Users Guide
• 使用 cong 命令:
racadm config -g cfgActiveDirectory -o cfgADEnable 1
racadm config -g cfgActiveDirectory -o cfgADType 2
racadm config -g cfgStandardSchema -i <index> -o cfgSSADRoleGroupName <common name of
the role group>
racadm config -g cfgStandardSchema -i <index> -o cfgSSADRoleGroupDomain <fully
qualified domain name>
racadm config -g cfgStandardSchema -i <index> -o cfgSSADRoleGroupPrivilege <Bit Mask
Value for specific RoleGroup permissions>
racadm config -g cfgActiveDirectory -o cfgADDomainController1 <fully qualified domain
name or IP address of the domain controller>
racadm config -g cfgActiveDirectory -o cfgADDomainController2 <fully qualified domain
name or IP address of the domain controller>
racadm config -g cfgActiveDirectory -o cfgADDomainController3 <fully qualified domain
name or IP address of the domain controller>
注: 输入域控制器的 FQDN,而不是域的 FQDN。例如,输入 servername.dell.com 而不是 dell.com。
注:
至少需要配置三个地址中的一个。CMC 逐一尝试连接到配置的每个地址,直到成功建立连接。使用标准架构
时,这些是用户帐户和角色组所在域控制器的地址。
racadm config -g cfgActiveDirectory -o cfgADGlobalCatalog1 <fully qualified domain
name or IP address of the domain controller>
racadm config -g cfgActiveDirectory -o cfgADGlobalCatalog2 <fully qualified domain
name or IP address of the domain controller>
racadm config -g cfgActiveDirectory -o cfgADGlobalCatalog3 <fully qualified domain
name or IP address of the domain controller>
注: 只有用户帐户和角色组位于不同的域中时,标准架构才需要全局编录服务器。在多个域的情况下,只能使用
通用组。
注: 如果您启用了证书验证,则在此字段中指定的 FQDN 或 IP 地址应与域控制器证书的 Subject(主题)或
Subject Alternative Name(主题备用名称)字段相符。
如果要禁用 SSL 握手过程中的证书验证,请运行以下 RACADM 命令:
• 使用 cong 命令:racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 0
在此情况下,无需上载认证机构 (CA) 证书。
在 SSL 握手过程中强制执行证书验证(可选):
• 使用 cong 命令:racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 1
在此情况下,必须使用以下 RACADM 命令上载 CA 证书:
racadm sslcertupload -t 0x2 -f <ADS root CA certificate>
注: 如果证书验证已启用,请指定域控制器服务器地址和全局编录 FQDN。确保已正确配置 DNS。
扩展架构 Active Directory 概览
使用扩展架构解决方案需要 Active Directory 架构扩展。
Active Directory 架构扩展
Active Directory 数据是
属性
和
类
的分布式数据库。Active Directory 架构包含确定可添加或包含在数据库中的数据类型的规则。
例如,数据库中存储的类可以是用户类;用户类的属性可以是用户的名字、姓氏、电话号码等。
您可以通过添加自己独特的
属性
和
类
来扩展 Active Directory 数据库以满足特定需求。Dell 使用 Active Directory 扩展了该架构,
包括必要的更改以支持远程管理验证和授权。
添加到现有 Active Directory 架构的每个
属性
或
类
都必须使用唯一的 ID 定义。为了在整个行业内维护唯一的 ID,Microsoft 维护
Active Directory 对象标识符 (OID) 的数据库,以便公司添加架构扩展时,可以保证这些扩展唯一并且不会彼此冲突。要在
113