Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.5

141

142

143

144

145

146

147

148

149

150

通用 LDAP 目录服务

iDRAC6 提供了一个通用方案，支持基于轻型目录访问协议 (LDAP) 的验证。此功能无需服务目录的任何架构扩展。

为使 iDRAC6 LDAP 实施能够通用化，借助了不同目录服务间的共同之处来归类用户并建立用户和组关系映射。目录服务的特定操作是架构。例如，用户和组之间的组、用户和链接有不同的

属性名称。这些操作可在 iDRAC6 中配置。



登录语法（目录用户与本地用户）

与 Active Directory 不同，特殊字符（"@"、"\"和"/"）不能用于区分 LDAP 用户和本地用户。登录用户只应输入用户名，不包括域名。iDRAC6 保持用户名的现状，不会分开用户名和用

户域。在启用通用 LDAP 后，iDRAC6 首先尝试作为目录用户登录。如果失败，则启用本地用户查找。



使用 iDRAC6 Web 界面配置通用 LDAP 目录服务



1. 打开支持的 Web 浏览器窗口。



2. 登录到 iDRAC6 基于 Web 的界面。



3. 转至"Remote Access"（远程访问）®"Network/Security"（网络 /安全性）选项卡 ®"Directory Service"（目录服务）选项卡 ® "Generic LDAP Directory

Service"（通用 LDAP 目录服务）。

"Generic LDAP Configuration and Management"（通用 LDAP 配置和管理）页中显示当前的 iDRAC6 通用 LDAP 设置。滚动到"Generic LDAP Configuration

and Management"（通用 LDAP 配置和管理）页的底部，并单击"Configure Generic LDAP"（配置通用 LDAP）。

将显示"Generic LDAP Configuration and Management Step 1 of 3"（通用 LDAP 配置和管理第 1 步，共 3 步）页。使用此页配置在与通用 LDAP 服务器通信时，

SSL 连接初始化中所使用的数字证书。这些通信使用 SSL 上的 LDAP (LDAPS)。如果启用证书验证，则上载由认证机构 (CA) 颁发、LDAP 服务器在初始化 SSL 连接时所使用的

证书。认证机构 (CA) 的证书用于验证由 LDAP 服务器在 SSL 初始化时提供的证书的真实性。



4. 在"Certificate Settings"（证书设置）下，选择"Enable Certificate Validation"（启用证书验证）启用证书验证。如果启用，iDRAC6 在安全套接字层 (SSL) 握手过程中

使用 CA 证书来验证 LDAP 服务器证书；如果禁用，则 iDRAC6 跳过 SSL 握手的证书验证步骤。在测试期间或者如果系统管理员选择信任安全边界内的域控制器而无需验证他们的

SSL 证书，则禁用证书验证。



5. 在"Upload Directory Service CA Certificate"（上载目录服务 CA 证书）下面，键入证书文件路径或浏览找到证书文件。



6. 单击"Upload"（上载）。

上载根 CA 的证书，该证书用于签署所有域控制器的安全套接字层 (SSL) 服务器证书。



7. 单击"Next"（下一步）。将显示"Generic LDAP Configuration and Management Step 2 of 3"（通用 LDAP 配置和管理第 2 步，共 3 步）页。使用此页可配置通

用 LDAP 和用户帐户的位置信息。



8. 输入以下信息：

l 选择"Enable Generic LDAP"（启用通用 LDAP）。

l 选择"Use Distinguished Name to Search Group Membership"（使用可分辨名称搜索组成员）选项将可分辨名称 (DN) 用于组成员。iDRAC6 将从目录中检索

的用户 DN 与组成员进行比较。如果未选中，则使用由登录用户提供的用户名与组成员进行比较。

l 在"LDAP Server Address"（LDAP 服务器地址）字段中，输入 LDAP 服务器的完全限定域名 (FQDN) 或 IP 地址。要指定位于相同域的多个冗余 LDAP 服务器，请

提供所有服务器的列表（用逗号隔开）。iDRAC6 会尝试依次连接到每个服务器，直到建立连接为止。

注：在 Active Directory 登录语法中不做任何更改。如果启用通用 LDAP，GUI 登录页会在下拉菜单只显示"This iDRAC"（此 iDRAC）。

注：对于基于 openLDAP 和 OpenDS 的目录服务，不允许在用户名中使用 "<" 和 ">" 字符。

注：在此版本中，不支持基于 LDAP 绑定的非 SSL 端口。仅支持 SSL 上的 LDAP。

小心：确保在证书生成时，LDAP 服务器证书主题字段中的"CN = 打开 LDAP FQDN"已设置（例如 CN= openldap.lab）。iDRAC6 中的 LDAP 服务器地

址字段应设置为使证书验证能够起作用的 FQDN 地址。

注：必须键入绝对文件路径，包括全路径和完整文件名及文件扩展名。

注：在此版本中，不支持基于智能卡的双重验证 (TFA) 和单一登录 (SSO) 功能用于通用 LDAP 目录服务。

注：在此版本中，不支持嵌套组。固件将搜索与用户 DN 相匹配的组的直接成员。并且仅支持单域。不支持交叉域。