clic en Siguiente para ejecutar el ampliador de esquema de Dell.

  5. Haga clic en Finalizar.

Para verificar la extensión del esquema, use el complemento de esquema de Active Directory en la consola administración de Microsoft (MMC) para verificar la existencia de las siguientes clases (que aparecen en la tabla 8-1, la tabla 8-6, la tabla 8-7, la tabla 8-9, la tabla 8-10, la tabla 8-11 y la tabla 8-12) y atributos (que aparecen en la tabla 8-13, la tabla 8-14 y la tabla 8-15). Consulte la documentación de Microsoft para obtener más información acerca de cómo activar y usar el complemento de esquema de Active Directory en el MMC.

Tabla 8-1. Definiciones de las clases agregadas al esquema de Active Directory

Nombre de clase

Número asignado de identificación de objeto (OID)

Tipo de clase

dellRacDevice

1.2.840.113556.1.8000.1280.1.1.1.1

Clase estructural

dellAssociationObject

1.2.840.113556.1.8000.1280.1.1.1.2

Clase estructural

dellRAC4Privileges

1.2.840.113556.1.8000.1280.1.1.1.3

Clase auxiliar

dellPrivileges

1.2.840.113556.1.8000.1280.1.1.1.4

Clase estructural

dellProduct

1.2.840.113556.1.8000.1280.1.1.1.5

Clase estructural

dellRAC3Privileges

1.2.840.113556.1.8000.1280.1.1.1.6

Clase auxiliar

dellOmsa2AuxClass

1.2.840.113556.1.8000.1280.1.2.1.1

Clase auxiliar

dellOmsaApplication

1.2.840.113556.1.8000.1280.1.2.1.2

Clase estructural

dellIta7AuxClass

1.2.840.113556.1.8000.1280.1.3.1.1

Clase auxiliar

dellItaApplication

1.2.840.113556.1.8000.1280.1.3.1.2

Clase estructural

Tabla 8-2. Clase dellRacDevice 

OID

1.2.840.113556.1.8000.1280.1.1.1.1

Descripción

Esta clase representa el dispositivo de RAC de Dell. El dispositivo de RAC debe estar configurado como dellRacDevice en Active Directory. Esta configuración permite que el DRAC 4 envíe preguntas de LDAP a Active Directory.

Tipo de clase

Clase estructural

Superclases

dellProduct

Atributos

dellSchemaVersion

dellRacType

Tabla 8-3. Clase dellAssociationObject

OID

1.2.840.113556.1.8000.1280.1.1.1.2

Descripción

Esta clase representa el objeto de asociación de Dell. El objeto de asociación proporciona la conexión entre los usuarios y los dispositivos o productos.

Tipo de clase

Clase estructural

Superclases

Grupo

Atributos

dellProductMembers

dellPrivilegeMember

Tabla 8-4. Clase dellRAC4Privileges 

OID

1.2.840.113556.1.8000.1280.1.1.1.3

Descripción

Esta clase se usa para definir los privilegios (derechos de autorización) del dispositivo DRAC 4.

Tipo de clase

Clase auxiliar

Superclases

Ninguna

Atributos

dellIsLoginUser

dellIsCardConfigAdmin

dellIsUserConfigAdmin

dellIsLogClearAdmin

dellIsServerResetUser

dellIsConsoleRedirectUser

dellIsVirtualMediaUser

dellIsTestAlertUser

dellIsDebugCommandAdmin

Tabla 8-5. Clase dellPrivileges 

OID

1.2.840.113556.1.8000.1280.1.1.1.4

Descripción

Esta clase se usa como clase contenedora de los privilegios de Dell (derechos de autorización).

Tipo de clase

Clase estructural

Superclases

Usuario

Atributos

dellRAC4Privileges

dellRAC3Privileges

dellOmsaAuxClass

dellItaAuxClass

Tabla 8-6. Clase dellProduct

OID

1.2.840.113556.1.8000.1280.1.1.1.5

Descripción

Ésta es la clase principal de la que se derivan todos los productos de Dell.

