返回目录页

将 DRAC 5 用于 Microsoft Active Directory

Dell Remote Access Controller 5 固件版本 1.30 用户指南

  扩展架构和标准架构的优缺点

  扩展架构 Active Directory 概览

  标准架构 Active Directory 概览

  在域控制器上启用 SSL

  使用 Active Directory 登录到 DRAC 5

  常见问题

目录服务维护一个公用数据库，在其中存储用于在网络上控制用户、计算机、打印机等的所有必需信息。如果公司使用 Microsoft® Active Directory® 服务软件，则可以配置软件提供对 DRAC 5 的访问，以允许控制和将 DRAC 5 用户权限添加到 Active Directory 软件中的现有用户。

注： 在 Microsoft Windows® 2000 和 Windows Server® 2003 操作系统上支持使用 Active Directory 识别 DRAC 5 用户。

可以通过两种方法使用 Active Directory 定义用户在 DRAC 5 上的权限：可以通过使用 Dell 定义的 Active Directory 对象的扩展架构或只使用 Active Directory 组对象的标准架构。

扩展架构和标准架构的优缺点

使用 Active Directory 配置到 DRAC 5 的权限时，必须选择扩展架构或标准架构。

使用扩展架构的优点有：

• 所有权限控制对象保留在 Active Directory 中。
  
  
• 非常自由地使用不同权限级别配置不同 DRAC 5 卡上的用户权限。
  
  

使用标准架构的优点有：

• 无需架构扩展，因为标准架构只使用 Active Directory 对象。
  
  
• Active Directory 端配置非常简单。
  
  

扩展架构 Active Directory 概览

有两种方式启用扩展架构 Active Directory：

• 通过 DRAC 5 基于 Web 的用户界面。请参阅“使用扩展架构 Active Directory 和基于 Web 的界面配置 DRAC 5”
  
  
• 使用 RACADM CLI 工具。请参阅“使用扩展架构 Active Directory 和 RACADM 配置 DRAC 5”。
  
  

Active Directory 架构扩展

Active Directory 数据是属性和类的分布式数据库。Active Directory 架构包含确定可添加或包含在数据库中的数据类型的规则。用户类是数据库中存储的类的一个示例。一些示例用户类属性包括用户的名字、姓氏和电话号码等。公司可以通过添加自己独特的属性和类扩展 Active Directory 数据库以解决特定环境下的需求。Dell 扩展了该架构包括必要更改以支持远程管理验证和授权。

每个添加到现有 Active Directory 架构的属性或类都必须定义一个唯一的 ID。为了保证整个业界 ID 的唯一，Microsoft 维护着一个 Active Directory 对象标识符 (OID) 数据库，从而在各公司向架构中添加扩展时，能够确保唯一性并且相互间不会冲突。为了扩展 Microsoft Active Directory 中的架构，Dell 为我们添加到目录服务的属性和类申请了唯一的 OID、唯一的名称扩展以及唯一链接的属性 ID。

Dell 扩展是： dell

Dell 基础 OID 是： 1.2.840.113556.1.8000.1280

RAC LinkID 范围是： 12070 到 12079

Microsoft 维护的 Active Directory OID 数据库可以在 http://msdn.microsoft.com/certification/ADAcctInfo.asp 通过输入我们的扩展 Dell 来查看。

RAC 架构扩展概览

为在各种客户环境中提供最大的灵活性，Dell 提供了一组属性，可以由用户根据所需结果进行配置。Dell 扩展了该架构以包括关联、设备和权限属性。关联属性用于将具有一组特定权限的用户或组与一个或多个 RAC 设备链接起来。这种模式使管理员可以极为灵活地管理网络上各种用户、RAC 权限和 RAC 设备的组合，而无需太多的复杂操作。

Active Directory 对象概览

对于网络上每一个想与 Active Directory 集成以进行验证和授权的物理 RAC 来说，请创建至少一个关联对象和一个 RAC 设备对象。可以创建多个“关联”对象，每个“关联”对象都可以链接到任意多个用户、用户组或 RAC“设备”对象。用户和 RAC“设备”对象可以是企业任何域中的成员。

不过，每个“关联”对象只能链接（或者可能链接用户、用户组或 RAC“设备”对象）到一个“权限”对象。此示例允许管理员控制特定 RAC 上的每个用户权限。

RAC 设备对象就是到 RAC 固件的链接，用于查询 Active Directory 以进行验证和授权。将 RAC 添加到网络后，管理员必须使用 Active Directory 名称配置 RAC 及其设备对象，以便用户可以使用 Active Directory 执行验证和授权。管理员还必须将 RAC 添加到至少一个“关联”对象以使用户能够验证。

