Dell Chassis Management Controller Version 3.1 Benutzerhandbuch

Typ
Benutzerhandbuch
DellChassisManagementControllerFirmwareVersion3.1
Benutzerhandbuch
Anmerkungen und Vorsichtshinweise
InformationenindieserPublikationsindÄnderungenvorbehalten.
©2010DellInc.AlleRechtevorbehalten.
DieVervielfältigungoderWiedergabedieserMaterialieninjeglicherWeiseohnevorherigeschriftlicheGenehmigungvonDellInc.iststrengstensuntersagt.IndiesemText
verwendeteMarken:Dell™,dasDELL-Logo,FlexAddress™, OpenManage™,PowerEdge™ undPowerConnect™sindMarkenvonDellInc.Microsoft
®
, Active Directory
®
, Internet
Explorer
®
, Windows
®
, Windows Server
®
und Windows Vista
®
sind entweder MarkenodereingetrageneMarkenvonMicrosoftCorporationindenUSAundanderenLändern.Red
Hat
®
und Red Hat Enterprise Linux
®
sindeingetrageneMarkenvonRedHat,Inc.indenUSAundanderenLändern.Novell
®
isteineeingetrageneMarkeundSUSE™isteineMarke
vonNovellInc.indenUSAundanderenLändern.Intel
®
ist eine eingetragene Marke von Intel Corporation. UNIX
®
ist eine eingetragene Marke von The Open Group in den USA
undanderenLändern.Avocent
®
ist eine Marke von Avocent Corporation. OSCAR
®
ist eine eingetragene Marke von Avocent Corporation oder von Tochtergesellschaften von
Avocent.
Copyright 1998-2006 The OpenLDAP Foundation. Alle Rechte vorbehalten. Der Weitervertrieb und die Nutzung in Quell- undBinärformistmitoderohneÄnderungengestattet,
sofern durch die OpenLDAP Public License autorisiert. Eine Kopie dieser Lizenz ist in der Datei LICENSE enthalten, die sich im Verzeichnis der obersten Ebene des
Distributionsdatenträgerssowieunterhttp://www.OpenLDAP.org/license.html befindet. OpenLDAP ist eine eingetragene Marke von OpenLDAP Foundation. Individuelle Dateien
und/oderbeigetragenePaketekönnendurchandereParteienurheberrechtlichgeschütztseinundzusätzlichenEinschränkungenunterliegen.DiesesWerkistvonderLDAPv3.3-
DistributionderUniversityofMichiganabgeleitet.DiesesWerkenthältaußerdemMaterialien,dievonöffentlichenQuellenstammen.InformationenzuOpenLDAPstehenunter
http://www.openldap.org/zurVerfügung.Teil-Copyright 1998-2004 Kurt D. Zeilenga. Teil-Copyright 1998-2004 Net Boolean Incorporated. Teil-Copyright 2001-2004 IBM
Corporation. Alle Rechte vorbehalten. Der Weitervertrieb und die Nutzung in Quell- undBinärformistmitoderohneÄnderungengestattet,soferndurchdieOpenLDAPPublic
License autorisiert. Teil-Copyright 1999-2003 Howard Y.H. Chu. Teil-Copyright 1999-2003 Symas Corporation. Teil-Copyright 1998-2003 Hallvard B. Furuseth. Alle Rechte
vorbehalten. Der Weitervertrieb und die Nutzung in Quell- undBinärformistmitoderohneÄnderungengestattet,soferndieserHinweisbeibehaltenwird.DieNamender
Urheberrechtsinhaberdürfennichtverwendetwerden,umvondieserSoftwareabgeleiteteProdukteohnevorherigeschriftlicheGenehmigungzubefürwortenoderzufördern.Diese
SoftwarewirdohneMängelgewährundohneausdrücklicheoderstillschweigendeGarantiezurVerfügunggestellt.Teil-Copyright (c) 1992-1996 Regents der University of Michigan.
Alle Rechte vorbehalten. Der Weitervertrieb und die Nutzung in Quell- undBinärformistgestattet,soferndieser Hinweis beibehalten wird und die University of Michigan in Ann
Arborgenanntwird.DerNamederUniversitätdarfohnevorherigeschriftlicheGenehmigungnichtverwendetwerden,umvondieserSoftwareabgeleiteteProduktezubefürworten
oderzufördern.DieseSoftwarewirdohneMängelgewährundohneausdrücklicheoderstillschweigendeGarantiezurVerfügunggestellt.
AndereindiesemDokumentmöglicherweiseverwendeteMarkenundHandelsbezeichnungenbeziehensichaufdieentsprechendenEigentümeroderderenProdukte.DellInc.
erhebt keinen Anspruch auf Markenzeichen und Handelsbezeichnungen mit Ausnahme der eigenen.
Dezember 2010
Übersicht
CMC-Verzeichnisdienst verwenden
Installation und Setup des CMC
Energieverwaltung
CMC zur Verwendung von Befehlszeilenkonsolen konfigurieren
iKVM-Modul verwenden
RACADM-Befehlszeilenschnittstelle verwenden
Verwaltung der E/A-Struktur
CMC-Webschnittstelle verwenden
Fehlerbehebung und Wiederherstellung
FlexAddress verwenden
Diagnose
Verwenden von FlexAddress Plus
ANMERKUNG: EineANMERKUNGmachtaufwichtigeInformationenaufmerksam,mitdenenSiedenComputerbessereinsetzenkönnen.
VORSICHTSHINWEIS: EinVORSICHTSHINWEISmachtaufmerksamaufmöglicheBeschädigungderHardwareoderVerlustvonDatenbei
Nichtbefolgung von Anweisungen.
ZurückzumInhaltsverzeichnis
CMC-Verzeichnisdienst verwenden
DellChassisManagementControllerFirmwareVersion3.1Benutzerhandbuch
CMC mit Microsoft Active Directory verwenden
ÜbersichtdesStandardschema-Active Directory
Erweitertes Schema - Übersicht
Einfache Anmeldung konfigurieren
Smart Card-Zweifaktor-Authentifizierung konfigurieren
CMC mit allgemeinem LDAP verwenden
EinVerzeichnisdienstführteineallgemeineDatenbankallerInformationen,diefürdieSteuerungvonNetzwerkbenutzern,Computern,Druckernusw.
erforderlich sind. Wenn Ihr Unternehmen die Microsoft Active Directory-Software oder die LDAP Verzeichnisdienst-Softwareverwendet,könnenSiedenCMCso
konfigurieren, dass dieser verzeichnisbasierte Benutzerauthentifizierung verwendet.
CMC mit Microsoft Active Directory verwenden
Active Directory-Schemaerweiterungen
SiekönnenmitActiveDirectorydenBenutzerzugriffaufdenCMCmittelszweierMethodendefinieren:
l DasStandardlösungsschema,dasnurdieStandardgruppenobjektevonActiveDirectoryverwendet.
l DaserweiterteLösungsschema,dasActiveDirectory-Objekte verwendet, die von Dell definiert wurden.