Tipo de clase

Clase estructural

Superclases

Equipo

Atributos

dellAssociationMembers

Tabla 8-7. Clase dellRAC3Privileges

OID

1.2.840.113556.1.8000.1280.1.1.1.6

Descripción

Esta clase se usa para definir los privilegios (derechos de autorización) de los dispositivos DRAC III, DRAC III/XT, ERA, ERA/O y ERA/MC.

Tipo de clase

Clase auxiliar

Superclases

Ninguna

Atributos

dellIsLoginUser

Tabla 8-8. Clase dellOmsa2AuxClass 

OID

1.2.840.113556.1.8000.1280.1.2.1.1

Descripción

Esta clase se usa para definir los privilegios (derechos de autorización) de Server Administrator.

Tipo de clase

Clase auxiliar

Superclases

Ninguna

Atributos

dellOmsaIsReadOnlyUser

dellOmsaIsReadWriteUser

dellOmsaIsAdminUser

Tabla 8-9. Clase dellOmsaApplication 

OID

1.2.840.113556.1.8000.1280.1.2.1.2

Descripción

Esta clase representa la aplicación Server Administrator. Server Administrator debe estar configurado como dellOmsaApplication en Active Directory. Esta configuración permite a la aplicación de Server Administrator enviar consultas de LDAP a Active Directory.

Tipo de clase

Clase estructural

Superclases

dellProduct

Atributos

dellAssociationMembers

Tabla 8-10. Clase dellIta7AuxClass

OID

1.2.840.113556.1.8000.1280.1.3.1.1

Descripción

Esta clase se usa para definir los privilegios (derechos de autorización) de IT Assistant.

Tipo de clase

Clase auxiliar

Superclases

Ninguna

Atributos

dellItaIsReadOnlyUser

dellItaIsReadWriteUser

dellItaIsAdminUser

Tabla 8-11. Clase dellItaApplication 

OID

1.2.840.113556.1.8000.1280.1.3.1.2

Descripción

Esta clase representa la aplicación de IT Assistant. IT Assistant debe estar configurado como dellItaApplication en Active Directory. Esta configuración permite a IT Assistant enviar consultas LDAP a Active Directory.

Tipo de clase

Clase estructural

Superclases

dellProduct

Atributos

dellAssociationMembers

Tabla 8-12. Atributos generales agregados al esquema de Active Directory 

Nombre/descripción del atributo

OID asignada/Identificador de objeto de sintaxis

Con un solo valor

dellPrivilegeMember

Lista de objetos dellPrivilege que pertenecen a este atributo.

1.2.840.113556.1.8000.1280.1.1.2.1

Nombre distinguido (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSO

dellProductMembers

Lista de objetos dellRacDevices que pertenecen a esta función. Este atributo es el vínculo de avance al vínculo de retroceso dellAssociationMembers.

Identificación de vínculo: 12070

1.2.840.113556.1.8000.1280.1.1.2.2

Nombre distinguido (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSO

dellAssociationMembers

Lista de miembros de dellAssociationObjectMembers que pertenecen a este producto. Este atributo es el eslabón de retroceso al atributo vinculado dellProductMembers.

Identificación de vínculo: 12071

1.2.840.113556.1.8000.1280.1.1.2.14

Nombre distinguido (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSO

Tabla 8-13. Atributos específicos del RAC que se agregan al esquema de Active Directory 

Nombre/descripción del atributo

OID asignada/Identificador de objeto de sintaxis

Con un solo valor

dellIsLoginUser

VERDADERO si el usuario tiene derechos de inicio de sesión en el dispositivo.

1.2.840.113556.1.8000.1280.1.1.2.3

Booleano (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

VERDADERO

dellIsCardConfigAdmin

VERDADERO si el usuario tiene derechos de configuración de tarjeta en el dispositivo.

1.2.840.113556.1.8000.1280.1.1.2.4

Booleano (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

VERDADERO

dellIsUserConfigAdmin

VERDADERO si el usuario tiene derechos de configuración de usuario en el dispositivo.