图 6-1 说明关联对象提供进行所有验证和授权所需的连接。

图 6-1. Active Directory 对象的典型设置

注： RAC 权限对象适用于 DRAC 4 和 DRAC 5。

可以根据需要创建任意数量的关联对象。不过，对于网络上每一个想与 Active Directory 集成以使用 RAC (DRAC 5) 验证和授权的 RAC (DRAC 5) 来说，必须创建至少一个“关联”对象和一个 RAC“设备”对象。

“关联”对象允许任意数量的用户和/或组以及 RAC“设备”对象。然而，每个“关联”对象只有一个“权限”对象。“关联”对象连接那些对 RAC (DRAC 5) 具有“权限”的“用户”。

此外，可以在一个域或多个域中配置 Active Directory 对象。例如，已有两个 DRAC 5 卡（RAC1 和 RAC2）和三个 Active Directory 现有用户（用户 1、用户 2 和 用户 3）。想要授予用户 1 和用户 2 对两个 DRAC 5 卡的管理员权限并授予用户 3 对 RAC2 卡的登录权限。图 6-2 说明了在这种情况下如何设置 Active Directory 对象。

添加来自其他域的通用组时，请创建一个通用范围的关联对象。Dell Schema Extender 公用程序创建的默认关联对象是域本地组，不能与来自其他域的通用组一起使用。

图 6-2。在一个域中设置 Active Directory 对象

要为单个域情况配置对象，请执行以下任务：

1. 创建两个“关联”对象。
   
   
2. 创建两个 RAC“设备”对象，RAC1 和 RAC2，用以代表两个 DRAC 5 卡。
   
   
3. 创建两个权限对象，权限 1 和权限 2，其中权限 1 具有所有权限（管理员），而权限 2 具有登录权限。
   
   
4. 将用户 1 和用户 2 归到组 1。
   
   
5. 将组 1 添加为关联对象 1 (AO1) 的成员，权限 1 作为 AO1 的权限对象，而 RAC1 和 RAC2 作为 AO1 中的 RAC 设备。
   
   
6. 将用户 3 添加为关联对象 2 (AO2) 的成员，权限 2 作为 AO2 的权限对象，而 RAC2 作为 AO2 中的 RAC 设备。
   
   

有关详细说明请参阅“将 DRAC 5 用户和权限添加到 Active Directory”。

图 6-3 提供多个域中 Active Directory 对象的示例。在这种情况下，已有两个 DRAC 5 卡（RAC1 和 RAC2）和三个 Active Directory 现有用户（用户 1、用户 2 和 用户 3）。用户 1 位于域 1 中，用户 2 和用户 3 位于域 2 中。在此情况下，配置用户 1 和用户 2 具有对两个 DRAC 5 卡的管理员权限，配置用户 3 具有对 RAC2 卡的登录权限。

图 6-3. 在多个域中设置 Active Directory 对象

要为多个域情况配置对象，请执行以下任务：

1. 确保域目录林功能处在本机 (Native) 或 Windows 2003 模式。
   
   
2. 在任意域中创建两个“关联”对象：关联对象 1（范围是 Universal）和范围是任意域的关联对象 2。
   
   

图 6-3 显示域 2 中的对象。

3. 创建两个 RAC“设备”对象，RAC1 和 RAC2，用以代表两个 DRAC 5 卡。
   
   
4. 创建两个权限对象，权限 1 和权限 2，其中权限 1 具有所有权限（管理员），而权限 2 具有登录权限。
   
   
5. 将用户 1 和用户 2 归到组 1。组 1 的组范围必须是 Universal。
   
   
6. 将组 1 添加为关联对象 1 (AO1) 的成员，权限 1 作为 AO1 的权限对象，而 RAC1 和 RAC2 作为 AO1 中的 RAC 设备。
   
   
7. 将用户 3 添加为关联对象 2 (AO2) 的成员，权限 2 作为 AO2 的权限对象，而 RAC2 作为 AO2 中的 RAC 设备。
   
   

配置扩展架构 Active Directory 访问 DRAC 5

在使用 Active Directory 访问 DRAC 5 之前，必须配置 Active Directory 软件和 DRAC 5，方法是按照编号顺序执行下列步骤：

1. 扩展 Active Directory 架构（请参阅“扩展 Active Directory 架构”）。
   
   
2. 扩展 Active Directory 用户和计算机管理单元（请参阅“安装 Dell 对 Active Directory 用户和计算机管理单元的扩展”）。
   
   
3. 将 DRAC 5 用户及其权限添加到 Active Directory（请参阅“将 DRAC 5 用户和权限添加到 Active Directory”）。
   
   
4. 在每个域控制器上启用 SSL（请参阅“在域控制器上启用 SSL”）。
   
   
5. 使用 DRAC 5 基于 Web 的界面或 RACADM 配置 DRAC 5 Active Directory 属性（请参阅“使用扩展架构 Active Directory 和基于 Web 的界面配置 DRAC 5”或“使用扩展架构 Active Directory 和 RACADM 配置 DRAC 5”）。