StandardschemagegenübererweitertemSchema
WennSiedenZugangzumCMCmitActiveDirectorykonfigurieren,müssenSieentwederdieLösungErweitertes Schema“oder Standardschema“wählen.
BeiderStandardschemalösung:
l Es ist keine Schemaerweiterung erforderlich, da das Standardschema nur Active Directory-Standardobjekte verwendet.
l Die Konfiguration von Active Directory ist einfach.
BeidererweitertenSchemalösung:
l Alle Zugriffssteuerungsobjekte werden im Active Directory verwahrt.
l KonfigurationdesBenutzerzugriffsaufverschiedenenCMCsmitverschiedenenBerechtigungsebenenermöglichtmaximaleFlexibilität.
ÜbersichtdesStandardschema-Active Directory
BeiVerwendungdesStandardschemasfürdieActiveDirectory-Integration ist die Konfiguration sowohl auf dem Active Directory als auch auf dem CMC
erforderlich.
Auf der Seite des Active Directory wird ein Standardgruppenobjekt als Rollengruppe verwendet. Ein Benutzer, der Zugang zum CMC hat, ist ein Mitglied der
Rollengruppe.
Um diesem Benutzer Zugriff auf eine spezifische CMC-Kartezugewähren,müssenderRollengruppennameundseinDomänennameaufderspezifischenCMC-
Kartekonfiguriertwerden.ImUnterschiedzurLösungdeserweitertenSchemas,sinddieRollen- und Berechtigungsebenen auf jeder CMC-Karte und nicht im
ActiveDirectorydefiniert.EskönnenbiszufünfRollengruppeninjedemCMCkonfiguriertunddefiniertwerden.Tabelle5-41 zeigt die Berechtigungsebene der
Rollengruppen an und Tabelle8-1zeigtdiestandardmäßigenEinstellungenderRollengruppenan.
Abbildung 8-1. Konfiguration des CMC mit Active Directory und Standardschema
ANMERKUNG: Die Verwendung von Active Directory zur Erkennung von CMC-Benutzern wird auf den Microsoft Windows 2000- und Windows-Server
2003-Betriebssystemenunterstützt.ActiveDirectoryüberIPv6wirdnuraufWindows2008unterstützt.
Tabelle 8-1.StandardeinstellungsberechtigungenderRollengruppe
Das Standardschema-Active Directory kann auf zwei Arten aktiviert werden:
l Mit der CMC-Webschnittstelle. Siehe KonfigurierendesCMCmitdemStandardschemavonActiveDirectoryundderWebschnittstelle.
l Mit dem RACADM-CLI-Hilfsprogramm. Siehe CMC mit dem Standardschema von Active Directory und RACADM konfigurieren.
Standardschema von Active Directory konfigurieren um den CMC zuzugreifen
SiemüssendiefolgendenSchritteausführen,umActiveDirectoryzukonfigurieren,bevoreinActiveDirectory-Benutzer auf den CMC zugreifen kann:
1. ÖffnenSieaufeinemActiveDirectory-Server(Domänen-Controller) das Active Directory-Benutzer- und -Computer-Snap-In.
2. ErstellenSieeineGruppeoderwählenSieeinebestehendeGruppeaus.DerNamederGruppeundderNamedieserDomänemüssenaufdemCMC
entweder mit der Webschnittstelle oder mit RACADM konfiguriert werden.
Weitere Informationen finden Sie unter KonfigurierendesCMCmitdemStandardschemavonActiveDirectoryundderWebschnittstelle und CMC mit dem
Standardschema von Active Directory und RACADM konfigurieren.
Rollengruppe
Standardberechtigung
Stufe
GewährteBerechtigungen
Bitmaske
Keine
l Benutzer: CMC-Anmeldung
l Gehäusekonfigurations-Administrator
l Benutzerkonfigurations-Administrator
l AdministratorzumLöschenvonProtokollen
l Gehäusesteuerungs-Administrator (Strombefehle)
l Superbenutzer
l Server Administrator
l WarnungstestsfürBenutzer
l Debug-Befehlsbenutzer
l Struktur A-Administrator
l Struktur B-Administrator
l Struktur C-Administrator
0x00000fff
Keine
l Benutzer: CMC-Anmeldung
l AdministratorzumLöschenvonProtokollen
l Gehäusesteuerungs-Administrator (Strombefehle)
l Server Administrator
l WarnungstestsfürBenutzer
l Struktur A-Administrator
l Struktur B-Administrator
l Struktur C-Administrator
0x000000f9
Keine
Benutzer: CMC-Anmeldung
0x00000001
Keine
Keine zugewiesenen Berechtigungen
0x00000000
Keine
Keine zugewiesenen Berechtigungen
0x00000000
ANMERKUNG: DieBitmaskenwertewerdennurverwendet,wenndasStandardschemamitdemRACADMeingerichtetwird.
ANMERKUNG: WeitereInformationenüberCMC-Benutzerberechtigungen finden Sie unter Benutzertypen.
3. FügenSiedenActiveDirectory-Benutzer als ein Mitglied der Active Directory-Gruppe hinzu, um auf den CMC zuzugreifen.
KonfigurierendesCMCmitdemStandardschemavonActiveDirectoryundder
Webschnittstelle
1. Melden Sie sich bei der CMC-Webschnittstelle an.
2. WählenSieinderSystemstrukturGehäuseaus.
3. Klicken Sie auf Benutzer-Authentifizierung® Verzeichnisdienste. Die Seite Verzeichnisdienste wird angezeigt.
4. WählenSiedieOptionsschaltflächenebenMicrosoftActiveDirectory(Standardschema)aus.DieSeiteActive Directory-Konfiguration und Verwaltung
wird aufgerufen.
5. Im Abschnitt Allgemeine Einstellungen:
a. WählenSiedasKontrollkästchenActive Directory aktivieren aus.
b. Geben Sie den Root-Domänennamen ein.
c. Geben Sie die ZeitüberschreitunginSekundenein.DerZeitüberschreitungsbereichist15300Sekunden. Die Standard- Zeitüberschreitungist
90 Sekunden
6. WenndergezielteAufrufdenDomänen-ControllerunddenglobalenKatalogdurchsuchensoll,wählenSiedasKontrollkästchenAD-ServerfürSuche
durchsuchen (optional) aus und gehen Sie wie folgt vor:
a. Geben Sie im Textfeld Domänen-Controller den Server ein, auf dem der Active Directory-Dienst installiert ist.
b. Geben Sie im Textfeld Globaler Katalog den Standort des globalen Katalogs auf dem Active Directory-Domänen-Controller ein. Der globale
Katalog ist eine Ressource zum Durchsuchen einer Active Directory-Gesamtstruktur.
7. Klicken Sie auf Anwenden, um die Einstellungen zu speichern.
8. Klicken Sie im Abschnitt Standardschemaeinstellungen auf eine Rollengruppe.DieSeiteRollengruppe konfigurieren wird aufgerufen.
9. Geben Sie den Gruppennamen ein. Der Gruppenname identifiziert die Rollengruppe im Active Directory, das mit der CMC-Karte verbunden ist.