1.2.840.113556.1.8000.1280.1.1.2.5

Booleano (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

VERDADERO

delIsLogClearAdmin

VERDADERO si el usuario tiene derechos para borrar el registro en el dispositivo.

1.2.840.113556.1.8000.1280.1.1.2.6

Booleano (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

VERDADERO

dellIsServerResetUser

VERDADERO si el usuario tiene derechos de restablecimiento de servidor en el dispositivo.

1.2.840.113556.1.8000.1280.1.1.2.7

Booleano (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

VERDADERO

dellIsConsoleRedirectUser

VERDADERO si el usuario tiene derechos de redirección de consola en el dispositivo.

1.2.840.113556.1.8000.1280.1.1.2.8

Booleano (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

VERDADERO

dellIsVirtualMediaUser

VERDADERO si el usuario tiene derechos de medios virtuales en el dispositivo.

1.2.840.113556.1.8000.1280.1.1.2.9

Booleano (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

VERDADERO

dellIsTestAlertUser

VERDADERO si el usuario tiene derechos de usuario para prueba de alertas en el dispositivo.

1.2.840.113556.1.8000.1280.1.1.2.10

Booleano (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

VERDADERO

dellIsDebugCommandAdmin

VERDADERO si el usuario tiene derechos de Administrador para comando de depuración en el dispositivo.

1.2.840.113556.1.8000.1280.1.1.2.11

Booleano (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

VERDADERO

dellSchemaVersion

La versión de esquema actual se usa para actualizar el esquema.

1.2.840.113556.1.8000.1280.1.1.2.12

Cadena que no distingue entre mayúsculas y minúsculas
(LDAPTYPE_CASEIGNORESTRING
1.2.840.113556.1.4.905)

VERDADERO

dellRacType

Este atributo es el tipo de RAC actual del objeto dellRacDevice y el vínculo de retroceso al vínculo de avance de dellAssociationObjectMembers.

1.2.840.113556.1.8000.1280.1.1.2.13

Cadena que no distingue entre mayúsculas y minúsculas
(LDAPTYPE_CASEIGNORESTRING
1.2.840.113556.1.4.905)

VERDADERO

Tabla 8-14. Atributos específicos de Server Administrator que se agregan al esquema de Active Directory 

Nombre/descripción del atributo

OID asignada/Identificador de objeto de sintaxis

Con un solo valor

dellOMSAIsReadOnlyUser

VERDADERO si el usuario tiene derechos de Sólo lectura en Server Administrator

1.2.840.113556.1.8000.1280.1.2.2.1

Booleano (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

VERDADERO

dellOMSAIsReadWriteUser

VERDADERO si el usuario tiene derechos de lectura y escritura en Server Administrator

1.2.840.113556.1.8000.1280.1.2.2.2

Booleano (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

VERDADERO

dellOMSAIsAdminUser

VERDADERO si el usuario tiene derechos de Administrador en Server Administrator

1.2.840.113556.1.8000.1280.1.2.2.3

Booleano (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

VERDADERO

Tabla 8-15. Atributos específicos de IT Assistant que se agregan al esquema de Active Directory

Nombre/descripción del atributo

OID asignada/Identificador de objeto de sintaxis

Con un solo valor

dellItaIsReadWriteUser

VERDADERO si el usuario tiene derechos de lectura y escritura en IT Assistant

1.2.840.113556.1.8000.1280.1.3.2.1

Booleano (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

VERDADERO

dellItaIsAdminUser

VERDADERO si el usuario tiene derechos de Administrador en IT Assistant

1.2.840.113556.1.8000.1280.1.3.2.2

Booleano (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

VERDADERO

dellItaIsReadOnlyUser

VERDADERO si el usuario tiene derechos de sólo lectura en IT Assistant

1.2.840.113556.1.8000.1280.1.3.2.3

Booleano (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

VERDADERO

Complemento de Active Directory para usuarios y equipos

Instalación de la extensión de Dell para el complemento de usuarios y equipos de Active Directory

