Si vous utilisez le logiciel de service Active Directory, vous pouvez le configurer pour contrôler l'accès à votre réseau. Dell a modifié la base de données de Active Directory pour prendre en charge l'authentification et l'autorisation de gestion distante. Dell OpenManage™ IT Assistant, Dell OpenManage Server Administrator et Dell™ Remote Access Controller peuvent désormais s'interfacer avec Active Directory. Avec cet outil, vous pouvez ajouter et contrôler utilisateurs et privilèges depuis une base de données centrale unique.
REMARQUE : L'utilisation d'Active Directory pour reconnaître les utilisateurs RAC, IT Assistant ou Server Administrator est prise en charge sur les systèmes d'exploitation Microsoft Windows 2000 et Windows Server 2003.
Extensions de schéma Active Directory
Les données d'Active Directory se trouvent dans une base de données distribuée d'attributs et de classes. Un exemple de classe d'Active Directory est la classe Utilisateur. Des exemples d'attributs de la classe Utilisateur pourraient être le prénom de l'utilisateur, son nom, son numéro de téléphone, etc. Chaque classe ou attribut ajouté à un schéma Active Directory existant doit être défini avec un ID unique. Pour maintenir des ID uniques à travers toute l'industrie, Microsoft maintient une base de données d'identificateurs d'objets (OID) Active Directory.
Le schéma Active Directory définit les règles régissant quelles données peuvent être incluses dans la base de données. Pour étendre le schéma dans Active Directory, Dell a reçu des OID uniques, des extensions de nom uniques et des ID d'attributs liés uniques pour les nouveaux attributs et les nouvelles classes dans le service de répertoire.
L'extension de Dell est : dell
L'OID de base de Dell est : 1.2.840.113556.1.8000.1280
La plage de LinkID Dell est : 12070 à 12079
La base de données d'OID Active Directory maintenue par Microsoft peut être consultée à l'adresse msdn.microsoft.com/certification/ADAcctInfo.asp en entrant notre extension, dell.
Aperçu des extensions de schéma Active Directory
Dell a créé des classes, ou groupes d'objets, qui peuvent être configurés par l'utilisateur pour satisfaire leurs besoins particuliers. Des nouvelles classes dans le schéma comprennent une classe Association, une classe Produit et une classe Privilège. Un objet Association lie les utilisateurs ou les groupes à un ensemble donné de privilèges et à des systèmes (Objets Produit) dans votre réseau. Ce modèle donne à l'administrateur le contrôle sur différentes combinaisons d'utilisateurs, de privilèges et de systèmes ou périphériques RAC sur le réseau, sans ajouter de complexité.
Aperçu des objets Active Directory
Pour chaque système que vous souhaitez intégrer avec Active Directory pour l'authentification ou l'autorisation, il doit y avoir au moins un objet Association et un objet Produit. L'objet Produit représente le système. L'objet Association le lie avec des utilisateurs et des privilèges. Vous pouvez créer autant d'objets Association que vous en avez besoin.
Chaque objet Association peut être lié à autant d'utilisateurs, de groupes d'utilisateurs et d'objets Produit que vous le souhaitez. Les utilisateurs et les objets Produits peuvent provenir de n'importe quel domaine. Cependant, chaque objet Association ne peut lier qu'à un objet Privilège. Ce comportement permet à un Administrateur de contrôler quels utilisateurs ont quels droits sur des systèmes spécifiques.
L'objet Produit lie le système à Active Directory pour les requêtes d'authentification et d'autorisation. Quand un système est ajouté au réseau, l'Administrateur doit configurer le système et ses objets Produit avec le nom Active Directory pour que les utilisateurs puisse effectuer l'authentification et l'autorisation avec Active Directory. L'Administrateur devra également ajouter le système à au moins un objet Association pour que les utilisateurs puissent s'authentifier.
La figure 8-1 illustre le fait que l'objet Association fournit la connexion nécessaire pour toute authentification et autorisation.
Figure 8-1.Configuration typique pour les objets Active Directory
De plus, vous pouvez définir des objets Active Directory dans un domaine unique ou dans plusieurs domaines. La définition d'objets dans un domaine unique ne varie pas, que vous les configuriez pour RAC, Server Administrator ou IT Assistant. Quand plusieurs domaines sont impliqués, en revanche, il y a quelques différences.
Par exemple, vous avez deux cartes DRAC 4 (RAC1 et RAC2) et trois utilisateurs Active Directory existants (Utilisateur 1, Utilisateur 2 et Utilisateur 3). Vous voulez donner à Utilisateur 1 et à Utilisateur 2 des privilèges d'administrateur sur les deux cartes DRAC 4 et donner à Utilisateur 3 des privilèges d'ouverture de session sur la carte RAC2. La figure 8-2 montre comment définir les objets Active Directory dans ce scénario.
