Users Guide
IP address of the domain controller>
racadm config -g cfgActiveDirectory -o cfgADGlobalCatalog3 <fully qualified domain name or
IP address of the domain controller>
ANMERKUNG: Im Standardschema ist der Global Catalog Server nur erforderlich, wenn die Benutzerkonten und Rollengruppen
in verschiedenen Domänen liegen. Im Falle mehrerer Domänen wie hier kann nur die Universalgruppe verwendet werden.
ANMERKUNG: Der FQDN oder die IP-Adresse, den/die Sie in diesem Feld angeben, sollte mit dem Feld "Servername" oder
"Alternativer Servername" des Zertifikats Ihres Domänen-Controllers übereinstimmen, wenn Sie die Überprüfung des Zertifikats
aktiviert haben.
Wenn Sie für den SSL-Handshake die Zertifikatsvalidierung deaktivieren möchten, führen Sie den folgenden RACADM-Befehl aus:
● Verwenden des Befehls config: racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 0
In diesem Fall brauchen Sie kein (Certificate Authority (CA))-Zertifikat zu laden.
So erzwingen Sie die Zertifikatvalidierung während eines SSL-Handshake (optional):
● Verwenden des Befehls config: racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 1
In diesem Fall müssen Sie mit dem folgenden RACADM-Befehl das CA-Zertifikat hochladen:
racadm sslcertupload -t 0x2 -f <ADS root CA certificate>
ANMERKUNG: Wenn die Zertifikatüberprüfung aktiviert ist, geben Sie die Adressen des Domain Controller Server und die FQDN des
globalen Katalogs an. Stellen Sie sicher, dass DNS ordnungsgemäß konfiguriert ist.
Übersicht über Active Directory mit erweitertem Schema
Für die Verwendung der Lösung mit dem erweiterten Schema benötigen Sie die Active Directory-Schema-Erweiterung.
Active Directory-Schemaerweiterungen
Bei den Active Directory-Daten handelt es sich um eine verteilte Datenbank von Attributen und Klassen. Das Active Directory-Schema
enthält die Regeln, die den Typ der Daten bestimmen, die der Datenbank hinzugefügt werden können bzw. darin gespeichert werden. Ein
Beispiel einer Klasse, die in der Datenbank gespeichert wird, ist die Benutzerklasse. Beispielhafte Attribute der Benutzerklasse sind der
Vorname, der Nachname bzw. die Telefonnummer des Benutzers.
Sie können die Active Directory-Datenbank erweitern, indem Sie Ihre eigenen einzigartigen Attribute und Klassen für besondere
Anforderungen hinzufügen. Dell hat das Schema um die erforderlichen Änderungen zur Unterstützung von Remote-Management-
Authentifizierung und -Autorisierung erweitert.
Jedes Attribut bzw. jede Klasse, das/die zu einem vorhandenen Active Directory-Schema hinzugefügt wird, muss mit einer eindeutigen ID
definiert werden. Um branchenweit eindeutige IDs zu gewährleisten, unterhält Microsoft eine Datenbank von Active Directory-
Objektbezeichnern (OIDs). Wenn also Unternehmen das Schema erweitern, sind diese Erweiterungen eindeutig und ergeben keine
Konflikte. Um das Schema im Active Directory von Microsoft zu erweitern, hat Dell eindeutige OIDs (Namenserweiterungen) und eindeutig
verlinkte Attribut-IDs für die Attribute und Klassen erhalten, die dem Verzeichnisdienst hinzugefügt werden.
● Dell-Erweiterung: dell
● Grund-OID von Dell: 1.2.840.113556.1.8000.1280
● RACLinkID-Bereich:12070 to 12079
Übersicht über die Schemaerweiterungen
Dell hat das Schema um Zuordnungs-, Geräte- und Berechtigungseigenschaften erweitert. Die Zuordnungseigenschaft wird zur
Verknüpfung der Benutzer oder Gruppen mit einem spezifischen Satz an Berechtigungen für ein oder mehrere RAC-Geräte verwendet.
Dieses Modell ist unkompliziert und gibt dem Administrator höchste Flexibilität bei der Verwaltung verschiedener Benutzergruppen, RAC-
Berechtigungen und RAC-Geräten im Netzwerk.
Wenn zwei CMCs im Netzwerk vorhanden sind, die Sie mit Active Directory für die Authentifizierung und Autorisierung integrieren wollen,
müssen Sie mindestens ein Zuordnungsobjekt und ein RAC-Geräteobjekt für jeden CMC erstellen. Sie können verschiedene
Zuordnungsobjekte erstellen, wobei jedes Zuordnungsobjekt nach Bedarf mit beliebig vielen Benutzern, Benutzergruppen oder RAC-
Geräteobjekten verbunden werden kann. Die Benutzer und RAC-Geräteobjekte können Mitglieder beliebiger Domänen im Unternehmen
sein.
136
Benutzerkonten und Berechtigungen konfigurieren