10. Geben Sie die Gruppendomäne ein. Die Gruppendomäneistdervollständigqualifizierteroot-DomänennamederGesamtstruktur.
11. WählenSieaufderSeiteRollengruppenberechtigungendieBerechtigungenfürdieGruppeaus.
Wenn Sie Berechtigungen modifizieren, wird die vorhandene Rollengruppenberechtigung (Administrator, Hauptbenutzer oder Gastbenutzer) entweder
zur benutzerdefinierten Gruppe oder zur entsprechenden Rollengruppenberechtigung wechseln. Siehe Tabelle5-41.
12. Klicken Sie auf Anwenden, um die Einstellungen der Rollengruppe zu speichern.
13. Klicken Sie auf ZurückzurSeiteKonfiguration.
14. Laden Sie das von der Zertifizierungsstelle signierte Root-ZertifikatIhrerDomänengesamtstrukturaufdenCMC.GebenSieaufderSeite
ZertifikatverwaltungdenDateipfaddesZertifikatseinodersuchenSienachderZertifikatsdatei.KlickenSieaufdieSchaltflächeHochladen, um die
DateizumCMCzuübertragen.
Die SSL-ZertifikatefürdieDomänen-Controllermüssenvondemvonderroot-Zertifizierungsstelle signierten Zertifikat signiert werden. Das von
der Root-ZertifizierungsstellesignierteZertifikatmussaufderManagementStationverfügbarsein,dieaufdenCMCzugreift.
15. Klicken Sie auf Anwenden. Der CMC-Webserver startet automatisch neu, nachdem Sie auf Anwenden klicken.
16. Melden Sie sich ab und dann beim CMC an, um die CMC Active Directory-Funktionskonfigurationabzuschließen.
17. WählenSieinderSystemstrukturGehäuseaus.
ANMERKUNG: Der Root-DomänennamemusseingültigerDomänennamesein,fürdendieNamenskonventionx.y verwendet wird, wobei x eine
ASCII-Zeichenkette aus 1-256 Zeichen ohne Leerstellen zwischen den Zeichen und yeingültigerDomänentypwiecom,edu,gov,int,mil,netoder
org ist.
ANMERKUNG: SiemüssenIhreEinstellungenanwenden,bevorSiemitdemnächstenSchrittfortfahren.WennSiedieEinstellungennicht
anwenden,verlierenSiedieeingegebenenEinstellungen,wennSiezurnächstenSeitewechseln.
ANMERKUNG: Der Wert DateipfadzeigtdenrelativenDateipfaddesZertifikatsan,dasSiehochladen.SiemüssendenvollständigenDateipfad
eintippen,derdenvollständigenPfadunddenkomplettenDateinamenunddieDateierweiterungumfasst.
18. Klicken Sie auf das Register Netzwerk.
19. Klicken Sie auf das Unterregister Netzwerk. Die Seite Netzwerkkonfiguration wird eingeblendet.
20. Wenn DHCPverwenden(fürNetzwerkschnittstellen-IP-Adresse) unter Netzwerkeinstellungenausgewähltist,wählenSieDHCP zum Abrufen der
DNS-Serveradresse verwenden aus.
Um die IP-Adresse eines DNS-Serversmanuelleinzugeben,wählenSieDHCP zum Abrufen der DNS-Serveradressen verwenden ab und geben Sie die
primäreunddiealternativeIP-Adresse des DNS-Servers ein.
21. Klicken Sie auf Änderungenanwenden.
Die Funktionskonfiguration CMC-Standardschema von Active Directory ist abgeschlossen.
CMC mit dem Standardschema von Active Directory und RACADM konfigurieren
Verwenden Sie die folgenden Befehle, um den CMC mit dem Standardschema von Active Directory unter Verwendung von RACADM-CLI zu konfigurieren.
1. ÖffnenSieeineserielle,Telnet- oder SSH-TextkonsolefürdenCMCundgebenSieFolgendesein:
racadm config -g cfgActiveDirectory -o cfgADEnable 1
racadm config -g cfgActiveDirectory -o cfgADType 2
racadm config -g cfgActiveDirectory -o cfgADRootDomain <vollständigqualifizierterroot-Domänenname>
racadm config -g cfgStandardSchema -i <Index> -o cfgSSADRoleGroupName <allgemeiner Name der Rollengruppe>
racadm config -g cfgStandardSchema -i <Index> -o cfgSSADRoleGroupDomain <vollständigqualifizierterDomänenname>
racadm config -g cfgStandardSchema -i <Index> -ocfgSSADRoleGroupPrivilege<BitmaskenwertfürspezifischeBenutzerberechtigungen>
racadm sslcertupload -t 0x2 -f <ADS-root-CA-Zertifikat>
racadm sslcertdownload -t 0x1 -f <RAC-SSL-Zertifikat>
2. Legen Sie einen DNS-Server anhand einer der folgenden Optionen fest:
l Wenn DHCP auf dem CMC aktiviert ist und Sie die vom DHCP-Server automatisch abgefragte DNS-Adresse verwenden wollen, geben Sie den
folgenden Befehl ein:
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1
l Wenn DHCP auf dem CMC deaktiviert ist oder Sie Ihre DNS-IP-Adresse manuell eingeben wollen, geben Sie die folgenden Befehle ein:
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <primäreDNS-IP-Adresse>
racadm config -g cfgLanNetworking -ocfgDNSServer2<sekundäreDNS-IP-Adresse>
Erweitertes Schema - Übersicht
Das Active Directory mit erweitertem Schema kann auf zwei Arten aktiviert werden:
l Mit der CMC-Webschnittstelle. Anleitungen hierzu finden Sie unter Konfiguration des CMC mit der Schema-Erweiterung des Active Directory und der
Webschnittstelle.
l Mit dem RACADM-CLI-Hilfsprogramm. Anleitungen hierzu finden Sie unter CMC mit dem erweiterten Schema von Active Directory und RACADM
konfigurieren.
Active Directory-Schemaerweiterungen
Bei den Active Directory-Daten handelt es sich um eine verteilte Datenbank von Attributen und Klassen. Das Active Directory-SchemaenthältdieRegeln,die
denTypderDatenbestimmen,diederDatenbankhinzugefügtwerdenkönnenbzw.daringespeichertwerden.
EinBeispieleinerKlasse,dieinderDatenbankgespeichertwird,istdieBenutzerklasse.BenutzerklassenattributekönnendenVornamen,denNachnamen,die
Telefonnummerusw.desBenutzersumfassen.
SiekönnendieActiveDirectory-Datenbankerweitern,indemSieIhreeigeneneinzigartigenAttributeundKlassenhinzufügen,umumgebungsspezifische
ANMERKUNG: Bitmasken-Zahlenwerte sind in Tabelle 3-1 im Kapitel Datenbankeigenschaften“im Dell Chassis Management Controller
Administrator-Referenzhandbuch zu finden.