Figure 8-2. Définition d'objets Active Directory dans un domaine unique
Pour configurer les objets pour un scénario de domaine unique, effectuez les tâches suivantes :
Créez deux objets Association.
Créez deux objets Produit RAC, RAC1 et RAC2, pour représenter les deux cartes DRAC 4.
Créez deux objets Privilège, Priv. 1 et Priv. 2, où Priv. 1 a tous les privilèges (administrateur)
et Priv. 2 a des privilèges d'ouverture de session.
Groupez Utilisateur 1 et Utilisateur 2 dans Groupe 1.
Ajoutez Groupe 1 comme membre de l'objet Association 1 (AO1), Priv. 1 comme objet Privilège dans AO1
et RAC 1 et RAC 2 comme produits RAC dans AO1.
Ajoutez utilisateur 3 comme Membres dans l'objet Association 2 (AO2), Priv. 2 comme objet Privilège dans AO2, et
RAC 2 comme Produit RAC dans AO2.
La figure 8-3 montre comment définir des objets Active Directory dans des domaines multiples pour un RAC. Dans ce scénario, vous avez deux cartes DRAC 4 (RAC1 et RAC2) et trois utilisateurs Active Directory (Utilisateur 1, Utilisateur 2 et Utilisateur 3). Utilisateur 1 est dans Domaine 1, mais Utilisateur 2 et Utilisateur 3 sont dans Domaine 2. Vous voulez donner à Utilisateur 1 et Utilisateur 2 des privilèges d'administrateur sur les cartes RAC1 et RAC2 et donner à Utilisateur 3 des privilèges d'ouverture de session sur la carte RAC2.
Figure 8-3.Configuration d'objets Active Directory RAC dans des domaines multiples
Pour définir les objets pour ce scénario à plusieurs domaines, effectuez les tâches suivantes :
Assurez-vous que la fonction de forêt de domaines est en mode Natif ou Windows 2003.
Créez deux objets Association, AO1 (de portée Universel) et AO2, dans n'importe quel domaine. La
figure illustre les objets dans Domaine 2.
Créez deux objets Périphérique RAC, RAC1 et RAC2, pour représenter les deux systèmes distants.
Créez deux objets Privilège, Priv. 1 et Priv. 2, où Priv. 1 a tous les privilèges (administrateur)
et Priv. 2 a des privilèges d'ouverture de session.
Groupez Utilisateur 1 et Utilisateur 2 dans Groupe 1. L'étendue de groupe de Groupe 1 doit être universelle.
Ajoutez Groupe 1 comme Membres dans l'objet Association 1 (AO1), Priv. 1 comme objet Privilège dans AO1,
et RAC 1 et RAC 2 comme Produits dans AO1.
Ajoutez utilisateur 3 comme Membre dans l'objet Association 2 (AO2), Priv. 2 comme objet Privilège dans AO2, et
RAC 2 comme Produit dans AO2.
En revanche, pour Server Administrator ou IT Assistant, les utilisateurs dans une Association unique peuvent être dans des domaines séparés sans devoir être ajoutés à un groupe universel. Ce qui suit est un exemple très similaire pour montrer comment des systèmes Server Administrator ou IT Assistant dans des domaines séparés affectent la configuration d'objets de répertoire. Au lieu de périphériques RAC, vous aurez deux systèmes exécutant Server Administrator (les Produits Server Administrator Sys. 1 et Sys. 2). Sys. 1 et Sys. 2 sont dans des domaines différents. Vous pouvez utiliser n'importe quels utilisateurs ou groupes qui existent dans Active Directory. La figure 8-4 montre comment configurer les objets Active Directory de Server Administrator pour cet exemple.
Figure 8-4. Configuration d'objets Active Directory de Server Administrator dans des domaines multiples
Pour définir les objets pour ce scénario à plusieurs domaines, effectuez les tâches suivantes :
Assurez-vous que la fonction de forêt de domaines est en mode Natif ou Windows 2003.
Créez deux objets Association, AO1 et AO2, dans n'importe quel domaine. La figure illustre les objets
dans Domaine 1.
Créez deux Produits Server Administrator, sys. 1 et sys. 2, pour représenter les deux systèmes. Sys. 1 est
dans Domaine 1 et sys. 2 est dans Domaine 2.
Créez deux objets Privilège, Priv. 1 et Priv. 2, où Priv. 1 a tous les privilèges (administrateur)
et Priv. 2 a des privilèges d'ouverture de session.
Groupez sys. 2 dans Groupe 1. L'étendue de groupe de Groupe 1 doit être Universel.