Cuando usted amplía el esquema en Active Directory, también debe ampliar el complemento de usuarios y equipos de Active Directory de manera que el administrador pueda administrar productos, usuarios y grupos de usuario, asociaciones y privilegios. Sólo tiene que extender el componente una vez, aun cuando haya agregado más de una extensión de esquema. Debe instalar el complemento en cada sistema que desea usar para administrar estos objetos. La extensión de Dell para el complemento de usuarios y equipos de Active Directory es una opción que se puede instalar cuando usted instala el software Systems Management por medio del CD Dell PowerEdge Installation and Server Management.

NOTA: Debe instalar el paquete de administrador en cada estación de administración que va a administrar los nuevos objetos de Active Directory. La instalación se describe en la sección siguiente, "Cómo abrir el complemento de usuarios y equipos de Active Directory". Si no instala el paquete de administrador, no podrá ver el nuevo objeto en el contenedor.
NOTA: Para obtener más información acerca del complemento de usuarios y equipos de Active Directory, consulte la documentación de Microsoft.

Cómo abrir el complemento de usuarios y equipos de Active Directory

Para abrir el complemento de usuarios y equipos de Active Directory, realice los pasos siguientes:

  1. Si está en el controlador del dominio, haga clic en Inicio Herramientas administrativas® Usuarios y equipos de Active Directory. Si no está en el controlador de dominio, deberá tener el paquete apropiado de administrador de Microsoft instalado en el sistema local. Para instalar este paquete de administrador, haga clic en Inicio®, luego en Ejecutar, escriba MMC y oprima Entrar.

Se abre la Consola de Administración de Microsoft (MMC).

  1. Haga clic en Archivo (o en Consola en los sistemas que ejecutan Windows 2000) en la ventana Consola 1.

  2. Haga doble clic en Agregar o quitar complemento.

  3. Seleccione el complemento Usuarios y equipos de Active Directory y haga clic en Agregar.

  4. Haga clic en Cerrar y haga clic en Aceptar.

Cómo agregar usuarios y privilegios a Active Directory

El complemento de usuarios y computadores de Active Directory de Dell permite agregar usuarios y privilegios de usuario para DRAC, Server Administrator y IT Assistant mediante la creación de objetos de asociación y privilegio para RAC. Para agregar un objeto, realice los pasos del apartado correspondiente.

Creación de un objeto de producto

NOTA: Los usuarios de Server Administrator e IT Assistant deben usar tipos de grupos de producto universales para abarcar dominios con los objetos de producto.
NOTA: Al agregar grupos de productos de tipo universal a partir de dominios separados, tiene que crear un objeto de asociación con ámbito universal. Los objetos de asociación predeterminados creados por la utilidad Dell Schema Extender grupos locales del dominio y no funcionarán con los grupos de productos de tipo universal procedentes de otros dominios.

En la ventana Raíz de consola (MMC), haga clic con el botón derecho del mouse en un contenedor.

  1. Seleccione Nuevo.

  2. Seleccione un objeto de RAC, Dell OpenManage Server Administrator o IT Assistant, dependiendo de cuál sea el que tiene instalado.

Aparecerá la ventana Nuevo objeto.

  1. Teclee un nombre para el nuevo objeto. Este nombre debe coincidir con el Nombre de producto de Active Directory como se describió en "Configuración de Active Directory utilizando la CLI en sistemas que ejecutan Server Administrator", o para un dispositivo de RAC, el nombre que se escribirá en el paso 4 de "Configuración de los sistemas o dispositivos", o para IT Assistant, el nombre que se menciona en "Configuración de Active Directory en sistemas que ejecutan IT Assistant".

  2. Seleccione el Objeto de producto adecuado.

  3. Haga clic en Aceptar.

Creación de un objeto de privilegio

Los objetos de privilegio se deben crear en el mismo dominio que el objeto de asociación al que están asociados.