BedürfnisseIhresUnternehmenszulösen.DellhatdasSchemaumdieerforderlichenÄnderungenzurUnterstützungvonRemote-Management-
Authentifizierung und -Autorisierung erweitert.
Jedes Attribut bzw. jede Klasse, das/die zu einem vorhandenen Active Directory-Schemahinzugefügtwird,mussmiteinereindeutigenIDdefiniertwerden.Um
indergesamtenBrancheeindeutigeIDszuunterhalten,führtMicrosofteineDatenbankmitActiveDirectoryObjectIdentifiers(OIDs).UmdasSchemain
MicrosoftsActiveDirectoryzuerweitern,hatDelleindeutigeOIDs,eindeutigeNamenserweiterungenundeindeutigverknüpfteAttribut-IDsfürDell-spezifische
AttributeundKlasseneingeführt:
Dell-Erweiterung: dell
Grund-OID von Dell: 1.2.840.113556.1.8000.1280
RAC-LinkID-Bereich: 120702079
ÜbersichtderRAC-Schema-Erweiterungen
DellstellteineGruppevonEigenschaftenbereit,dieSiekonfigurierenkönnen.DasvonDellerweiterteSchemaenthältZuordnungs-, Geräte- und
Berechtigungseigenschaften.
DieZuordnungseigenschaftverknüpftBenutzeroderGruppenmiteinemspezifischenSatzvonBerechtigungenmiteinemodermehrerenRAC-Geräten.Dieses
ModellverleihtdemAdministratorhöchsteFlexibilitätüberdieverschiedenenKombinationenvonBenutzern,RAC-Berechtigungen und RAC-Gerätenim
Netzwerk,ohnezuvielKomplexitäthinzuzufügen.
Active Directory - Objektübersicht
WennzweiCMCsimNetzwerkvorhandensind,dieSiemitActiveDirectoryfürdieAuthentifizierungundAutorisierungintegrierenwollen,müssenSie
mindestens ein Zuordnungsobjekt und ein RAC-GeräteobjektfürjedenCMCerstellen.SiekönnenverschiedeneZuordnungsobjekteerstellen,wobeijedes
Zuordnungsobjekt nach Bedarf mit beliebig vielen Benutzern, Benutzergruppen oder RAC-Geräteobjektenverbundenwerdenkann.DieBenutzerundRAC-
GeräteobjektekönnenMitgliederbeliebigerDomänenimUnternehmensein.
JedochkannjedesZuordnungsobjektnurmiteinemBerechtigungsobjektverknüpftwerdenbzw.darfjedesBenutzer-, Benutzergruppen- oder RAC-
Geräteobjekt-ZuordnungsobjektnurmiteinemBerechtigungsobjektverknüpftwerden.DiesesBeispielermöglichtdemAdministrator,dieBerechtigungenjedes
Benutzers auf spezifischen CMCs zu steuern.
Das RAC-GeräteobjektistdieVerknüpfungzurRAC-FirmwarefürdieActiveDirectory-Abfrage zur Authentifizierung und Autorisierung. Wird ein RAC zu einem
Netzwerkhinzugefügt,mussderAdministratordenRACundseinGeräteobjektmitseinemActiveDirectory-Namen konfigurieren, damit Benutzer mit dem Active
DirectoryAuthentifizierungenundAutorisierungendurchführenkönnen.DerAdministratormussaußerdemauchmindestenseinenRACzumZuordnungsobjekt
hinzufügen,damitBenutzerAuthentifizierungenvornehmenkönnen.
Abbildung8-2zeigt,dassdasZuordnungsobjektdieVerbindungbereitstellt,diefürdiegesamteAuthentifizierungundAutorisierungerforderlichist.
SiekönneneinebeliebigeAnzahlanZuordnungsobjektenerstellen.SiemüssenjedochmindestenseinZuordnungsobjekterstellenundfürjedesRAC(CMC)
imNetzwerk,dasSieinActiveDirectoryintegrierenmöchten,einRAC-Geräteobjekthaben.
Abbildung 8-2.TypischesSetupfürActiveDirectory-Objekte
DasZuordnungsobjektlässtebensovieleoderwenigeBenutzerund/oderGruppensowieRAC-Geräteobjektezu.DasZuordnungsobjektenthältjedochnur
ein Berechtigungsobjekt pro Zuordnungsobjekt. Das Zuordnungsobjekt verbindet die Benutzer, die Berechtigungen“auf den RACs (CMCs) haben.
AußerdemkönnenSieActiveDirectory-ObjektefüreineeinzelneDomäneoderinmehrerenDomänenkonfigurieren.SiehabenzumBeispielzweiCMCs(RAC1
und RAC2) und drei vorhandene Active Directory-Benutzer (Benutzer1, Benutzer2 und Benutzer3). Sie wollen Benutzer1 und Benutzer2 eine
AdministratorberechtigungfürbeideCMCsgebenundBenutzer3eineAnmeldungsberechtigungfürdieRAC2-Karte. Abbildung8-3 zeigt, wie Sie die Active
Directory-ObjekteindiesemSzenarioeinrichtenkönnen.
ANMERKUNG: Das RAC-BerechtigungsobjektgiltfürDRAC4,DRAC5unddenCMC.
WennSieUniversalgruppenvonunterschiedlichenDomänenhinzufügen,erstellenSieeinZuordnungsobjektmitUniversalreichweite.DiedurchdasDell
Schema Extender-DienstprogrammerstelltenStandardzuordnungsobjektesindlokaleDomänengruppenundfunktionierennichtmitUniversalgruppenanderer
Domänen.
Abbildung 8-3. Active Directory-ObjekteineinereinzelnenDomäneeinrichten
SokonfigurierenSiedieObjektefürdasEinzeldomänen-Szenario:
1. Erstellen Sie zwei Zuordnungsobjekte.
2. Erstellen Sie zwei RAC-Geräteobjekte,RAC1undRAC2,diediezweiCMCsrepräsentieren.
3. Erstellen Sie zwei Berechtigungsobjekte, Ber1 und Ber2, wobei Ber1 alle Berechtigungen (Administrator) und Ber2 Anmeldungsberechtigung hat.
4. Gruppieren Sie Benutzer1 und Benutzer2 in Gruppe1.
5. FügenSieGruppe1alsMitgliederimZuordnungsobjekt1(A01),Ber1alsBerechtigungsobjekteinA01undRAC1,RAC2alsRAC-GeräteinA01hinzu.
6. FügenSieBenutzer3alsMitgliedimZuordnungsobjekt2(A02),Ber2alsBerechtigungsobjekteinA02undRAC2alsRAC-GeräteinA02hinzu.
Eine detaillierte Anleitung finden Sie unter CMC-Benutzer und -BerechtigungenzumActiveDirectoryhinzufügen.
Abbildung8-4enthälteinBeispielvonActiveDirectory-ObjekteninmehrerenDomänen.DiesesSzenarioweistzweiCMCs(RAC1undRAC2)unddrei
vorhandene Active Directory-Benutzer(Benutzer1,Benutzer2undBenutzer3)auf.Benutzer1istinDomäne1undBenutzer2undBenutzer3sindinDomäne2.