扩展 Active Directory 架构

扩展 Active Directory 架构将会在 Active Directory 架构中添加一个 Dell 组织单元、架构类和属性以及示例权限和关联对象。扩展架构前，必须在域目录林的“架构主机灵活单主机操作 (FSMO) 角色所有者”上具有架构管理权限。

可以使用以下方法之一扩展架构：

• Dell Schema Extender 公用程序
  
  
• LDIF 脚本文件
  
  

如果使用 LDIF 脚本，将不会把 Dell 组织单元添加到架构。

LDIF 文件和 Dell Schema Extender 分别位于 Dell Systems Console and Agent CD 的以下目录中：

• CD 驱动器:\support\OMActiveDirectory Tools\RAC4-5\LDIF_Files
  
  
• CD 驱动器:\support\OMActiveDirectory Tools\RAC4-5\Schema_Extender
  
  

要使用 LDIF 文件，请参阅 LDIF_Files 目录中自述文件中的说明。要使用 Dell Schema Extender 扩展 Active Directory 架构，请参阅“使用 Dell Schema Extender”。

可以从任何位置复制和运行 Schema Extender 或 LDIF 文件。

使用 Dell Schema Extender

注意： Dell Schema Extender 使用 SchemaExtenderOem.ini 文件。要确保 Dell Schema Extender 公用程序运行正常，请勿修改该文件的名称。

1. 在欢迎屏幕中单击“Next”（下一步）。
   
   
2. 阅读并了解警告，单击“Next”（下一步）。
   
   
3. 选择“Use Current Log In Credentials”（使用当前登录凭据）或输入具有架构管理员权限的用户名和密码。
   
   
4. 单击“Next”（下一步）运行 Dell Schema Extender。
   
   
5. 单击“Finish”（完成）。
   
   

架构将会扩展。要验证架构扩展，请使用 Microsoft 管理控制台 (MMC) 和 Active Directory 架构管理单元验证以下内容是否存在：

• 类（请参阅表 6-1至表 6-6)
  
  
• 属性（表 6-7）
  
  

请参阅 Microsoft 说明文件详细了解如何在 MMC 中启用和使用 Active Directory 架构管理单元。

表 6-1. 添加到 Active Directory 架构的类的类定义

表 6-2. dellRacDevice 类

表 6-3. dellAssociationObject 类 

表 6-4. dellRAC4Privileges 类

表 6-5. dellPrivileges 类

表 6-6. dellProduct 类

表 6-7. 列出了添加到 Active Directory 架构的属性 

安装 Dell 对 Active Directory 用户和计算机管理单元的扩展

扩展 Active Directory 中的架构时，还必须扩展 Active Directory 用户和计算机管理单元以使管理员能够管理 RAC (DRAC 5) 设备、用户和用户组、RAC 关联和 RAC 权限。

使用 Dell Systems Console and Agent CD 安装 systems management software 时，可以通过在安装过程中选择“Dell Extension to the Active Directory User's and Computers Snap-In”（到 Active Directory 用户和计算机管理单元的 Dell 扩展）选项来扩展管理单元。请参阅《Dell OpenManage 软件快速安装指南》进一步了解如何安装 Systems Management 软件。

有关 Active Directory 用户和计算机管理单元的详情，请参阅 Microsoft 说明文件。

安装 Administrator Pack

必须在管理 Active Directory DRAC 5 对象的每个系统上安装 Administrator Pack。如果不安装 Administrator Pack，将无法在容器中查看 Dell RAC 对象。

请参阅“打开 Active Directory 用户和计算机管理单元”了解详情。

打开 Active Directory 用户和计算机管理单元

要打开 Active Directory 用户和计算机管理单元，应执行以下步骤：

1. 如果登录到域控制器，则单击“Start Admin Tools”（启动管理工具）→ “Active Directory Users and Computers”（Active Directory 用户和计算机）。

如果不在域控制器上，则必须在本地系统上安装相应的 Microsoft Administrator Pack。要安装 Administrator Pack，请单击“Start”（开始）→ “Run”（运行），键入 MMC 并按 Enter。

Microsoft 管理控制台 (MMC) 显示。

2. 在“Console 1”（控制台 1） 窗口中单击“File”（文件）（或“Console”（控制台），如果是运行 Windows 2000 的系统）。
   
   
3. 单击“Add/Remove Snap-in”（添加/删除管理单元）。
   
   
4. 选择 “Active Directory Users and Computers”（Active Directory 用户和计算机）插件并单击“Add”（添加）。
   
   
5. 单击“Close”（关闭）并单击“OK”（确定）。
   
   

将 DRAC 5 用户和权限添加到 Active Directory

使用 Dell 扩展的 Active Directory 用户和计算机管理单元，使您能够通过创建 RAC、关联和权限对象添加 DRAC 5 用户和权限。要添加每个对象类型，请执行以下过程：