  1. En la ventana Raíz de consola (MMC), haga clic con el botón derecho del mouse en un contenedor.

  2. Seleccione Nuevo.

  3. Seleccione un objeto de RAC, Dell OpenManage Server Administrator o IT Assistant, dependiendo de cuál sea el que tiene instalado.

Aparecerá la ventana Nuevo objeto.

  1. Teclee un nombre para el nuevo objeto.

  2. Seleccione el Objeto de privilegio adecuado.

  3. Haga clic en Aceptar.

  4. Haga clic con el botón derecho del mouse en el objeto de privilegio que creó y seleccione Propiedades.

  5. Haga clic en la ficha Privilegios adecuada y seleccione los privilegios que desea que tenga el usuario (para obtener más información, consulte la tabla 8-1 y la tabla 8-10).

Creación de un objeto de asociación

El objeto de asociación se deriva de un grupo y debe contener un tipo de grupo. El ámbito de la asociación especifica el tipo de grupo de seguridad del objeto de asociación. Cuando se crea un objeto de asociación, se debe elegir el ámbito de la asociación que se aplica al tipo de objetos que se van a agregar. Por ejemplo si se selecciona Universal, significa que los objetos de asociación estarán disponibles únicamente cuando el dominio de Active Directory esté funcionando en modo nativo o superior.

  1. En la ventana Raíz de consola (MMC), haga clic con el botón derecho del mouse en un contenedor.

  2. Seleccione Nuevo.

  3. Seleccione un objeto de RAC, Dell OpenManage Server Administrator o IT Assistant, dependiendo de cuál sea el que tiene instalado.

Aparecerá la ventana Nuevo objeto.

  1. Teclee un nombre para el nuevo objeto.

  2. Seleccione Objeto de asociación.

  3. Seleccione el ámbito del Objeto de asociación.

  4. Haga clic en Aceptar.

Cómo agregar objetos a un objeto de asociación

Con la ventana Propiedades del objeto de asociación, usted puede asociar usuarios o grupos de usuario, objetos de privilegio, sistemas, dispositivos RAC y grupos de dispositivos o sistemas.

NOTA: Los usuarios de RAC deben usar grupos universales para abarcar los dominios con los usuarios u objetos de RAC.

Usted puede agregar grupos de usuarios y productos. Puede crear grupos Dell relacionados de la misma manera en que creó otros grupos.

Para agregar usuarios o grupos de usuarios:

  1. Haga clic con el botón derecho del mouse en Objeto de asociación y seleccione Propiedades.

  2. Seleccione la ficha Usuarios y haga clic en Agregar.

  3. Escriba el nombre del usuario o grupo de usuarios, o desplácese para seleccionar uno, y haga clic en Aceptar.

Haga clic en la ficha Objeto de privilegio para agregar el objeto de privilegio para la asociación que define los privilegios del usuario o grupo de usuarios al momento de autenticar para un sistema.

NOTA: Sólo puede agregar un objeto de privilegio a un objeto de asociación.

Para agregar un privilegio:

  1. Seleccione la ficha Objeto de privilegio y haga clic en Agregar.

  2. Escriba el nombre del objeto de privilegio o seleccione uno existente y haga clic en Aceptar.

Haga clic en la ficha Productos para agregar uno o varios sistemas o dispositivos a la asociación. Los objetos asociados especifican los productos conectados a la red que están disponibles para los usuarios o grupos de usuarios definidos.

NOTA: Puede agregar múltiples sistemas o dispositivos RAC a un objeto de asociación.

Para agregar productos:

  1. Seleccione la ficha Productos y haga clic en Agregar.

  2. Escriba el nombre del sistema, dispositivo o grupo y haga clic en Aceptar.

  3. En la ventana Propiedades, haga clic en Aplicar y luego en Aceptar.

Activación de SSL en un controlador de dominio (sólo para RAC)

Si planea usar la Entidad emisora de certificados raíz de Microsoft para asignar automáticamente todos los certificados SSL de los controladores de dominio, deberá realizar los pasos siguientes para activar el SSL en cada controlador de dominio.