IndiesemSzenariokonfigurierenSieBenutzer1undBenutzer2mitAdministratorrechtenfürbeideCMCsundBenutzer3mitAnmeldungsberechtigungenfürdie
RAC2-Karte.
Abbildung 8-4. Active Directory-ObjekteinmehrerenDomäneneinrichten
SokonfigurierenSiedieObjektefürdasMehrdomänen-Szenario:
1. StellenSiesicher,dasssichdieGesamtstrukturfunktionderDomäneimsystemeigenenoderimWindows2003-Modus befindet.
2. ErstellenSiezweiZuordnungsobjekte,A01(mituniversellemBereich)undA02injederDomäne.
Abbildung8-4zeigtdieObjekteinDomäne2.
3. Erstellen Sie zwei RAC-Geräteobjekte,RAC1undRAC2,diediezweiCMCsrepräsentieren
4. Erstellen Sie zwei Berechtigungsobjekte, Ber1 und Ber2, wobei Ber1 alle Berechtigungen (Administrator) und Ber2 Anmeldungsberechtigung hat.
5. GruppierenSieBenutzer1undBenutzer2inGruppe1.DieGruppenreichweitevonGruppe1mussUniversal“sein.
6. FügenSieGruppe1alsMitgliederimZuordnungsobjekt1(A01),Ber1alsBerechtigungsobjekteinA01undRAC1,RAC2alsRAC-GeräteinA01hinzu.
7. FügenSieBenutzer3alsMitgliedimZuordnungsobjekt2(A02),Ber2alsBerechtigungsobjekteinA02undRAC2alsRAC-GeräteinA02hinzu.
Erweitertes Schema von Active Directory konfigurieren um auf den CMC zuzugreifen
Bevor Sie mit Active Directory auf den CMC zugreifen, konfigurieren Sie die Active Directory-Software und den CMC:
1. Erweitern Sie das Active Directory-Schema (siehe Erweitern des Active Directory-Schemas).
2. Erweitern Sie das Active Directory-Benutzer- und -Computer-Snap-In (siehe Dell-Erweiterung zum Active Directory-Benutzer und -Computer- Snap-In
installieren).
3. FügenSiedemActiveDirectoryCMC-Benutzer und deren Berechtigungen hinzu (siehe CMC-Benutzer und -Berechtigungen zum Active Directory
hinzufügen).
4. AktivierenSieSSLaufallenDomänen-Controllern.
5. Konfigurieren Sie die Active Directory-EigenschaftendesCMCüberdieCMC-Webschnittstelle oder das RACADM (siehe Konfiguration des CMC mit der
Schema-Erweiterung des Active Directory und der Webschnittstelle bzw. CMC mit dem erweiterten Schema von Active Directory und RACADM
konfigurieren).
Erweitern des Active Directory-Schemas
Mit der Erweiterung des Active Directory-Schemas werden eine Dell-Organisationseinheit, Schemaklassen und -attribute sowie Beispielberechtigungen und
Zuordnungsobjekte zum Active Directory-Schemahinzugefügt.BevorSiedasSchemaerweitern,vergewissernSiesich,dassSieSchema-Admin-Berechtigung
auf dem Schema-Master Flexible Single Master Operation (FSMO)-RollenbesitzerderDomänengesamtstrukturhaben.
SiekönnendasSchemamiteinerderfolgendenMethodenerweitern:
l Dell Schema Extender-Dienstprogramm
l LDIF-Script-Datei
Die Dell-OrganisationseinheitwirddemSchemanichthinzugefügt,wennSiedieLDIF-Skriptdatei verwenden.
Die LDIF-Dateien und Dell Schema Extender befinden sich auf der DVD Dell Systems Management Tools and Documentation in den folgenden Verzeichnissen:
l <DVD-Laufwerk>:\SYSMGMT\ManagementStation\support\
OMActiveDirectory_Tools\<Installationstyp>\LDIF Files
l <DVD-Laufwerk>:\SYSMGMT\ManagementStation\support\
OMActiveDirectory_ Tools\<Installationstyp>\Schema Extender
Lesen Sie zur Verwendung der LDIF-Dateien die Anleitungen in der Infodatei im Verzeichnis LDIF_Files. Eine Anleitung zur Verwendung von Dell Schema
Extender, um das Active Directory-Schema zu erweitern, finden Sie unter Dell Schema Extender verwenden.
SiekönnenSchemaExtenderoderdieLDIF-DateienaneinembeliebigenStandortkopierenundausführen.
Dell Schema Extender verwenden
1. Klicken Sie auf dem Begrüßungsbildschirm auf Weiter.
2. Lesen Sie die Warnung und vergewissern Sie sich, dass Sie sie verstehen und klicken Sie dann auf Weiter.
VORSICHTSHINWEIS: Das Dell Schema Extender-Dienstprogramm verwendet die Datei SchemaExtenderOem.ini. Um sicherzustellen, dass das
Dell Schema Extender- Dienstprogramm richtig funktioniert, modifizieren Sie den Namen dieser Datei nicht.
3. WählenSieAktuelle Anmeldeinformationen verwenden aus oder geben Sie einen Benutzernamen und ein Kennwort mit Schema-
Administratorberechtigungen ein.
4. Klicken Sie auf Weiter,umDellSchemaExtenderauszuführen.
5. Klicken Sie auf Fertig stellen.
Das Schema wird erweitert. Um die Schema-Erweiterungzuüberprüfen,verwendenSiedieMicrosoft-Verwaltungskonsole (MMC) und das Active
Directory-Schema-Snap-InundprüfenSiedieExistenzderfolgendenElemente:
l Klassen (siehe Tabelle8-2 bis Tabelle8-7)
l Eigenschaften siehe Tabelle8-8
WeitereInformationenüberdasAktivierenunddieVerwendungvonActiveDirectory-Schema-Snap-In in MMC finden Sie in der Microsoft-Dokumentation.
Tabelle 8-2.KlassendefinitionenfürKlassen,diezumActiveDirectory-Schemahinzugefügtwurden
Tabelle 8-3. dellRacDevice Class
Tabelle 8-4. dellAssociationObject Class
Tabelle 8-5. dellRAC4Privileges Class
Klassenname
Zugewiesene Objekt-
Identifikationsnummer (OID)
dellRacDevice
1.2.840.113556.1.8000.1280.1.1.1.1
dellAssociationObject
1.2.840.113556.1.8000.1280.1.1.1.2
dellRACPrivileges
1.2.840.113556.1.8000.1280.1.1.1.3
dellPrivileges
1.2.840.113556.1.8000.1280.1.1.1.4
dellProduct
1.2.840.113556.1.8000.1280.1.1.1.5
OID
1.2.840.113556.1.8000.1280.1.1.1.1
Beschreibung
RepräsentiertdasDellRAC-Gerät.DasRAC-GerätmussalsdellRacDeviceimActiveDirectorykonfiguriertwerden.MitdieserKonfiguration
kann der CMC Lightweight Directory Access Protocol (LDAP)-Abfragen an das Active Directory senden.