• 创建 RAC 设备对象
  
  
• 创建权限对象
  
  
• 创建关联对象
  
  
• 将对象添加到关联对象
  
  

创建 RAC 设备对象

1. 在“MMC Console Root”（MMC 控制台根目录）窗口中，右击一个容器。
   
   
2. 选择“New”（新建）→ “Dell RAC Object”（Dell RAC 对象）。
   
   

显示新对象窗口。

3. 为新对象键入名称。该名称必须与将要在“使用扩展架构 Active Directory 和基于 Web 的界面配置 DRAC 5”中的步骤 a中键入的 DRAC 5 名称相同。
4. 选择“RAC Device Object”（RAC 设备对象）。
   
   
5. 单击“OK”（确定）。
   
   

创建权限对象

注： 权限对象必须和相关关联对象创建在同一个域中。

1. 在“Console Root”（控制台根目录）(MMC) 窗口中，右击一个容器。
   
   
2. 选择“New”（新建）→“Dell RAC Object”（Dell RAC 对象）。
   
   

显示新对象窗口。

3. 为新对象键入名称。
   
   
4. 选择“Privilege Object”（权限对象）。
   
   
5. 单击“OK”（确定）。
   
   
6. 右击创建的权限对象并选择“Properties”（属性）。
   
   
7. 单击“RAC Privileges”（RAC 权限）选项卡并选择希望用户具有的权限（有关详情请参阅表 4-9）。
   
   

创建关联对象

“关联”对象从组派生而来，因此必须包含组类型。关联范围为“关联”对象指定安全保护组类型。创建关联对象时，请选择适用于要添加对象的类型的关联范围。

例如，如果选择通用，则关联对象仅当 Active Directory 域以本机模式或更高模式运行时才可用。

1. 在“Console Root”（控制台根目录）(MMC) 窗口中，右击一个容器。
   
   
2. 选择“New”（新建）→ “Dell RAC Object”（Dell RAC 对象）。
   
   

这将会打开“New Object”（新建对象）窗口。

3. 为新对象键入名称。
   
   
4. 选择“Association Object”（关联对象）。
   
   
5. 为“Association Object”（关联对象）选择范围。
   
   
6. 单击“OK”（确定）。
   
   

将对象添加到关联对象

使用关联对象属性窗口，可以关联用户或用户组、权限对象和 RAC 设备或 RAC 设备组。如果系统运行 Windows 2000 模式或更高模式，请使用通用组以跨越用户或 RAC 对象的域。

可以添加用户组和 RAC 设备组。创建 Dell 相关的组和非 Dell 相关的组的过程相同。

添加用户或用户组

1. 右击“Association Object”（关联对象）并选择“Properties”（属性）。
   
   
2. 选择“Users”（用户）选项卡并单击“Add”（添加）。
   
   
3. 键入用户或用户组名称并单击“OK”（确定）。
   
   

单击“Privilege Object”（权限对象）选项卡并将权限对象添加到关联，该关联将定义在验证 RAC 设备时的用户或用户组权限。只能将一个权限对象添加到关联对象。

添加权限

1. 选择“Privileges Object”（权限对象）选项卡并单击“Add”（添加）。
   
   
2. 键入权限对象的名称并单击“OK”（确定）。
   
   

单击“Products”（产品）选项卡将一个或多个 RAC 设备添加到关联。关联设备指定连接到网络的 RAC 设备，这些设备对于所定义的用户或用户组可用。可以将多个 RAC 设备添加到关联对象。

添加 RAC 设备或 RAC 设备组

要添加 RAC 设备或 RAC 设备组：

1. 选择“Products”（产品）选项卡并单击“Add”（添加）。
   
   
2. 键入 RAC 设备或 RAC 设备组名称并单击“OK”（确定）。
   
   
3. 在“Properties”（属性）窗口中单击“Apply”（应用），并单击“OK”（确定）。
   
   

使用扩展架构 Active Directory 和基于 Web 的界面配置 DRAC 5

1. 打开一个支持的 Web 浏览窗口。
   
   
2. 登录到 DRAC 5 基于 Web 的界面。
   
   
3. 展开系统树并单击“Remote Access”（远程访问）。
   
   
4. 单击“Configuration”（配置）选项卡并选择 Active Directory。
   
   
5. 在 Active Directory 主菜单页中选择“Configure Active Directory”（配置 Active Directory） 并单击“Next”（下一步）。
   
   
6. 在常见设置部分：
   
   
   7. 选择“Enable Active Directory”（启用 Active Directory）复选框。
      
      
   8. 键入“Root Domain Name”（Root 域名）。“Root Domain Name”（Root 域名）是目录林的完全限定 Root 域名。
      
      
   9. 键入超时时间，以秒为单位。
      
      
7. 在 Active Directory 架构设置部分单击“Use Extended Schema”（使用扩展架构）。
   
   
8. 在扩展架构设置部分：
   
   
   1. 键入 DRAC 名称。此名称必须与在域控制器中创建的新 RAC 对象的常用名相同（请参阅“创建 RAC 设备对象”中的 第 3 步）相同。
   2. 键入“DRAC Domain Name”（DRAC 域名）（例如 drac5.com）。请勿使用 NetBIOS 名称。The DRAC 域名是 RAC 设备对象所在的子域的完全限定域名。
      