Ajoutez Utilisateur 1 et Utilisateur 2 comme membres de l'objet Association 1 (AO1), Priv. 1 comme objet Privilège dans
AO1 et Sys. 1 et Groupe 1 comme produits dans AO1.
Ajoutez utilisateur 3 comme Membre dans l'objet Association 2 (AO2), Priv. 2 comme objet Privilèges dans AO2, et
Groupe 1 comme Produit dans AO2.
Remarquez qu'aucun des objets Association n'a besoin d'être d'étendue Universel dans ce cas.
Configuration d'Active Directory pour accéder à vos systèmes
Avant que vous puissiez utiliser Active Directory pour accéder à vos systèmes, vous devez configurer le logiciel Active Directory et les systèmes.
Des extensions de schéma de RAC, Server Administrator et IT Assistant sont disponibles. Vous n'avez besoin d'étendre le schéma que pour les logiciels et le matériel que vous utilisez. Chaque extension doit être appliquée individuellement pour bénéficier de ses paramètres spécifiques au logiciel. Le fait d'étendre votre schéma Active Directory ajoutera des classes et des attributs de schéma, par exemple des objets association et privilèges, et une unité organisationnelle Dell au schéma.
REMARQUE : Avant d'étendre le schéma, vous devez avoir des droits d'administrateur de schéma sur le propriétaire de rôle d'opération à maître unique flottant (FSMO) de maître de schéma de la forêt de domaines.
Vous pouvez étendre votre schéma en utilisant deux méthodes différentes. Vous pouvez utiliser l'utilitaire Dell Schema Extender ou le fichier de script au format d'échange d'annuaires simplifié (LDIF).
REMARQUE : L'unité organisationnelle Dell ne sera pas ajoutée si vous utilisez le fichier de script LDIF.
Les fichiers de script LDIF et Dell Schema Extender se trouvent sur votre CD Dell PowerEdge™ Installation and Server Management dans les répertoires respectifs suivants :
Lecteur de CDtype d'installation\LDIF Files
Lecteur de CDtype d'installation\Schema Extender
Le type d'installation sera soit RAC4, RAC3, Server Administrator ou IT Assistant, version 7.0 ou ultérieure, selon votre choix d'extension de schéma.
Pour utiliser les fichiers LDIF, consultez les instructions dans le fichier lisez-moi qui se trouve dans le répertoire des fichiers LDIF. Pour utiliser Dell Schema Extender pour étendre le schéma Active Directory, suivez les étapes décrites dans « Utilisation de Dell Schema Extender ».
Vous pouvez copier et exécuter Schema Extender ou les fichiers LDIF depuis n'importe quel emplacement.
Utilisation de Dell Schema Extender
AVIS : Dell Schema Extender utilise le fichier SchemaExtenderOem.ini . Pour que l'utilitaire Dell Schema Extender fonctionne correctement, ne modifiez pas le nom ou le contenu de ce fichier.
Cliquez sur Suivant sur l'écran d'accueil.
Lisez l'avertissement et cliquez à nouveau sur Suivant
Sélectionnez Utiliser les références d'ouverture de session actuelles ou entrez un nom d'utilisateur et un mot de passe avec des droits d'administrateur de schéma.
Cliquez sur Suivant pour exécuter Dell Schema Extender.
Cliquez sur Terminer.
Pour vérifier l'extension de schéma, utilisez le snap-in de schéma d'Active Directory de la console Microsoft Management Console (MMC) pour vérifier l'existence des classes suivantes (répertoriées dans les tableau 8-1, tableau 8-6, tableau 8-7, tableau 8-9, tableau 8-10, tableau 8-11 et tableau 8-12) et des attributs suivants (répertoriés dans les tableau 8-13, tableau 8-14 et tableau 8-15). Consultez votre documentation Microsoft pour plus d'informations sur l'activation et l'utilisation du snap-in de schéma Active Directory dans le MMC.