  1. Instale una Entidad emisora de certificados raíz de Microsoft en un controlador de dominio.

    1. Seleccione Inicio® Panel de control® Agregar o quitar programas.

    1. Seleccione Agregar o quitar componentes de Windows.

    2. En el Asistente de componentes de Windows, seleccione la casilla Servicios de certificado.

    3. Seleccione Entidad emisora raíz de la empresa como Tipo de entidad emisora de certificados y haga clic en Siguiente.

    4. Introduzca un Nombre común para esta entidad emisora de certificados, haga clic en Siguiente y luego en Finalizar.

  2. Active el SSL en cada uno de los controladores de dominio mediante la instalación del certificado SSL para cada controlador.

    1. Haga clic en Inicio® Herramientas administrativas® Política de seguridad de dominios.

    1. Amplíe la carpeta Directivas de claves públicas, haga clic con el botón derecho del mouse en Configuración de la petición de certificados automática y haga clic en Petición de certificados automática.

    2. En el Asistente para instalación de petición automática de certificado, haga clic en Siguiente y seleccione Controlador de dominio.

    3. Haga clic en Siguiente y luego en Finalizar.

Cómo exportar el certificado raíz de CA del controlador de dominio (sólo para RAC)

NOTA: Los pasos siguientes pueden variar ligeramente si se está usando Windows 2000.
  1. Vaya al controlador de dominio en el que instaló el servicio de entidad emisora de certificados de Microsoft.

  2. Haga clic en Inicio® Ejecutar.

  3. Escriba mmc y haga clic en Aceptar.

  4. En la ventana Consola 1 (MMC), haga clic en Archivo (o en Consola en sistemas con Windows 2000) y seleccione Agregar o quitar complemento.

  5. En la ventana Agregar o quitar complemento, haga clic en Agregar.

  6. En la ventana Complemento independiente, seleccione Certificados y haga clic en Agregar.

  7. Seleccione la cuenta Equipo y haga clic en Siguiente.

  8. Seleccione Equipo Local y haga clic en Finalizar.

  9. Haga clic en Aceptar.

  10. En la ventana Consola 1, amplíe la carpeta Certificados, amplíe la carpeta Personal y haga clic en la carpeta Certificados.

  11. Localice y haga clic con el botón derecho del mouse en el certificado raíz de CA, seleccione Todas las tareas y haga clic en Exportar.

  12. En el Asistente para exportación de certificados, haga clic en Siguiente y seleccione No exportar la clave privada.

  13. Haga clic en Siguiente y seleccione X.509 codificado base 64 (.CER) como el formato.

  14. Haga clic en Siguiente y guarde el certificado a la ubicación de su elección. Deberá cargar este certificado al DRAC 4. Para hacerlo, vaya a la Interfaz basada en web del DRAC4® ficha Configuración® página Active Directory. O puede usar los comandos de la CLI de racadm (consulte "Configuración de los valores de Active Directory de DRAC 4 utilizando la CLI de racadm").

  15. Haga clic en Terminar y luego en Aceptar.

Cómo importar el certificado SSL de firmware del DRAC 4 a todas las listas de certificados de confianza de los controladores de dominio

NOTA: Si el certificado SSL de firmware del DRAC 4 está firmado por una autoridad de certificados reconocida, no tiene que realizar los pasos descritos en esta sección.
NOTA: Los pasos siguientes pueden variar ligeramente si se está usando Windows 2000.
  1. El certificado SSL del DRAC 4 es el mismo que se usa para el Web Server del DRAC 4. Todos los controladores DRAC 4 se envían con un certificado firmado automáticamente predeterminado. Puede obtener este certificado del DRAC 4 al seleccionar Descargar certificado del servidor del DRAC 4 (consulte ficha Configuración de la interfaz basada en web del DRAC 4 y la subficha Active Directory).

  2. En el controlador del dominio, abra la ventana Consola de MMC, seleccione Certificados ® Autoridades de certificación de raíz de confiables.