      
9. 单击“Apply”（应用）保存 Active Directory 设置。
   
   
10. 单击“Go Back To Active Directory Main Menu”（退回到 Active Directory 主菜单）。
    
    
11. 将域目录林根CA 认证上载到 DRAC 5。
    
    
    1. 选择“Upload Active Directory CA Certificate”（上载 Active Directory CA 认证）复选框，然后单击“Next”（下一步）。
       
       
    2. 在认证上载页中键入认证的文件路径或浏览至认证文件。
       
       

注： 文件路径值显示上载的认证的相对文件路径。必须输入绝对文件路径，包括全路径和完整文件名及文件扩展名。

域控制器的 SSL 认证应已得到根 CA 签名。在访问 DRAC 5 的 management station 上安装可用根 CA 认证（请参阅“导出域控制器根 CA 认证”）。

3. 单击“Apply”（应用）。
   
   

DRAC 5 Web server 将在单击“Apply”（应用）后自动重新启动。

12. 注销，然后登录 DRAC 5 以完成 DRAC 5 Active Directory 功能配置。
    
    
13. 在系统树中单击“Remote Access”（远程访问）。
    
    
14. 单击“Configuration”（配置）选项卡，然后单击“Network”（网络）。
    
    

显示网络配置页。

15. 如果网络设置下选择使用 DHCP（用于 NIC IP 地址），则选择“Use DHCP to obtain DNS server address”（使用 DHCP 获取 DNS 服务器地址）。
    
    

要手动输入 DNS 服务器的 IP 地址，则取消选中“Use DHCP to obtain DNS server address”（使用 DHCP 获取 DNS 服务器地址）并输入主要和备用 DNS 服务器的 IP 地址。

16. 单击“Apply Changes”（应用更改）。
    
    

DRAC 5 扩展架构 Active Directory 功能配置完成。

使用扩展架构 Active Directory 和 RACADM 配置 DRAC 5

使用以下命令以通过 RACADM CLI 工具而不是基于 Web 的界面配置 DRAC 5 Active Directory 的扩展架构。

1. 打开命令提示符并键入以下 RACADM 命令：
   
   

racadm config -g cfgActiveDirectory -o cfgADEnable 1

racadm config -g cfgActiveDirectory -o cfgADType 1

racadm config -g cfgActiveDirectory -o cfgADRacDomain <完全限定的 RAC 域名>

racadm config -g cfgActiveDirectory -o cfgADRootDomain <完全限定的 Root 域名>

racadm config -g cfgActiveDirectory -o cfgADRacName <RAC 常用名>

racadm sslcertupload -t 0x2 -f <ADS 根 CA 认证>

racadm sslcertdownload -t 0x1 -f <RAC SSL 认证>

2. 如果想指定 LDAP 或全局编录服务器，而不是使用由 DNS 服务器返回的服务器来搜索用户名，则键入以下命令启用“Specify Server”（指定服务器）选项：
   
   

racadm config -g cfgActive Directory -o cfgADSpecifyServer Enable 1

注： 如果使用此选项，CA 认证中的主机名不会匹配指定服务器的名称。如果您是 DRAC 管理员，这样尤为有用，因为可以让您输入主机名和 IP 地址。

在启用“Specify Server”（指定服务器）选项后，可以用服务器的 IP 地址或完全限定域名 (FQDN) 指定一个 LDAP 服务器。FQDN 由主机名和服务器的域名组成。

要指定 LDAP 服务器，键入：

racadm config -g cfgActive Directory -o cfgADDomainController <完全限定域名或 IP 地址>

要指定全局编录服务器，键入：

racadm config -g cfgActive Directory -o cfgGlobalCatalog <完全限定域名或 IP 地址>

注： 如果将 IP 地址指定为 0.0.0.0，则 DRAC 5 不会搜索服务器。

注： 可以指定 LDAP 或全局编录服务器的列表，以逗号隔开。DRAC 5 允许指定多达三个 IP 地址或主机名。

注： 如果所有域和应用程序的 LDAPS 未正确配置，则在现有应用程序/域运作时，可能会产生无法预料的结果。

3. 如果 DRAC 5 上已启用 DHCP 并且希望使用 DHCP 服务器提供的 DNS，则键入以下 racadm 命令：
   
   

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1

4. 如果 DRAC 5 上已禁用 DHCP 或者想手动输入 DNS IP 地址，则键入以下 racadm 命令：
   
   

