Users Guide
esquemaparaincluirloscambiosnecesariosparaadmitirlaautentificaciónyautorizacióndeadministraciónremota.
CadaatributooclasequeseagregaaunesquemaexistentedeActiveDirectorydebeserdefinidoconunaidentificaciónúnica.Paraquelasidentificaciones
se mantengan exclusivas en toda la industria, Microsoft conserva una base de datos de Identificadores de Objeto de Active Directory (OID) para que cuando
lascompañíasagreganextensionesalesquema,sepuedagarantizarqueseránexclusivasynoentraránenconflictounaconotra.Paraextenderelesquema
enMicrosoftActiveDirectory,DellrecibióOIDexclusivos,extensionesdenombreexclusivaseidentificacionesdeatributovinculadasexclusivamenteparalas
clases y los atributos agregados al servicio de directorio.
ExtensióndeDell:dell
OID base de Dell: 1.2.840.113556.1.8000.1280
Rango de LinkID del RAC: 12070 a 12079
DescripcióndelasextensionesdeesquemadeliDRAC
Paraproporcionarlamayorflexibilidadenlamultituddeentornosdecliente,Dellproporcionaungrupodepropiedadesqueelusuariopuedeconfigurarsegún
losresultadosdeseados.Dellhaextendidoelesquemaparaincluirpropiedadesdeasociación,dispositivoyprivilegio.Lapropiedaddeasociaciónseusapara
vincularalosusuariosolosgruposquetienenunconjuntoespecíficodeprivilegiosparaunoovariosdispositivosiDRAC.Estemodeloofrecemáxima
flexibilidad al Administrador con respecto a las diferentes combinaciones de usuarios, privilegios del iDRAC y dispositivos iDRAC en la red sin aumentar
demasiado la complejidad.
DescripcióngeneraldelosobjetosdeActiveDirectory
ParacadaunodelosiDRACfísicosenlaredquedeseeintegrarconActiveDirectoryparaautentificaciónyautorización,creealmenosunobjetodeasociación
yunobjetodedispositivodeiDRAC.Puedecrearvariosobjetosdeasociación,ycadaobjetodeasociaciónpuedevincularseacuantosusuarios,gruposde
usuarios u objetos de dispositivo del iDRAC sean necesarios. Los usuarios y los grupos de usuarios del iDRAC pueden ser miembros de cualquier dominio de la
empresa.
Sinembargo,cadaobjetodeasociaciónpuedevincularse(opuedevincularusuarios,gruposdeusuariosuobjetosdedispositivoiDRAC)aunsoloobjetode
privilegio.EsteejemplopermitequeeladministradorcontrolelosprivilegiosdecadausuarioenlosiDRACespecíficos.
ElobjetodedispositivodeliDRACeselvínculoalfirmwaredeliDRACparaconsultarActiveDirectoryparaautentificaciónyautorización.Cuandoseagregaun
iDRAC a la red, el administrador debe configurar el iDRAC y su objeto de dispositivo con el nombre de Active Directory, de modo que los usuarios puedan
realizarlaautentificaciónylaautorizaciónconActiveDirectory.Además,eladministradortambiéndebeagregareliDRACaporlomenosunobjetode
asociaciónparaquelosusuariossepuedanautentificar.
La Ilustración7-1muestraqueelobjetodeasociaciónproporcionalaconexiónnecesariaparatodaslasautentificacionesyautorizaciones.
Ilustración7-1.ConfiguracióntípicadelosobjetosdeActiveDirectory
Sepuedencreartantosobjetosdeasociacióncomoseannecesarios.Sinembargo,debecrearsealmenosunobjetodeasociaciónydebetenerunobjetode
dispositivoiDRACporcadaiDRACdelaredquedeseaintegrarconActiveDirectoryparaautentificaciónyautorizaciónconiDRAC.
Elobjetodeasociaciónpermitetodacantidaddeusuariosogrupos,asícomodeobjetosdedispositivoiDRAC.Sinembargo,elobjetodeasociaciónsólo
incluyeunobjetodeprivilegioporcadaobjetodeasociación.Elobjetodeasociaciónconectaalosusuarios con privilegios en los iDRAC.
LaextensióndeDellalcomplementoMMCdeusuariosyequiposdeActiveDirectorysólopermiteasociarelobjetodeprivilegioylosobjetosdeliDRACdel
mismodominioconelobjetodeasociación.LaextensióndeDellnopermitequeungrupoounobjetoiDRACdeotrodominioseagreguecomomiembro
productodelobjetodeasociación.
Losusuarios,losgruposdeusuariosolosgruposdeusuariosanidadosdecualquierdominiopuedenagregarsealobjetodeasociación.Lassolucionesde
esquema extendido admiten todo tipo de grupos de usuarios o de grupo anidado de usuarios en varios dominios permitidos por Microsoft Active Directory.
Acumulacióndeprivilegiosconelesquemaextendido
Elmecanismodeautentificacióndelesquemaextendidoadmitelaacumulacióndeprivilegiosprovenientesdedistintosobjetosdeprivilegioasociadosal
mismousuarioentredistintosobjetosdeasociación.Enotraspalabras,laautentificacióndelesquemaextendidoacumulaprivilegiosparapermitiralusuarioel
súperconjuntodetodoslosprivilegiosasignadosquecorrespondenalosdistintosobjetosdeprivilegioasociadosalmismousuario.
La Ilustración7-2muestraunejemplodelaacumulacióndeprivilegiospormediodelesquemaextendido.
Ilustración7-2.Acumulacióndeprivilegiosparaunusuario