  3. Haga clic con el botón derecho del mouse en Certificados, seleccione Todas las tareas y haga clic en Importar.

  4. Haga clic en Siguiente y desplácese al archivo de certificado SSL.

  5. Instale el certificado de SSL del RAC en la Autoridad de certificación de raíz de confianza de cada controlador de dominio.

Si ha instalado su propio certificado, asegúrese que la CA que firma su certificado esté en la lista de Autoridad de certificación de raíz de confianza. Si el certificado de autoridad (CA) no está en la lista, deberá instalarla en todos los controladores de dominio.

  1. Haga clic en Siguiente y seleccione si le gustaría que Windows seleccionara automáticamente el lugar de almacenamiento del certificado según el tipo de certificado o desplácese al lugar de almacenamiento de su elección.

  2. Haga clic en Terminar y luego en Aceptar.

Configuración de los sistemas o dispositivos

Para obtener instrucciones acerca de cómo configurar los sistemas con Server Administrator o con IT Assistant utilizando comandos de la CLI, consulte "Configuración de Active Directory utilizando a la CLI en sistemas que ejecutan Server Administrator" y "Configuración de Active Directory en sistemas que ejecutan IT Assistant". Para los usuarios de DRAC, hay dos modos de configurar el DRAC 4. Consulte "Configuración del DRAC 4 por medio de la interfaz basada en web", o bien, "Configuración de los valores de Active Directory del DRAC 4 por medio de la CLI de racadm".

NOTA: Los sistemas en los que están instalados Server Administrator y/o IT Assistant deben formar parte del dominio de Active Directory y deben tener también cuentas de equipo en el dominio.

Configuración de Active Directory por medio de la CLI en los sistemas que ejecutan Dell OpenManage Server Administrator

Puede usar el comando omconfig preferences dirservice para configurar el servicio Active Directory. El archivo oem.ini del producto se modifica para reflejar estos cambios. Si adproductname no está presente en el archivo oem.ini del producto, se asignará un nombre predeterminado. El valor predeterminado será nombre del sistema-nombre del producto de software, donde nombre del sistema es el nombre del sistema que ejecuta Server Administrator y nombre del producto de software se refiere al nombre del producto de software definido en omprv32.ini (es decir, nombre_del_equipo-omsa).

NOTA: Este comando se puede aplicar únicamente en sistemas que ejecutan el sistema operativo Windows.
NOTA: Reinicie el servicio de Server Administrator después de haber configurado el Active Directory.

La tabla 8-16 muestra los parámetros válidos para el comando.

Tabla 8-16. Parámetros de configuración del servicio Active Directory

Par nombre=valor

Descripción

prodname=<texto>

Especifica el producto de software al cual se desean aplicar los cambios de configuración de Active Directory. Prodname se refiere al nombre del producto definido en omprv32.ini. Para Server Administrator, es omsa.

enable=<verdadero | falso>

verdadero: activa la compatibilidad con la autentificación del servicio Active Directory.

falso: desactiva la compatibilidad con la autentificación del servicio Active Directory

adprodname=<texto>

Especifica el nombre del producto según se define en el servicio Active Directory. Este nombre vincula el producto con los datos de privilegios de Active Directory para la autentificación de usuarios.

Configuración de Active Directory en sistemas que ejecutan IT Assistant

De manera predeterminada, el nombre del producto de Active Directory corresponde a nombre_del_equipo-ita, donde nombre_de_máquina es el nombre del sistema en el que está instalado IT Assistant. Para configurar un nombre distinto, localice el archivo itaoem.ini en el directorio de instalación. Edite el archivo para agregar la línea "adproductname=texto", donde texto es el nombre del objeto de producto que se creó en Active Directory. Por ejemplo, el archivo itaoem.ini contendrá la sintaxis siguiente si el nombre de producto de Active Directory es configurado como mgmtStationITA.

productname=IT Assistant
startmenu=Dell OpenManage Applications
autdbid=ita
accessmask=3
startlink=ITAUIServlet
adsupport=true
adproductname=mgmtStationITA

NOTA: Reinicie los servicios de IT Assistant después de guardar el archivo itaoem.ini en el disco.