Tableau 8-1.Définitions de classe pour les classes ajoutées au schéma Active Directory
Nom de classe
Numéro d'identification d'objet attribué (OID)
Type de classe
dellRacDevice
1.2.840.113556.1.8000.1280.1.1.1.1
Classe structurelle
dellAssociationObject
1.2.840.113556.1.8000.1280.1.1.1.2
Classe structurelle
dellRAC4Privileges
1.2.840.113556.1.8000.1280.1.1.1.3
Classe auxiliaire
dellPrivileges
1.2.840.113556.1.8000.1280.1.1.1.4
Classe structurelle
dellProduct
1.2.840.113556.1.8000.1280.1.1.1.5
Classe structurelle
dellRAC3Privileges
1.2.840.113556.1.8000.1280.1.1.1.6
Classe auxiliaire
dellOmsa2AuxClass
1.2.840.113556.1.8000.1280.1.2.1.1
Classe auxiliaire
dellOmsaApplication
1.2.840.113556.1.8000.1280.1.2.1.2
Classe structurelle
dellIta7AuxClass
1.2.840.113556.1.8000.1280.1.3.1.1
Classe auxiliaire
dellItaApplication
1.2.840.113556.1.8000.1280.1.3.1.2
Classe structurelle
Tableau 8-2. Classe dellRacDevice
OID
1.2.840.113556.1.8000.1280.1.1.1.1
Description
Cette classe représente le périphérique RAC de Dell. Le périphérique RAC doit être configuré comme dellRacDevice dans Active Directory. Cette configuration permet au DRAC 4 d'envoyer des requêtes LDAP à Active Directory.
Type de classe
Classe structurelle
SuperClasses
dellProduct
Attributs
dellSchemaVersion
dellRacType
Tableau 8-3. Classe dellAssociationObject
OID
1.2.840.113556.1.8000.1280.1.1.1.2
Description
Cette classe représente l'objet Association Dell. L'objet Association fournit la connexion entre les utilisateurs et les périphériques ou les produits.
Type de classe
Classe structurelle
SuperClasses
Groupe
Attributs
dellProductMembers
dellPrivilegeMember
Tableau 8-4. Classe dellRac4Privileges
OID
1.2.840.113556.1.8000.1280.1.1.1.3
Description
Cette classe est utilisée pour définir les privilèges (droits d'autorisation) pour le périphérique DRAC 4.
Type de classe
Classe auxiliaire
SuperClasses
Aucun
Attributs
dellIsLoginUser
dellIsCardConfigAdmin
dellIsUserConfigAdmin
dellIsLogClearAdmin
dellIsServerResetUser
dellIsConsoleRedirectUser
dellIsVirtualMediaUser
dellIsTestAlertUser
dellIsDebugCommandAdmin
Tableau 8-5. Classe dellPrivileges
OID
1.2.840.113556.1.8000.1280.1.1.1.4
Description
Cette classe est utilisée comme classe conteneur pour les privilèges Dell (droits d'autorisation).
Type de classe
Classe structurelle
SuperClasses
Utilisateur
Attributs
dellRAC4Privileges
dellRAC3Privileges
dellOmsaAuxClass
dellItaAuxClass
Tableau 8-6. Classe dellProduct
OID
1.2.840.113556.1.8000.1280.1.1.1.5
Description
Il s'agit de la classe principale à partir de laquelle tous les produits Dell sont dérivés.
Type de classe
Classe structurelle
SuperClasses
Ordinateur
Attributs
dellAssociationMembers
Tableau 8-7. Classe dellRAC3Privileges
OID
1.2.840.113556.1.8000.1280.1.1.1.6
Description
Cette classe est utilisée pour définir les privilèges (droits d'autorisation) pour les périphériques DRAC III, DRAC III/XT, ERA, ERA/O et ERA/MC.
Type de classe
Classe auxiliaire
SuperClasses
Aucun
Attributs
dellIsLoginUser
Tableau 8-8. Classe dellOmsa2AuxClass
OID
1.2.840.113556.1.8000.1280.1.2.1.1
Description
Cette classe est utilisée pour définir les privilèges (droits d'autorisation) pour Server Administrator.
Type de classe
Classe auxiliaire
SuperClasses
Aucun
Attributs
dellOmsaIsReadOnlyUser
dellOmsaIsReadWriteUser
dellOmsaIsAdminUser
Tableau 8-9. Classe dellOmsaApplication
OID
1.2.840.113556.1.8000.1280.1.2.1.2
Description
Cette classe représente l'application Server Administrator. Server Administrator doit être configuré comme dellOmsaApplication dans Active Directory. Cette configuration permet à l'application de Server Administrator d'envoyer des requêtes LDAP à Active Directory.
Type de classe
Classe structurelle
SuperClasses
dellProduct
Attributs
dellAssociationMembers
Tableau 8-10. Classe dellIta7AuxClass
OID
1.2.840.113556.1.8000.1280.1.3.1.1
Description
Cette classe est utilisée pour définir les privilèges (droits d'autorisation) pour IT Assistant.
Type de classe
Classe auxiliaire
SuperClasses
Aucun
Attributs
dellItaIsReadOnlyUser
dellItaIsReadWriteUser
dellItaIsAdminUser
Tableau 8-11. Classe dellItaApplication
OID
1.2.840.113556.1.8000.1280.1.3.1.2
Description
Cette classe représente l'application IT Assistant. IT Assistant doit être configuré comme dellItaApplication dans Active Directory. Cette configuration permet à IT Assistant d'envoyer des requêtes LDAP à Active Directory.
