Users Guide
作成する関連オブジェクトの数に制限はありません。ただし、iDRAC で認証と許可を実行するには、関連オブジェクトを少なくとも 1 つ作成する必要があり、Active Directory と統合するネットワーク
上の iDRAC デバイスごとに iDRAC デバイスオブジェクトが 1 つ必要です。
関連オブジェクトに含むことができるユーザー、グループ、iDRAC デバイスオブジェクトの数に制限はありません。ただし、関連オブジェクトに含むことができる権限オブジェクトは、関連オブジェクト 1
つに 1 つだけです。関連オブジェクトは、iDRACs デバイス上で「権限」を持つ「ユーザー」を接続します。
Active Directory ユーザーとコンピュータ MMC スナップインへの Dell 拡張子は、関連オブジェクトと同じドメインの権限オブジェクトおよび iDRAC オブジェクトのみに関連付けることができます。
Dell 拡張は、異なるドメインのグループまたは iDRAC オブジェクトを関連オブジェクトの製品メンバーとして追加することを許可していません。
任意のドメインのユーザー、ユーザーグループ、またはネストされたユーザーグループを関連オブジェクトに追加できます。拡張スキーマソリューションは、Microsoft Active Directory によって許可
されている複数のドメインにわたってネストされたユーザーグループやユーザーグループの種類をサポートしています。
拡張スキーマを使用した権限の蓄積
拡張スキーマ認証機構は、異なる関連オブジェクトを通して同じユーザーに関連付けられた異なる権限オブジェクトからの権限の蓄積をサポートしています。つまり、拡張スキーマ認証は権限を蓄積し
て、同じユーザーに関連付けられた異なる権限オブジェクトに対応して割り当てられた権限すべてのスーパーセットをユーザーに許可します。
図7-2 に、拡張スキーマを使用した権限の蓄積例を示します。
図 7-2ユーザーの権限の蓄積
この図は、 2 つの関連オブジェクト iA01 と iA02 を示しています。ユーザー 1 は、両方の関連オブジェクトを通して、iDRAC2 に関連付けられています。したがって、ユーザー 1 には iDRAC2 で オ
ブジェクト Priv1 と 特権2 に設定された権限を組合わせて蓄積された権限が与えられます。
たとえば、特権1 には、ログイン、仮想メディア、およびログのクリアの権限が割り当てられ、特権2 には、iDRAC へのログイン、テスト、およびテスト警告の権限が割り当てられます。その結果、ユーザ
ー1 には、特権 と 特権2 の両方の権限を組み合わせた iDRAC へのログイン、仮想メディア、ログのクリア、iDRAC の設定、テスト警告の権限が与えられています。
拡張スキーマ認証は、同じユーザーに関連付けられている異なる権限オブジェクトに割り当てられた権限を考慮し、このように権限を蓄積して、ユーザーに最大限の権限を与えます。
この設定では、ユーザー 1 は iDRAC2 では 特権1 と 特権2 を持っています。ユーザー1 は、iDRAC1 では 特権1 だけ持っています。ユーザー2 は、iDRAC1 と iDRAC2 の両方で 特権1 を持っ
ています。また、この図によると、ユーザー1 は異なるドメインに属することができ、ネストされたグループに関連付けることができます。
iDRAC にアクセスするための拡張スキーマ Active Directory の設定
Active Directory を使用して iDRAC6 にアクセスする前に、次の手順を実行して、Active Directory ソフトウェアと iDRAC6 を設定する必要があります。
1. Active Directory スキーマを拡張します(「Active Directory スキーマの拡張」を参照)。
2. Active Directory のユーザーとコンピュータのスナップインを拡張します(「Microsoft Active Directory ユーザーとコンピュータスナップインへの Dell 拡張のインストール」を参照)。
3. iDRAC6 ユーザーとその権限を Active Directory に追加します(「Microsoft Active Directory への iDRAC ユーザーと権限の追加」 を参照)。
4. SSL を各ドメインコントローラで有効にします(「ドメインコントローラの SSL を有効にする」を参照)。