Configuración del DRAC 4 por medio de la interfaz basada en web

  1. Inicie sesión en la interfaz por web con el usuario, raíz y contraseña predeterminados.

  2. Haga clic en la ficha Configuración y seleccione Active Directory.

  3. Seleccione la casilla Habilitar Active Directory.

  4. Escriba el Nombre del DRAC 4. Este nombre debe ser el mismo que el nombre común del objeto de RAC que usted creó en el controlador de dominio (consulte "Instalación de la extensión de Dell para el complemento de usuarios y equipos de Active Directory").

  5. Escriba el Nombre del dominio raíz. El Nombre del dominio raíz es el nombre completo del dominio raíz para el bosque.

  6. Escriba el Nombre de dominio del DRAC 4 (por ejemplo, drac4.com). No use el nombre de NetBIOS. El Nombre de dominio del DRAC 4 es el nombre completo de dominio del subdominio en donde se encuentra el objeto del dispositivo de RAC.

  7. Haga clic en Aplicar para guardar la configuración de Active Directory.

  8. Haga clic en Cargar certificado de CA de Active Directory para cargar el certificado raíz de CA del bosque de dominio en el DRAC 4. Los certificados SSL de los controladores de bosque del dominio deben tener firmado este certificado raíz de CA. Tenga disponible el certificado raíz de CA en el sistema local (consulte "Cómo exportar el certificado raíz de CA del controlador de dominio (sólo para RAC)"). Especifique la ruta de acceso completa y el nombre de archivo del certificado raíz de CA y haga clic en Cargar para cargar el certificado raíz de CA en el firmware del DRAC 4. El servidor web de DRAC 4 se reinicia automáticamente después de que usted hace clic en Cargar. Usted debe volver a iniciar sesión para completar la configuración de las funciones de Active Directory del DRAC 4.

  9. Haga clic en la ficha Configuración y seleccione Red.

  10. Si DHCP de NIC de DRAC 4 está activado, ponga una marca junto a Usar DHCP para obtener la dirección de servidor de DNS. Si desea introducir una dirección IP del servidor DNS manualmente, quite la marca junto a Usar DHCP para obtener la dirección del servidor DNS e introduzca las direcciones IP del servidor DNS principal y alternativo.

  11. Presione Aplicar para completar la configuración de la función del DRAC 4 en Active Directory.

Configuración de los valores de Active Directory del DRAC 4 por medio de la CLI de racadm

Utilice los comandos siguientes para configurar la función de Active Directory del DRAC 4 por medio de la CLI de racadm en vez de la interfaz basada en web.

  1. Abra una petición de comando y escriba los siguientes comandos de racadm:

racadm config -g cfgActiveDirectory -o cfgADEnable 1
racadm config -g cfgActiveDirectory -o cfgADRacDomain <
nombre y ruta completa del dominio del RAC>
racadm config -g cfgActiveDirectory -o cfgADRootDomain <
nombre y ruta completa del dominio raíz>
racadm config -g cfgActiveDirectory -o cfgADRacName <
nombre común del RAC>
racadm sslcertupload -t 0x2 -f <
certificado de CA raíz de ADS>
racadm sslcertdownload -t 0x1 -f <
Certificado de SSL del RAC>

  1. Si el DHCP está activado en el DRAC 4 y usted desea usar el DNS proporcionado por el servidor DHCP, escriba lo siguiente:

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1

  1. Si DHCP está desactivado en el DRAC 4, o si usted desea introducir manualmente la dirección IP de DNS, escriba los siguientes comandos:

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <
dirección IP de DNS primaria>
racadm config -g cfgLanNetworking -o cfgDNSServer2
<dirección IP de DNS secundaria>

  1. Presione Entrar para completar la configuración de la función Active Directory del DRAC 4.

Consulte la Guía del usuario de Dell Remote Access Controller 4 para obtener más información.


Regresar a la página de contenido