Klassentyp
Strukturklasse
SuperClasses
dellProduct
Attribute
dellSchemaVersion
dellRacType
OID
1.2.840.113556.1.8000.1280.1.1.1.2
Beschreibung
RepräsentiertdasDell-Zuordnungsobjekt.DasZuordungsobjektistdieVerbindungzwischenBenutzernundGeräten.
Klassentyp
Strukturklasse
SuperClasses
Gruppe
Attribute
dellProductMembers
dellPrivilegeMember
OID
1.2.840.113556.1.8000.1280.1.1.1.3
Beschreibung
DefiniertAutorisierungsrechte(Berechtigungen)fürdasCMC-Gerät.
Klassentyp
Erweiterungsklasse
SuperClasses
NONE
Attribute
dellIsLoginUser
dellIsCardConfigAdmin
dellIsUserConfigAdmin
dellIsLogClearAdmin
dellIsServerResetUser
dellIsTestAlertUser
dellIsDebugCommandAdmin
Tabelle 8-6. dellPrivileges Class
Tabelle 8-7. dellProduct Class
Tabelle 8-8. Liste von Attributen, die dem Active Directory-Schemahinzugefügtwurden
dellPermissionMask1
dellPermissionMask2
OID
1.2.840.113556.1.8000.1280.1.1.1.4
Beschreibung
Container-KlassefürdieDell-Berechtigungen (Autorisierungsrechte).
Klassentyp
Strukturklasse
SuperClasses
Benutzer
Attribute
dellRAC4Privileges
OID
1.2.840.113556.1.8000.1280.1.1.1.5
Beschreibung
Die Hauptklasse, von der alle Dell-Produkte abgeleitet werden.
Klassentyp
Strukturklasse
SuperClasses
Computer
Attribute
dellAssociationMembers
Zugewiesener OID/Syntax-Objektkennzeichner
Einzelbewertung
Attribut: dellPrivilegeMember
Beschreibung: Liste mit dellPrivilege-Objekten,diezudiesemAttributgehören.
OID: 1.2.840.113556.1.8000.1280.1.1.2.1
Eindeutiger Name: (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)
FALSE
Attribut: dellProductMembers
Beschreibung: Liste mit dellRacDevices-Objekten,diezudieserRollegehören.DiesesAttributistdieVorwärtsverbindungzur
dellAssociationMembers-Rückwärtsverbindung.
Link-ID: 12070
OID: 1.2.840.113556.1.8000.1280.1.1.2.2
Eindeutiger Name: (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)
FALSE
Attribut: dellIsCardConfigAdmin
Beschreibung: TRUE,wennderBenutzerKartenkonfigurationsrechteaufdemGeräthat.
OID: 1.2.840.113556.1.8000.1280.1.1.2.4
Boolesch (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)
TRUE
Attribut: dellIsLoginUser
Beschreibung: TRUE,wennderBenutzerAnmeldungsrechteaufdemGeräthat.
OID: 1.2.840.113556.1.8000.1280.1.1.2.3
Boolesch (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)
TRUE
Attribut: dellIsCardConfigAdmin
Beschreibung: TRUE,wennderBenutzerKartenkonfigurationsrechteaufdemGeräthat.
OID: 1.2.840.113556.1.8000.1280.1.1.2.4
Boolesch (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)
TRUE
Attribut: dellIsUserConfigAdmin
Beschreibung: TRUE,wennderBenutzerBenutzerkonfigurationsrechteaufdemGeräthat.
OID: 1.2.840.113556.1.8000.1280.1.1.2.5
Boolesch (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)
TRUE
Attribut: delIsLogClearAdmin
Dell-Erweiterung zum Active Directory-Benutzer und -Computer-Snap-In installieren
WennSiedasSchemaimActiveDirectoryerweitern,müssenSieauchdieActiveDirectory-Benutzer und das Computer-Snap-In erweitern, sodass der
Administrator RAC-Geräte(CMC),BenutzerundBenutzergruppen,RAC-Zuordnungen und RAC-Berechtigungen verwalten kann.
Wenn Sie die Systemverwaltungssoftware auf der DVD Dell Systems Management Tools and Documentationinstallieren,könnenSiedasSnap-In erweitern,
indemSiewährenddesInstallationsverfahrensdieOptionDell-Erweiterung von Active Directory-Benutzer- und -Computern-Snap-In auswählen.Lesen
Sie das Dell OpenManage Server Administrator-Installationshandbuch und Dell OpenManage Management Station Software-Installationshandbuch fürzusätzliche
InformationenüberdieInstallationvonSystemverwaltungssoftware.
Weitere Informationen zum Active Directory-Benutzer und -Computer-Snap-In finden Sie in der Microsoft-Dokumentation.
Administratorpaket installieren
SiemüssendasAdministratorpaketaufjedemSysteminstallieren,dasdieActiveDirectory-CMC-Objekte verwaltet. Wenn Sie das Administratorpaket nicht
installieren,könnenSiedasDell-RAC-Objekt nicht im Container anzeigen.
ÖffnendesActiveDirectory-Benutzer- und -Computer-Snap-In
SoöffnenSiedieActiveDirectory-Benutzer und Computer-Snap-In:
Beschreibung: TRUE,wennderBenutzerAdministratorrechtezumLöschenvonProtokollenaufdemGeräthat.
OID: 1.2.840.113556.1.8000.1280.1.1.2.6
Boolesch (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)
TRUE
Attribut: dellIsServerResetUser
Beschreibung: TRUE, wenn der Benutzer Server-Reset-RechteaufdemGeräthat.
OID: 1.2.840.113556.1.8000.1280.1.1.2.7
Boolesch (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)
TRUE
Attribut: dellIsTestAlertUser
Beschreibung: TRUE,wennderBenutzerRechtefürWarnungstestsfürBenutzeraufdemGeräthat.
OID: 1.2.840.113556.1.8000.1280.1.1.2.10
Boolesch (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)
TRUE
Attribut: dellIsDebugCommandAdmin
Beschreibung: TRUE, wenn der Benutzer Debug-BefehlsadministratorenrechteaufdemGeräthat.
OID: 1.2.840.113556.1.8000.1280.1.1.2.11
Boolesch (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)
TRUE
Attribut: dellSchemaVersion
Beschreibung: Die aktuelle Schemaversion wird verwendet, um das Schema zu aktualisieren.
OID: 1.2.840.113556.1.8000.1280.1.1.2.12
Case Ignore String(LDAPTYPE_CASEIGNORESTRING
1.2.840.113556.1.4.905)
TRUE
Attribut: dellRacType
Beschreibung: Dieses Attribut ist der aktuelle RAC-TypfürdasDellRacDevice-ObjektunddieRückwärtsverknüpfungzur
VorwärtsverknüpfungvondellAssociationObjectMembers.
