Users Guide
Active Directory-Schemaerweiterungen
Bei den Active Directory-Daten handelt es sich um eine verteilte Datenbank von Attributen und Klassen. Das Active Directory-SchemaenthältdieRegeln,die
denTypderDatenbestimmen,diederDatenbankhinzugefügtwerdenkönnenbzw.daringespeichertwerden.DieBenutzerklasseisteinBeispieleiner
Klasse, die in der Datenbank gespeichert wird. Beispielhafte Attribute der Benutzerklasse sind der Vorname, der Nachname bzw. die Telefonnummer des
Benutzers.FirmenkönnendieActiveDirectory-Datenbankerweitern,indemsieihreeigeneneinzigartigenAttributeundKlassenhinzufügen,um
umgebungsspezifischeAnforderungenzuerfüllen.DellhatdasSchemaumdieerforderlichenÄnderungenzurUnterstützungvonRemote-Management-
Authentifizierung und -Autorisierung erweitert.
Jedes Attribut bzw. jede Klasse, das/die zu einem vorhandenen Active Directory-Schemahinzugefügtwird,mussmiteinereindeutigenIDdefiniertwerden.Um
branchenweiteindeutigeIDszugewährleisten,unterhältMicrosofteineDatenbankvonActiveDirectory-Objektbezeichnern (OIDs). Wenn also Unternehmen
das Schema erweitern, sind diese Erweiterungen eindeutig und ergeben keine Konflikte. Um das Schema im Active Directory von Microsoft zu erweitern, hat
Dell eindeutige OIDs (Namenserweiterungen) und eindeutig verlinkte Attribut-IDsfürdieAttributeundKlassenerhalten,diedemVerzeichnisdienst
hinzugefügtwerden.
Dell-Erweiterung: dell
Grund-OID von Dell: 1.2.840.113556.1.8000.1280
RACLinkID-Bereich: 12070 to 12079
ÜbersichtüberdieiDRAC-Schemaerweiterungen
UminderVielzahlvonKundenumgebungendiegrößteFlexibilitätzubieten,stelltDelleineGruppevonObjektenbereit,die,abhängigvondengewünschten
Ergebnissen,vomBenutzerkonfiguriertwerdenkönnen.DellhatdasSchemaumZuordnungs-, Geräte- und Berechtigungseigenschaften erweitert. Die
ZuordnungseigenschaftwirdzurVerknüpfungderBenutzeroderGruppenmiteinemspezifischenSatzanBerechtigungenfüreinodermehrereiDRAC-Geräte
verwendet.DiesesModellistunkompliziertundgibtdemAdministratorhöchsteFlexibilitätbeiderVerwaltungverschiedenerBenutzergruppen,iDRAC-
Berechtigungen und iDRAC-GerätenimNetzwerk.
Active Directory - Objektübersicht
FürjedenphysischeniDRACaufdemNetzwerk,denSiezurAuthentifizierungundAutorisierunginActiveDirectoryintegrierenmöchten,müssenSiemindestens
ein Zuordnungsobjekt und ein iDRAC-Geräteobjekterstellen.SiekönnenmehrereZuordnungsobjekteerstellen,wobeijedesZuordnungsobjektnachBedarf
mit beliebig vielen Benutzern, Benutzergruppen, oder iDRAC-Geräteobjektenverbundenwerdenkann.DieBenutzerundiDRAC-Benutzergruppenkönnen
MitgliederbeliebigerDomänenimUnternehmensein.
Jedes Zuordnungsobjekt darf jedoch nur mit einem Berechtigungsobjekt verbunden werden (bzw. jedes Zuordnungsobjekt kann Benutzer, Benutzergruppen
oder iDRAC-GeräteobjektenurmiteinemBerechtigungsobjektverbinden).DiesesBeispielermöglichtdemAdministrator,dieBerechtigungenjedesBenutzers
auf spezifischen iDRACs zu steuern.
Das iDRAC-GeräteobjektistdieVerknüpfungzuriDRAC-FirmwarefürdieAuthentifizierungundAutorisierungmitActiveDirectory.WenndemNetzwerkein
iDRAChinzugefügtwird,mussderAdministratordeniDRACundseinGeräteobjektmitseinemActiveDirectory-Namen so konfigurieren, dass Benutzer mit dem
ActiveDirectoryAuthentifizierungenundAutorisierungenausführenkönnen.DerAdministratormusszudemdeniDRACmindestenseinemZuordnungsobjekt
hinzufügen,damitBenutzerAuthentifizierungenvornehmenkönnen.
Abbildung7-1zeigt,dassdasZuordnungsobjektdieVerbindungbereitstellt,diefürdiegesamteAuthentifizierungundAutorisierungerforderlichist.
Abbildung 7-1.TypischesSetupfürActiveDirectory-Objekte
SiekönnenjenachBedarfeinebeliebigeAnzahlvonZuordnungsobjektenerstellen.Esistjedocherforderlich,dassSiemindestenseinZuordnungsobjekt
erstellen, und es muss ein iDRAC-GeräteobjektfürjedeniDRACaufdemNetzwerkvorhandensein,daszumZweckderAuthentifizierungundAutorisierungmit
dem iDRAC beim Active Directory integriert werden soll.
DasZuordnungsobjektlässtebensovieleoderwenigeBenutzerbzw.GruppenundauchiDRAC-Geräteobjektezu.DasZuordnungsobjektenthältjedochnur
ein Berechtigungsobjekt pro Zuordnungsobjekt. Das Zuordnungsobjekt verbindet die Benutzer, die Berechtigungen auf den iDRACs haben.
ÜberdieDell-Erweiterung zum Active Directory-Benutzer- und -Computer-MMC-Snap-InkönnennurBerechtigungsobjekteundiDRAC-Objekte derselben
DomänemitdemVerbindungsobjektverknüpftwerden.MitderDell-ErweiterungkönnenkeineGruppenoderiDRAC-ObjekteausanderenDomänenals
ProduktmitglieddesVerbindungsobjekteshinzugefügtwerden.
Benutzer,BenutzergruppenoderverschachtelteBenutzergruppenjeglicherDomänekönnendemVerbindungsobjekthinzugefügtwerden.Lösungenmit
erweitertemSchemaunterstützenjedeArtvonBenutzergruppesowiejedeBenutzergruppe,dieübermehrereDomänenverschachteltundvonMicrosoft
Active Directory zugelassen ist.
Unter Verwendung des erweiterten Schemas Berechtigungen ansammeln