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0

racadm config -g cfgLanNetworking -o cfgDNSServer1 <主要 DNS IP 地址>

racadm config -g cfgLanNetworking -o cfgDNSServer2 <备用 DNS IP 地址>

5. 按“Enter”（输入） 完成 DRAC 5 Active Directory 功能配置。
   
   

标准架构 Active Directory 概览

如图 6-4 所示，使用 Active Directory 的标准架构需要在 Active Directory 和 DRAC 5 上都进行配置。在 Active Directory 端，使用标准组对象作为角色组。具有 DRAC 5 权限的用户将是该角色组的成员。为了授予该用户对特定 DRAC 5 卡的权限，需要在特定 DRAC 5 卡上配置角色组名称及其域名。与扩展架构不同，角色和权限级别定义在各个 DRAC 5 卡上，而不是 Active Directory 中。每个 DRAC 5 卡上最多可以配置五个角色组。表 4-16 显示了角色组的权限级别，而表 6-8 显示了默认角色组设置。

图 6-4. 使用 Microsoft Active Directory 和标准架构配置 DRAC 5

表 6-8. 默认角色组权限

注： 位掩码值只有在设置 RACADM 标准架构时才使用。

有两种方式启用标准架构 Active Directory：

• 通过 DRAC 5 基于 Web 的用户界面。请参阅“使用扩展架构 Active Directory 和基于 Web 的界面配置 DRAC 5”。
  
  
• 使用 RACADM CLI 工具。请参阅“使用扩展架构 Active Directory 和 RACADM 配置 DRAC 5”。
  
  

配置标准架构 Active Directory 访问 DRAC 5

在 Active Directory 用户可以访问 DRAC 5 前，需要执行下列步骤配置 Active Directory：

1. 在 Active Directory 服务器（域控制器）上，打开 Active Directory 用户和计算机管理单元。
   
   
2. 创建组或选择现有的组。组名和域名需要在 DRAC 5 上使用基于 web 的界面或 RACADM 进行配置。请参阅“使用扩展架构 Active Directory 和基于 Web 的界面配置 DRAC 5”或“使用扩展架构 Active Directory 和 RACADM 配置 DRAC 5”）。
3. 添加 Active Directory 用户作为 Active Directory 组的成员以访问 DRAC 5。
   
   

使用标准架构 Active Directory 和基于 Web 的界面配置 DRAC 5

1. 打开一个支持的 Web 浏览窗口。
   
   
2. 登录到 DRAC 5 基于 Web 的界面。
   
   
3. 展开系统树并单击“Remote Access”（远程访问）。
   
   
4. 单击“Configuration”（配置）选项卡并选择 Active Directory。
   
   
5. 在 Active Directory 主菜单页中选择“Configure Active Directory”（配置 Active Directory） 并单击“Next”（下一步）。
   
   
6. 在常见设置部分：
   
   
   1. 选择“Enable Active Directory”（启用 Active Directory）复选框。
      
      
   2. 键入“Root Domain Name”（Root 域名）。“Root Domain Name”（Root 域名）是目录林的完全限定 Root 域名。
      
      
   3. 键入超时时间，以秒为单位。
      
      
7. 在 Active Directory 架构设置部分单击“Use Standard Schema”（使用标准架构）。
   
   
8. 单击“Apply”（应用）保存 Active Directory 设置。
   
   
9. 在标准架构设置部分的“Role Groups”（角色组）列中，单击“Role Group”（角色组）。
   
   

“Configure Role Group”（配置角色组）页将会显示，其中包括角色组的“Group Name”（组名称）、“Group Domain”（组域）和“Role Group Privileges”（角色组权限）。

10. 键入组名称。在 Active Directory 中标识 DRAC 5 卡相关角色组的名称。
    
    
11. 键入组域。“Group Domain”（组域）是目录林的完全限定 Root 域名。
    
    
12. 在“Role Group Privileges”（角色组权限）页，设置组的权限。
    
    

表 4-16 说明了角色组特权。

表 4-17说明了角色组权限。如果修改任何权限，现有角色组特权（管理员、高级用户或客用户）将会根据修改的权限更改为自定义组或相应角色组特权。

13. 单击“Apply”（应用）保存角色组设置。
    
    
14. 单击“Go Back To Active Directory Configuration and Management”（退回到 Active Directory 配置和管理）。
    
    
15. 单击“Go Back To Active Directory Main Menu”（退回到 Active Directory 主菜单）。
    
    
16. 将域目录林 Root CA 认证上载到 DRAC 5。
    
    
    1. 选择“Upload Active Directory CA Certificate”（上载 Active Directory CA 认证）复选框，然后单击“Next”（下一步）。
       
       
    2. 在认证上载页中键入认证的文件路径或浏览至认证文件。
       
       