Type de classe
Classe structurelle
SuperClasses
dellProduct
Attributs
dellAssociationMembers
Tableau 8-12. Attributs généraux ajoutés au schéma Active Directory
Nom/description de l'attribut
OID attribué/Identificateur d'objet de syntaxe
Valeur unique
dellPrivilegeMember
Liste des objets dellPrivilege qui appartiennent à cet Attribut.
1.2.840.113556.1.8000.1280.1.1.2.1
Nom distingué (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)
FALSE
dellProductMembers
Liste des objets dellRacDevices qui appartiennent à ce rôle. Cet attribut est le lien vers l'avant vers le lien arrière dellAssociationMembers.
ID de lien : 12070
1.2.840.113556.1.8000.1280.1.1.2.2
Nom distingué (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)
FALSE
dellAssociationMembers
Liste des objets dellAssociationObjectMembers qui appartiennent à ce Produit. Cet attribut est le lien vers l'arrière vers l'attribut dellProductMembers.
ID de lien : 12071
1.2.840.113556.1.8000.1280.1.1.2.14
Nom distingué (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)
FALSE
Tableau 8-13. Attributs spécifiques au RAC ajoutés au schéma Active Directory
Nom/description de l'attribut
OID attribué/Identificateur d'objet de syntaxe
Valeur unique
dellIsLoginUser
TRUE (VRAI) si l'utilisateur a des droits d'ouverture de session sur le périphérique.
Snap-in Active Directory Utilisateurs et Ordinateurs
Installation de l'extension Dell au snap-in Active Directory Utilisateurs et Ordinateurs
Quand vous étendez le schéma dans Active Directory, vous devez aussi étendre le snap-in Active Directory Utilisateurs et Ordinateurs pour que l'administrateur puisse gérer les Produits, les Utilisateurs et Groupes d'utilisateurs, les Associations et les Privilèges. Il suffit d'étendre le snap-in une seule fois, même si vous avez ajouté plus d'une extension de schéma. Vous devez installer le snap-in sur chaque système que vous avez l'intention d'utiliser pour gérer ces objets. L'extension Dell au snap-in Active Directory Utilisateurs et Ordinateurs est une option qui peut être installée quand vous installez vos logiciels Systems Management Software en utilisant le CD Dell PowerEdge Installation and Server Management.
REMARQUE : Vous devez installer Administrator Pack sur chaque station de gestion qui gère les nouveaux objets Active Directory. L'installation est décrite dans la section suivante « Ouverture du snap-in Active Directory Utilisateurs et Ordinateurs ». Si vous n'installez pas Administrator Pack, vous ne pourrez pas afficher le nouvel objet dans le conteneur.
REMARQUE : Pour plus d'informations le snap-in Active Directory Utilisateurs et Ordinateurs, consultez votre documentation Microsoft.
Ouverture du snap-in Active Directory Utilisateurs et Ordinateurs
Pour ouvrir le snap-in Active Directory Utilisateurs et Ordinateurs, effectuez les étapes suivantes :
Si vous êtes sur le contrôleur de domaine, cliquez sur DémarrerOutils d'administration ®Utilisateurs et ordinateurs Active
Directory. Si vous n'êtes pas sur le contrôleur de domaine, vous devez avoir un Administrator Pack de Microsoft approprié installé sur votre système local. Pour l'installer, cliquez sur
Démarrer®Exécuter,
tapez MMC et appuyez sur Entrée.
la fenêtre console de gestion Microsoft (MMC) s'ouvre.
Cliquez sur Fichier (ou Console sur les systèmes fonctionnant sous Windows 2000) dans la fenêtre Console 1.
Cliquez sur Ajouter/Supprimer un snap-in.
Sélectionnez un snap-in Active DirectoryUtilisateurs et Ordinateurs et cliquez sur Ajouter.
Cliquez sur Fermer et cliquez sur OK.
Ajout d'utilisateurs et de privilèges à Active Directory
Le snap-in Active Directory Utilisateurs et Ordinateurs étendu par Dell vous permet d'ajouter des utilisateurs et des privilèges pour DRAC, Server Administrator et IT Assistant en créant des objets RAC, Association et Privilège. Pour ajouter un objet, effectuez les étapes dans la sous-section qui s'applique.
Création d'un objet Produit
REMARQUE : Les utilisateurs de Server Administrator et d'IT Assistant doivent utiliser les groupes de produit universels pour répartir les domaines avec leurs objets produits.