OID: 1.2.840.113556.1.8000.1280.1.1.2.13
Case Ignore String(LDAPTYPE_CASEIGNORESTRING
1.2.840.113556.1.4.905)
TRUE
Attribut: dellAssociationMembers
Beschreibung: DieListevondellAssociationObjectMembers,diezudiesemProduktgehören.DiesesAttributistdie
RückwärtsverknüpfungzumAttributdellProductMembers.
Link-ID: 12071
OID: 1.2.840.113556.1.8000.1280.1.1.2.14
Eindeutiger Name (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)
FALSE
Attribut: dellPermissionsMask1
OID: 1.2.840.113556.1.8000.1280.1.6.2.1 Integer (LDAPTYPE_INTEGER)
Attribut: dellPermissionsMask2
OID: 1.2.840.113556.1.8000.1280.1.6.2.2 Integer (LDAPTYPE_INTEGER)
1. WennSieaufdemDomänen-Controller angemeldet sind, klicken Sie auf Start Verwaltungstools® Active Directory-Benutzer und -Computer.
WennSienichtaufdemDomänen-Controller angemeldet sind, muss das entsprechende Microsoft-Administratorpaket auf dem lokalen System installiert
sein. Um dieses Administratorpaket zu installieren, klicken Sie auf Start® Ausführen, geben Sie MMCeinunddrückenSiedieTaste<Eingabe>.
Die Microsoft-Verwaltungskonsole (MMC) wird eingeblendet.
2. Klicken Sie im Fenster Konsole 1 auf Datei (oder auf KonsolebeiSystemen,aufdenenWindows2000ausgeführtwird).
3. Klicken Sie auf Add/Remove Snap-in (Snap-Inhinzufügen/entfernen).
4. WählenSieActive Directory-Benutzer- und Computer -Snap-In aus und klicken Sie auf Hinzufügen.
5. Klicken Sie auf SchließenundanschließendaufOK.
CMC-Benutzer und -BerechtigungenzumActiveDirectoryhinzufügen
Mit dem Dell-erweiterten Active Directory-Benutzer- und Computer-Snap-InkönnenSieCMC-Benutzer und -Berechtigungenhinzuzufügen,indemSieRAC-,
Zuordnungs- undBerechtigungsobjekteerstellen.HinzufügenderverschiedenenObjekttypen:
1. RAC-Geräteobjekterstellen
2. Berechtigungsobjekt erstellen
3. Zuordnungsobjekt erstellen
4. EinemZuordnungsobjektObjektehinzufügen
RAC-Geräteobjekterstellen
1. Klicken Sie im Fenster Console Root (MCC) mit der rechten Maustaste auf einen Container.
2. WählenSieNeu® Dell RAC-Objekt aus.
Das Fenster Neues Objektwirdgeöffnet.
3. GebenSieeinenNamenfürdasneueObjektein.DerNamemussmitdemCMC-Namenübereinstimmen,denSieinSchritt8avonKonfiguration des CMC
mit der Schema-Erweiterung des Active Directory und der Webschnittstelle eingeben.
4. WählenSieRAC-Geräteobjekt aus.
5. Klicken Sie auf OK.
Erstellen von Berechtigungsobjekten
1. Klicken Sie im Fenster Console Root (MMC) mit der rechten Maustaste auf einen Container.
2. WählenSieNeu® Dell RAC-Objekt aus.
Das Fenster Neues Objektwirdgeöffnet.
3. GebenSieeinenNamenfürdasneueObjektein.
4. WählenSieBerechtigungsobjekt aus.
5. Klicken Sie auf OK.
6. KlickenSiemitderrechtenMaustasteaufdasBerechtigungsobjekt,dasSieerstellthaben,undwählenSieEigenschaften aus.
7. Klicken Sie auf das Register RAC-BerechtigungenundwählenSiedieBerechtigungenaus,diederBenutzerhabensoll.WeitereInformationenüber
CMC-Benutzerberechtigungen finden Sie unter Benutzertypen.
ANMERKUNG: EinBerechtigungsobjektmussinderselbenDomänewiedaszugehörigeZuordnungsobjekterstelltwerden.
Erstellen von Zuordnungsobjekten
DasZuordnungsobjektwirdvoneinerGruppeabgeleitetundmusseinenGruppentypenthalten.DieZuordnungsreichweitelegtdenSicherheitsgruppentypfür
dasZuordnungsobjektfest.WennSieeinZuordnungsobjekterstellen,müssenSiedieZuordnungsreichweitewählen,diesichaufdenTypderObjekte
bezieht,diehinzugefügtwerdensollen.
Wird z. B. Universalausgewählt,bedeutetdies,dassZuordnungsobjektenurverfügbarsind,wenndieActiveDirectory-DomäneimsystemspezifischenModus
odereinemhöherenModusfunktioniert.
1. Klicken Sie im Fenster Console Root (MMC) mit der rechten Maustaste auf einen Container.
2. WählenSieNeu® Dell RAC-Objekt aus.
Hierdurch wird das Fenster Neues Objektgeöffnet.
3. GebenSieeinenNamenfürdasneueObjektein.
4. WählenSieZuordnungsobjekt.
5. WählenSiedenWirkungsbereichfürdasZuordnungsobjekt.
6. Klicken Sie auf OK.
HinzufügenvonObjektenzueinemZuordnungsobjekt
Durch die Verwendung des Fensters Zuordnungsobjekt-EigenschaftenkönnenSieBenutzeroderBenutzergruppen,BerechtigungsobjekteundRAC-Geräte
oder RAC-Gerätegruppenzuordnen.WenndasSystemWindows2000oderhöherausführt,müssenSieUniversal-Gruppen verwenden, damit sich Benutzer-
oder RAC-ObjekteüberDomänenerstrecken.
SiekönnenGruppenvonBenutzernundRAC-Gerätehinzufügen.DieVerfahrenzumErstellenvonDell-bezogenen Gruppen und nicht-Dell-bezogenen Gruppen
sind identisch.
BenutzeroderBenutzergruppenhinzufügen
1. Klicken Sie mit der rechten Maustaste auf das ZuordnungsobjektundwählenSieEigenschaften aus.
2. WählenSiedasRegisterBenutzer und klicken Sie auf Hinzufügen.
3. Geben Sie den Namen des Benutzers oder der Benutzergruppe ein und klicken Sie auf OK.
Klicken Sie auf das Register Berechtigungsobjekt,umdasBerechtigungsobjektderZuordnunghinzuzufügen,diedieBerechtigungendesBenutzersbzw.der
Benutzergruppe bei der Authentifizierung eines RAC-Gerätsdefiniert.EinemZuordnungsobjektkannnureinBerechtigungsobjekthinzugefügtwerden.
Berechtigungenhinzufügen
1. WählenSiedasRegisterBerechtigungsobjekt und klicken Sie auf Hinzufügen.
2. Geben Sie den Berechtigungsobjektnamen ein und klicken Sie auf OK.
Klicken Sie auf das Register Produkte, um der Zuordnung ein oder mehrere RAC-Gerätehinzuzufügen.DiezugeordnetenGerätegebendieandasNetzwerk
angeschlossenen RAC-Gerätean,diefürdiefestgelegtenBenutzeroderBenutzergruppenverfügbarsind.EinemZuordnungsobjektkönnenmehrereRAC-
Gerätehinzugefügtwerden.