注： 文件路径值显示上载的认证的相对文件路径。必须输入绝对文件路径，包括全路径和完整文件名及文件扩展名。

域控制器的 SSL 认证应已得到根 CA 签名。在访问 DRAC 5 的 management station 上安装可用根 CA 认证（请参阅“导出域控制器根 CA 认证”）。

3. 单击“Apply”（应用）。
   
   

DRAC 5 Web server 将在单击“Apply”（应用）后自动重新启动。

17. 注销，然后登录 DRAC 5 以完成 DRAC 5 Active Directory 功能配置。
    
    
18. 在系统树中单击“Remote Access”（远程访问）。
    
    
19. 单击“Configuration”（配置）选项卡，然后单击“Network”（网络）。
    
    

显示网络配置页。

20. 如果网络设置下选择使用 DHCP（用于 NIC IP 地址），则选择“Use DHCP to obtain DNS server address”（使用 DHCP 获取 DNS 服务器地址）。
    
    

要手动输入 DNS 服务器的 IP 地址，则取消选中“Use DHCP to obtain DNS server address”（使用 DHCP 获取 DNS 服务器地址）并输入主要和备用 DNS 服务器的 IP 地址。

21. 单击“Apply Changes”（应用更改）。
    
    

DRAC 5 标准架构 Active Directory 功能配置完成。

使用标准架构 Active Directory 和 RACADM 配置 DRAC 5

使用以下命令以通过 RACADM CLI 工具而不是基于 Web 的界面配置 DRAC 5 Active Directory 的标准架构。

1. 打开命令提示符并键入以下 RACADM 命令：
   
   

racadm config -g cfgActiveDirectory -o cfgADEnable 1

racadm config -g cfgActiveDirectory -o cfgADType 2

racadm config -g cfgActiveDirectory -o cfgADRootDomain <完全限定的 Root 域名>

racadm config -g cfgStandardSchema -i <索引> -o cfgSSADRoleGroupName <角色组常用名>

racadm config -g cfgStandardSchema -i <索引> -o cfgSSADRoleGroupDomain <完全限定域名>

racadm config -g cfgStandardSchema -i <索引> -o cfgSSADRoleGroupPrivilege <特定用户权限的位掩码号>

racadm sslcertupload -t 0x2 -f <ADS 根 CA 认证>

racadm sslcertdownload -t 0x1 -f <RAC SSL 认证>

注： 有关位掩码号值，请参阅表 B-4。

2. 如果 DRAC 5 上已启用 DHCP 并且希望使用 DHCP 服务器提供的 DNS，则键入以下 racadm 命令：
   
   

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1

3. 如果 DRAC 5 上已禁用 DHCP 或者想手动输入 DNS IP 地址，则键入以下 racadm 命令：
   
   

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0

racadm config -g cfgLanNetworking -o cfgDNSServer1 <主要 DNS IP 地址>

racadm config -g cfgLanNetworking -o cfgDNSServer2 <次要 DNS IP 地址>

在域控制器上启用 SSL

如果使用 Microsoft Enterprise Root CA 自动分配所有域控制器 SSL 认证，请执行下列步骤以在各个域控制器上启用 SSL。

1. 在域控制器上安装 Microsoft Enterprise 根 CA。
   
   
   1. 选择“Start”（开始）→ “Control Panel”（控制面板）→ “Add or Remove Programs”（添加或删除程序）。
   2. 选择“Add/Remove Windows Components”（添加/删除 Windows 组件）。
      
      
   3. 在“Windows Components Wizard”（Windows 组件向导）中，选择“Certificate Services”（认证服务）复选框。
      
      
   4. 选择 “Enterprise root CA”（Enterprise 根 CA） 作为“CA Type”（CA 类型）并单击“Next”（下一步）。
      
      
   5. 输入此 CA 的常用名，单击“Next”（下一步）并单击“Finish”（完成）。
      
      
2. 通过为每个控制器安装 SSL 认证，在每个域控制器上启用 SSL。
   
   
   1. 单击“Start”（开始）→ “Administrative Tools”（管理工具）→“Domain Security Policy”（域安全策略）。
      
      
   2. 展开“Public Key Policies”（公共密钥策略）文件夹，右击“Automatic Certificate Request Settings”（自动认证请求设置）并单击“Automatic Certificate Request”（自动认证请求）。
      
      
   3. 在“Automatic Certificate Request Setup Wizard”（自动认证请求安装向导）中，单击“Next”（下一步）并选择“Domain Controller”（域控制器）。
      
      
   4. 单击“Next”（下一步）并单击“Finish”（完成）。
      
      

导出域控制器根 CA 认证

注： 如果系统运行 Windows 2000，以下步骤可能不同。

1. 找到运行 Microsoft Enterprise CA 服务的域控制器。
   
   
2. 单击“Start”（开始）→ “Run”（运行）。
   
   
3. 在运行字段中键入 mmc 并单击“OK”（确定）。
   
   
4. 在控制台 1 (MMC) 窗口中单击“File”（文件）或在 Windows 2000 计算机上单击“Console”（控制台） ，并选“Add/Remove Snap-In”（添加/删除管理单元）。
   