REMARQUE : Lors de l'ajout de groupes de produits de type universel à partir de domaines séparés, vous devez créer
un objet Association
de portée universelle.Les objets Association par défaut créés par l'utilitaire Dell Schema Extender sont
des groupes locaux de domaine et ne fonctionneront pas avec les groupes de produits de type universel d'autres domaines.
Dans la fenêtre Racine de la console (MMC), cliquez-droite sur un conteneur.
Sélectionnez Nouveau.
Sélectionnez un objet RAC, Server Administrator ou IT Assistant,
selon ce que vous avez installé.
Les objets Privilège doivent être créés dans le même domaine que les objets Association auxquels ils sont associés.
Dans la fenêtre Racine de la console (MMC), cliquez-droite sur un conteneur.
Sélectionnez Nouveau.
Sélectionnez un objet RAC, Server Administrator ou IT Assistant,
selon ce que vous avez installé.
La fenêtre Nouvel objet s'ouvre.
Tapez un nom pour le nouvel objet.
Sélectionnez l'objet Privilège approprié.
Cliquez sur OK.
Cliquez-droite sur l'objet Privilège que vous avez créé et sélectionnez Propriétés.
Cliquez sur l'onglet Privilèges approprié et sélectionnez les privilèges que vous voulez attribuer à l'utilisateur
(pour plus d'informations, consultez le tableau 8-1 et le tableau 8-10).
Création d'un objet Association
L'objet Association est dérivé d'un groupe et doit contenir un type de groupe. L'étendue de l'association spécifie le type de groupe de sécurité pour l'objet Association. Quand vous créez un objet Association, vous devez choisir l'étendue d'Association qui s'applique au type des objets que vous avez l'intention d'ajouter. Le fait de sélectionner Universel, par exemple, signifie que les objets Association sont disponibles uniquement quand le domaine d'Active Directory fonctionne en mode natif ou supérieur.
Dans la fenêtre Racine de la console (MMC), cliquez-droite sur un conteneur.
Sélectionnez Nouveau.
Sélectionnez un objet RAC, Server Administrator ou IT Assistant,
selon ce que vous avez installé.
La fenêtre Nouvel objet s'ouvre.
Tapez un nom pour le nouvel objet.
Sélectionnez objet Association.
Sélectionnez l'étendue de l'objet Association.
Cliquez sur OK.
Ajout d'objets à un objet Association
En utilisant la fenêtre des Propriétés de l'objet Association, vous pouvez associer des utilisateurs ou des groupes d'utilisateurs, des objets Privilège, des systèmes, des périphériques RAC et des groupes de systèmes ou de périphériques.
REMARQUE : Les utilisateurs de RAC doivent utiliser des Groupes universels pour répartir les domaines avec leurs utilisateurs ou objets RAC.
Vous pouvez ajouter des groupes d'utilisateurs et de produits. Vous pouvez créer des groupes liés à Dell de la même façon que vous avez créé d'autres groupes.
Pour ajouter des utilisateurs ou des groupes d'utilisateurs :
Cliquez-droite sur l'objet Association et sélectionnez Propriétés.
Sélectionnez l'onglet Utilisateurs et cliquez sur Ajouter.
Tapez le nom de l'utilisateur ou du groupe d'utilisateurs ou naviguez pour en sélectionner un et cliquez sur OK.
Cliquez sur l'onglet objet Privilège pour ajouter l'objet Privilège à l'association qui définit les privilèges de l'utilisateur ou du groupe d'utilisateurs durant l'authentification auprès d'un système.
REMARQUE : Vous ne pouvez ajouter qu'un objet Privilège à un objet Association.
Pour ajouter un privilège :
Sélectionnez l'onglet Objet Privilèges et cliquez sur Ajouter.
Tapez le nom de l'objet Privilège ou parcourez la liste pour en sélectionner un et cliquez sur OK.
Cliquez sur l'onglet Produits pour ajouter un ou plusieurs systèmes ou périphériques à l'association. Les objets associés spécifient les produits connectés au réseau qui sont disponibles pour les utilisateurs et les groupes d'utilisateurs définis.
REMARQUE : Vous pouvez ajouter plusieurs systèmes ou périphériques RAC à un objet Association.
Pour ajouter des produits :
Sélectionnez l'onglet Produits et cliquez sur Ajouter.
Tapez le nom du système, du périphérique ou du groupe et cliquez sur OK.
Dans la fenêtre Propriétés, cliquez sur Appliquer puis sur OK.
Activation de SSL sur un contrôleur de domaine (RAC seulement)
Si vous prévoyez d'utiliser le CA racine Microsoft Enterprise pour attribuer automatiquement des certificats SSL à tous vos contrôleurs de domaine, vous devez effectuer les étapes suivantes pour activer SSL sur chacun des contrôleurs de domaine.
