Users Guide
Si se ha activado la validación de certicados, cuando iDRAC establece la conexión SSL con el servidor de directorios, iDRAC utiliza
el certicado de CA cargado para vericar el certicado de servidor de directorios. Los motivos más comunes del fallo de esta
validación son los siguientes:
• La fecha de iDRAC no se encuentra en el período de validación del certicado de servidor o de CA. Compruebe la hora de iDRAC
y el período de validación del certicado.
• Las direcciones de controladora de dominio conguradas en iDRAC no coinciden con el asunto o el nombre alternativo del asunto
del certicado de servidor de directorios. Si utiliza una dirección IP, lea la pregunta siguiente. Si utiliza FQDN, asegúrese de utilizar
el FQDN de la controladora de dominio y no el dominio. Por ejemplo, nombreservidor.ejemplo.com en lugar de ejemplo.com.
La validación de certicados falla incluso si la dirección IP se utiliza como dirección de la controladora de dominio. ¿Cómo se
resuelve esto?
Compruebe el campo Asunto o Nombre alternativo del asunto del certicado de controladora de dominio. Normalmente, Active
Directory utiliza el nombre de host y no la dirección IP de la controladora de dominio en el campo Asunto o Nombre alternativo del
asunto del certicado de controladora de dominio. Para resolver esto, realice cualquiera de las acciones siguientes:
• Congure el nombre del host (FQDN) de la controladora de dominio como las direcciones de controladora de dominio en iDRAC
para que coincidan con el Asunto o el Nombre alternativo del asunto del certicado del servidor.
• Vuelva a emitir el certicado del servidor de modo que use una dirección IP en el campo Asunto o Nombre alternativo del asunto
y que coincida con la dirección IP congurada en iDRAC.
• Desactive la validación de certicados si preere conar en esta controladora de dominio sin validación de certicados durante el
protocolo de enlace SSL.
¿Cómo se conguran las direcciones de controladora de dominio cuando se utiliza el esquema extendido en un entorno de
varios dominios?
Debe usar el nombre del host (FQDN) o la dirección IP de las controladoras de dominio que sirven al dominio donde reside el objeto
iDRAC.
¿Cuándo deben congurarse las direcciones del catálogo global?
Si utiliza el esquema estándar y los usuarios y grupos de roles son de dominios diferentes, se requieren direcciones de catálogo global.
En este caso, solo puede utilizar el grupo universal.
Si está utilizando un esquema estándar y todos los usuarios y grupos de roles se encuentran en el mismo dominio, no son necesarias
las direcciones de catálogo global.
Si utiliza un esquema extendido, no se utiliza la dirección de catálogo global.
¿Cómo funciona la consulta del esquema estándar?
iDRAC primero se conecta a las direcciones de la controladora de dominio conguradas; si el usuario y los grupos de roles están en el
dominio, se guardarán los privilegios.
Si existen direcciones de controladora global conguradas, iDRAC sigue consultando el catálogo global. Si se recuperan privilegios
adicionales desde el catálogo global, estos privilegios se acumulan.
¿iDRAC siempre usa LDAP a través de SSL?
Sí. Todo el transporte se realiza a través del puerto seguro 636 o 3269. Durante la prueba de la conguración, iDRAC realiza una
conexión LDAP para aislar el problema, pero no realiza un enlace LDAP en una conexión no segura.
¿Por qué iDRAC activa la validación de certicados de manera predeterminada?
iDRAC aplica una seguridad fuerte para garantizar la identidad de la controladora de dominio a la que se conecta. Sin la validación de
certicados, un pirata informático puede suplantar una controladora de dominio y tomar el control de la conexión SSL. Si opta por
conar en todas las controladoras de dominio en el límite de seguridad sin activar la validación de certicados, puede desactivarla a
través de la interfaz web o RACADM.
314