   
5. 在“Add/Remove Snap-In”（添加/删除管理单元）窗口中，单击“Add”（添加）。
   
   
6. 在“Standalone Snap-In”（独立管理单元）窗口中，选择“Certificates”（认证）并单击“Add”（添加）。
   
   
7. 选择“Computer account”（计算机帐户）并单击“Next”（下一步）。
   
   
8. 选择“Local Computer”（本地计算机）并单击“Finish”（完成）。
   
   
9. 单击“OK”（确定）。
   
   
10. 在“Console 1”（控制台 1）窗口，展开“Certificates”（认证）文件夹，展开“Personal”（个人）文件夹并单击“Certificates”（认证）文件夹。
    
    
11. 找到并右击根 CA 认证，选择“All Tasks”（所有任务）并单击“Export...”（导出...）。
    
    
12. 在“Certificate Export Wizard”（认证导出向导）中，单击“Next”（下一步）并选择“No do not export the private key”（不，不导出私钥）。
    
    
13. 单击“Next”（下一步）并选择“Base-64 encoded X.509 (.cer)”（Base-64 编码 X.509 [.cer]）作为格式。
    
    
14. 单击“Next”（下一步）并保存认证至系统上的目录。
    
    
15. 上载在步骤 14 中保存到 DRAC 5 的认证。
    
    

要使用 RACADM 上载认证，请参阅“使用扩展架构 Active Directory 和基于 Web 的界面配置 DRAC 5”。

要使用基于 Web 的接口上载认证，请执行下面的过程：

1. 打开一个支持的 Web 浏览窗口。
   
   
2. 登录到 DRAC 5 基于 Web 的界面。
   
   
3. 展开系统树并单击“Remote Access”（远程访问）。
   
   
4. 单击“Configuration”（配置）选项卡，然后单击“Security”（安全性）。
   
   
5. 在安全性认证主菜单页中选“Upload Server Certificate”（上载服务器认证）并单击“Apply”（应用）。
   
   
6. 在认证上载屏幕中执行以下过程之一：
   
   
   • 单击“Browse”（浏览）并选择认证。
     
     
   • 在值字段中键入认证的路径。
     
     
7. 单击“Apply”（应用）。
   
   

导入 DRAC 5 固件 SSL 认证

使用下面的过程将 DRAC 5 固件 SSL 认证导入到所有域控制器受信任的认证列表。

注： 如果系统运行 Windows 2000，以下步骤可能不同。

注： 如果 DRAC 5 固件 SSL 认证是由公认的 CA 签署的，则不需要执行本节说明的步骤。

DRAC 5 SSL 认证就是用于 DRAC 5 Web Server 的认证。所有的 DRAC 5 控制器都配备有默认的自签署认证。

要使用 DRAC 5 基于 Web 的界面访问认证，请选择“Configuration”（配置）→ Active Directory → “Download DRAC 5 Server Certificate”（下载 DRAC 5 服务器认证）。

1. 在域控制器上，打开“MMC Console”（MMC 控制台）窗口并选择“Certificates”（认证）→ “Trusted Root Certification Authorities”（可信根认证机构）。
2. 右击“Certificates”（认证），选择“All Tasks”（所有任务）并单击“Import”（导入）。
   
   
3. 单击“Next”（下一步）并浏览到 SSL 认证文件。
   
   
4. 在每个域控制器的“Trusted Root Certification Authority”（可信根认证机构）中安装 RAC SSL 认证。
   
   

如果已安装自己的认证，应确保签署您的认证的 CA 位于“Trusted Root Certification Authority”（可信根认证机构）列表中。如果该机构不在列表中，必须在所有的域控制器上安装它。

5. 单击“Next”（下一步）并选择是否希望 Windows 自动根据认证的类型选择认证存储位置，还是浏览到所选的存储位置。
   
   
6. 单击“Finish”（完成）并单击“OK”（确定）。
   
   

使用 Active Directory 登录到 DRAC 5

可以使用以下方法之一以 Active Directory 登录到 DRAC 5：

• 基于 Web 的界面
  
  
• 远程 RACADM
  
  
• 串行或 telnet 控制台。
  
  

登录语法对于所有这三种方法都是一致的：

<用户名@域>

或

<域>\<用户名>或<域>/<用户名>

其中用户名 是 1-256 字节的 ASCII 字符串。

用户名和域名中不能使用空格和特殊字符（比如 \、/ 或 @）。

注： 不能指定 NetBIOS 域名，比如 Americas，因为那些名称无法解析。

常见问题

表 6-9 列出了常见问题及其解答。

表 6-9. 将 DRAC 5 用于 Active Directory：常见问题 

返回目录页