Installez un CA racine Microsoft Enteprise sur un contrôleur de domaine.
Sélectionnez Démarrer ®Panneau de configuration ® Ajout ou suppression de programmes.
Sélectionnez Ajouter/Supprimer des composants Windows.
Dans l'assistant Composants de Windows, sélectionnez la case à cocher Services de certificat .
Sélectionnez CA racine Enterprise comme Type de CA et cliquez sur Suivant.
Entrez un Nom de domaine pour ce CA, cliquez sur Suivant puis sur Terminer.
Activez SSL sur chacun de vos contrôleurs de domaine en installant le certificat SSL pour chaque
contrôleur.
Cliquez sur Démarrer ® Outils d'administration ® Règles de sécurité du domaine.
Développez le dossier Stratégies de clé publique, cliquez-droite sur Paramètres de demande automatique de certificat et cliquez sur Demande automatique de certificat.
Dans l'Assistant Création de demandes automatiques de certificats, cliquez sur Suivant et sélectionnez Contrôleur de domaine.
Cliquez sur Suivant et cliquez sur Terminer.
Exportation du certificat CA racine du contrôleur de domaine (RAC seulement)
REMARQUE : Les étapes suivantes peuvent être légèrement différentes si vous utilisez Windows 2000.
Allez sur le contrôleur de domaine sur lequel vous avez installé le service de CA Microsoft Enterprise.
Cliquez sur Démarrer ® Exécuter.
Tapez mmc et cliquez sur OK.
Dans la fenêtre Console 1 (MMC), cliquez sur Fichier (ou Console sur les systèmes Windows 2000) et
sélectionnez Ajouter/Supprimer un snap-in.
Dans la fenêtre Ajouter/Supprimer un Snap-in, cliquez sur Ajouter.
Dans la fenêtre Snap-in autonome, sélectionnez Certificats et cliquez sur Ajouter.
Sélectionnez le compte Ordinateur et cliquez sur Suivant.
Sélectionnez Ordinateur local et cliquez sur Terminer.
Cliquez sur OK.
Dans la fenêtre Console 1, développez le dossier Certificats, puis le dossier Personnel et
cliquez sur le dossier Certificats.
Repérez et cliquez-droite sur le certificat CA racine, sélectionnez Toutes les tâches et cliquez sur Exporter....
Dans l'Assistant Exportation de certificat, cliquez sur Suivant et sélectionnez Ne pas exporter la clé privée.
Cliquez sur Suivant et sélectionnez Codé à base 64 X.509 (.cer) comme format.
Cliquez sur Suivant et enregistrez le certificat dans un emplacement de votre choix. Vous devrez télécharger ce certificat sur le DRAC 4. Pour ce faire, allez dans la page d'Active Directory sous l'onglet Configuration de l'interface Web du DRAC 4 Vous pouvez aussi utiliser les commandes de ligne de commande racadm (consultez la section
Configuration des paramètres Active Directory du DRAC 4 avec la CLI racadm).
Cliquez sur Terminer et cliquez sur OK.
Importation du certificat SLL du micrologiciel du DRAC 4 sur toutes les listes de certificats de confiance des contrôleurs de domaine
REMARQUE : Si le certificat SSL du micrologiciel du DRAC 4 est signé par une CA connue, il n'est pas nécessaire d'effectuer les étapes décrites dans cette section.
REMARQUE : Les étapes suivantes peuvent être légèrement différentes si vous utilisez Windows 2000.
Le certificat SSL du DRAC 4 est le même certificat que celui utilisé pour le Web Server du DRAC 4. Tous les contrôleurs DRAC 4 sont livrés avec un certificat auto-signé par défaut. Vous pouvez obtenir ce
certificat du DRAC 4 en sélectionnant Importer le certificat de serveur DRAC 4 (reportez-vous à
l'onglet Configuration de l'interface Web du DRAC 4 et au sous-onglet Active Directory).
Sur le contrôleur de domaine, ouvrez une fenêtre Console MMC et sélectionnez Certificats®Autorités de certification racines fiables.
Cliquez-droite sur Certificats, sélectionnez Toutes les tâches et cliquez sur Importer.
Cliquez sur Suivant et naviguez pour sélectionner le fichier de certificat SSL.
Installez le certificat SSL de RAC dans chaque Autorité de certification racine de confiance de contrôleur de domaine.
Si vous avez installé votre propre certificat, assurez-vous que la CA qui signe votre certificat est dans liste des Autorités de certification racines de confiance. Si la CA n'est pas dans la liste, vous devez l'installer sur tous vos contrôleurs de domaine.
Cliquez sur Suivant et choisissez si vous voulez que Windows sélectionne automatiquement le magasin
de certificats en fonction du type de certificat, ou sélectionnez un magasin de votre choix.
