Users Guide
使用 iDRAC6 目录服务
151
您可通过以下措施解决此问题:
• 在 iDRAC6 上将域控制器的主机名 (FQDN) 配置为域控制器地址,
以与服务器证书的主题或主题备用名称相符。
• 重新签发服务器证书,使用在 “Subject”(主题)或 “Subject
Alternative Name”(主题备用名称)字段中的 IP 地址,以便与
iDRAC6 中配置的 IP 地址相符。
• 如果选择信任此域控制器而无需在 SSL 握手过程中验证证书,
请禁用证书验证。
为什么 iDRAC6 默认启用证书验证?
iDRAC6
执行严格的安全策略以确保其所连接域控制器的身份。如果不验
证证书,黑客可欺骗域控制器和劫持
SSL
连接。如果您选择信任您安全边
界内的所有域控制器而无需验证证书,您可通过
GUI
或
CLI
将其禁用。
扩展架构和标准架构
我在多域环境中使用扩展架构。我该如何配置域控制器地址?
使用 iDRAC6 对象所在域中域控制器的主机名称 (FQDN) 或 IP 地址。
需要配置全局编录地址吗?
如果使用扩展架构,就不能配置全局编录地址,因为扩展架构不使用此
地址。
如果使用标准架构且用户和角色组来自不同的域,则必须配置全局编录地
址。在此情况下,您只能使用通用组。
如果使用标准架构且所有用户和所有角色组都在相同域中,则不要求配置
全局编录地址。
标准架构的查询方式是什么?
iDRAC6 首先连接到配置的域控制器地址。如果用户和角色组在该域内,
则保存权限。
如果配置了全局控制器地址,则 iDRAC6 会继续查询全局编录。如果从全
局编录检索到额外的权限,则会累加这些权限。