Cliquez sur Terminer et cliquez sur OK.
Configuration de vos systèmes ou de vos périphériques
REMARQUE : Les systèmes sur lesquels Server Administrator et/ou IT Assistant sont installés doivent faire partie du domaine d'Active Directory et doivent aussi avoir des comptes d'ordinateur sur le domaine.
Configuration d'Active Directory avec la CLI sur un système exécutant Server Administrator
Vous pouvez utiliser la commande omconfig preferences dirservice pour configurer le service Active Directory. Le fichier productoem.ini est modifié pour refléter ces changements. Si adproductname n'est pas présent dans le fichier de produit oem.ini, un nom par défaut sera attribué. La valeur par défaut est nom du système-nom du produit logiciel, nom du systèmeétant le nom du système qui exécute Server Administrator et nom du produit logiciel étant le nom du produit logiciel défini dans omprv32.ini (c'est-à-dire, nom de l'ordinateur-omsa).
REMARQUE : Cette commande s'applique uniquement sur les systèmes exécutant le système d'exploitation Windows.
REMARQUE : Redémarrez le service Server Administrator après avoir configuré Active Directory.
Tableau 8-16.Paramètres de configuration du service Active Directory
paire nom=valeur
Description
prodname=<texte>
Spécifie le produit logiciel auquel vous voulez appliquer les changements de configuration Active Directory. Prodname correspond au nom du produit défini dans omprv32.ini. Pour Server Administrator, c'est omsa.
enable=<true | false>
true : Active la prise en charge de l'authentification du service Active Directory.
false : Désactive la prise en charge de l'authentification du service Active Directory.
adprodname=<texte>
Spécifie le nom du produit tel que défini dans le service Active Directory. Ce nom est un lien vers le produit avec les données de privilège Active Directory pour l'authentification des utilisateurs.
Configuration d'Active Directory sur un système exécutant IT Assistant
Par défaut, le nom de produit d'Active Directory correspond au nom_d_ordinateur-ita, où nom_d_ordinateur est le nom du système sur lequel IT Assistant est installé. Pour configurer un nom différent , trouvez le fichier itaoem.ini dans votre répertoire d'installation. Modifiez le fichier pour ajouter la ligne « adproductname=texte> », où texte est le nom de l'objet du produit que vous avez créé dans Active Directory. Par exemple, le fichier itaoem.ini contiendra la syntaxe suivante si le nom de produit d'Active Directory est configuré sur mgmtStationITA.
Tapez le Nom de domaine racine. Le Nom de domaine racine est le nom de domaine racine pleinement
qualifié de la forêt.
Tapez le Nom de domaine du DRAC 4 (par exemple, drac4.com). N'utilisez pas le nom
NetBIOS. Le Nom de domaine du DRAC 4 est le nom de domaine pleinement qualifié du sous-domaine
où l'objet périphérique RAC se trouve.
Cliquez sur Appliquer pour enregistrer les paramètres Active Directory.
Cliquez sur Exporter le certificat de CA d'Active Directory pour télécharger votre certificat CA racine de forêt de
domaines dans le DRAC 4. Vos certificats SSL de contrôleurs de domaine de forêt de domaine doivent
avoir signé ce certificat CA racine. Assurez-vous que vous disposez du certificat CA racine sur votre système
local (consultez la section « Exportation du certificat CA racine du contrôleur de domaine (RAC seulement) »). Spécifiez le chemin complet et le nom de fichier du certificat CA racine et cliquez sur Télécharger pour télécharger le certificat CA racine dans le micrologiciel du DRAC 4. Le Web Server du DRAC 4 redémarre automatiquement après que vous
avez cliqué sur Télécharger. Vous devez ouvrir une nouvelle session pour terminer la configuration de la fonctionnalité Active Directory
du DRAC 4.
Cliquez sur l'onglet Configuration et sélectionnez Réseau.
Si DHCP de la carte NIC du DRAC4 est activé, cochez Utiliser DHCP pour obtenir l'adresse du
serveur DNS.
Si vous voulez entrer une adresse IP de serveur DNS manuellement, décochez Utiliser
DHCP pour obtenir l'adresse du serveur DNS et entrez vos adresses IP de serveur DNS principale
et secondaire.
Cliquez sur Appliquez pour terminer la configuration de la fonctionnalité Active Directory du DRAC 4.
Configuration des paramètres d'Active Directory du DRAC 4 avec la CLI racadm
Utilisez les commandes suivantes pour configurer la fonctionnalité Active Directory du DRAC 4 en utilisant la CLI racadm au lieu de l'interface Web.
Ouvrez une invite de commande et tapez les commandes racadm suivantes :