RAC-GeräteoderRAC-Gerätegruppenhinzufügen
Um RAC-GeräteoderRAC-Gerätegruppenhinzufügen:
1. WählenSiedasRegisterBenutzer und klicken Sie auf Hinzufügen.
2. Geben Sie den Namen des RAC-GerätsoderderRAC-GerätegruppeeinundklickenSieaufOK.
3. Im Fenster Eigenschaften klicken Sie auf Anwenden und dann auf OK.
Konfiguration des CMC mit der Schema-Erweiterung des Active Directory und der
Webschnittstelle
1. Melden Sie sich bei der CMC-Webschnittstelle an.
2. Klicken Sie in der Systemstruktur auf Gehäuse.
3. Klicken Sie auf Benutzer-Authentifizierung® Verzeichnisdienste.
Die Seite Verzeichnisdienste wird angezeigt.
4. WählenSieMicrosoft Erweitertes Schema aus.
5. Im Abschnitt Allgemeine Einstellungen:
a. VergewissernSiesich,dassdasKontrollkästchenActive Directory aktivierenausgewähltist.
b. Geben Sie den Root-Domänennamen ein.
c. Geben Sie die Zeitüberschreitungin Sekunden ein. Konfigurationsbereich: 15 - 300Sekunden.Standardeinstellung:
90 Sekunden
6. Optional: WenndergezielteAufrufdenDomänen-ControllerunddenglobalenKatalogdurchsuchensoll,wählenSiedasKontrollkästchenAD-Server
fürSuchedurchsuchen(optional)aus und gehen Sie wie folgt vor:
a. Geben Sie im Textfeld Domänen-Controller den Server ein, auf dem der Active Directory-Dienst installiert ist.
b. Geben Sie im Textfeld Globaler Katalog den Standort des globalen Katalogs auf dem Active Directory-Domänen-Controller ein. Der globale
Katalog ist eine Ressource zum Durchsuchen einer Active Directory-Gesamtstruktur.
7. Im Abschnitt Erweiterte Schemaeinstellungen:
a. Geben Sie den CMC-Gerätenamen ein. Der CMC-Name identifiziert die CMC-Karte im Active Directory eindeutig. Der CMC-Name muss dem
allgemeinen Namen des neuen CMC-Objektsentsprechen,dasSieinIhremDomänen-Controller erstellt haben. Der CMC-Name muss eine ASCII-
Zeichenkette mit 1 bis 256 Zeichen und ohne Leerstellen sein.
b. Geben Sie den CMC-Domänennamen ein (z. B. cmc.com). Der CMC-Domänenname ist der DNS-Name(Zeichenkette)derDomäne,beidersichdas
Active Directory-CMC-Objektbefindet.DerNamemusseingültigerDomänennameseinundausx.y bestehen, wobei x eine ASCII-Zeichenkette mit
1 bis 256 Zeichen ohne Leerstellen und yeingültigerDomänentypwiecom,edu,gov,int,mil,net,orgist.
8. Klicken Sie auf Anwenden, um die Einstellungen zu speichern.
9. Geben Sie im Abschnitt Zertifikate verwalten den Dateipfad des Zertifikats in das Textfeld ein oder klicken Sie auf Durchsuchen, um die Zertifikatdatei
auszuwählen.KlickenSieaufdieSchaltflächeHochladen,umdieDateizumCMCzuübertragen.
Die SSL-Zertifikatüberprüfungiststandardmäßigerforderlich.EsgibteineneueEinstellungindercfgActiveDirectory RACADM-Gruppe und innerhalb der
GUI,umdieZertifikatsprüfungzudeaktivieren.
So schalten Sie die SSL-Zertifikatüberprüfungein(Standard):
racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 1
So schalten Sie die SSL-Zertifikatüberprüfungaus:
racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 0
Die SSL-ZertifikatefürdenDomänen-Controllermüssenvonderroot-Zertifizierungsstelle signiert werden. Das von der Root-Zertifizierungsstelle
signierteZertifikatmussaufderManagementStationverfügbarsein,dieaufdenCMCzugreift.
ANMERKUNG: Der Root-DomänennamemusseingültigerDomänennamesein,fürdendieNamenskonventionx.y verwendet wird, wobei x eine
ASCII-Zeichenkette aus 1 - 256 Zeichen ohne Leerstellen zwischen den Zeichen und yeingültigerDomänentypwiecom,edu,gov,int,mil,net
oder org ist.
ANMERKUNG: Das Einstellen der IP-Adresse auf 0.0.0.0 deaktiviert die Suche des CMC nach einem Server.
ANMERKUNG: SiekönneneinekommagetrennteListevonDomänen-Controllern oder Servern des globalen Katalogs angeben. Der CMC
ermöglichtIhnen,biszudreiIP-Adressen oder Host-Namen festzulegen.
ANMERKUNG: Domänen-ControllerundServerdesglobalenKatalogs,dienichtkorrektfüralleDomänenundAnwendungenkonfiguriertsind,
könnenzuunerwartetenErgebnissenbeiderFunktionsweisedervorhandenenAnwendungen/Domänenführen.
ANMERKUNG: SiemüssenIhreEinstellungenanwenden,bevorSiemitdemnächstenSchrittfortfahrenundzueineranderenSeitewechseln.
WennSiedieEinstellungennichtanwenden,verlierenSiedieeingegebenenEinstellungen,wennSiezurnächstenSeitewechseln.
ANMERKUNG: Der Wert DateipfadzeigtdenrelativenDateipfaddesZertifikatsan,dasSiehochladen.SiemüssendenvollständigenDateipfad
eintippen,derdenvollständigenPfadunddenkomplettenDateinamenunddieDateierweiterungumfasst.
VORSICHTSHINWEIS: Das Deaktivieren dieses Zertifikats ist mit Risiken verbunden.
10. Klicken Sie auf Anwenden. Der CMC-Webserver startet automatisch neu, wenn Sie auf Anwenden klicken.
11. Melden Sie sich erneut bei der CMC-Webschnittstelle an.
12. WählenSieinderSystemstrukturGehäuse aus, klicken Sie auf das Register NetzwerkundanschließendaufdasUnterregisterNetzwerk. Die Seite
Netzwerkkonfiguration wird angezeigt.
13. Wenn DHCPverwenden(fürNetzwerkschnittstellen-IP-Adresse)aktiviert(markiert)ist,wählenSieeinederfolgendenVorgehensweisen:
l WählenSieDHCP zum Abrufen von DNS-Serveradressen verwenden aus, um die DNS-Server-Adressen zu aktivieren, die automatisch vom
DHCP-Server abgerufen werden sollen, oder
l konfigurieren Sie manuell eine DNS-Server-IP-Adresse,indemSiedasKontrollkästchenDHCP zum Abrufen von DNS-Serveradressen
verwenden frei lassen und dann die IP-AdressedesprimärenunddesalternativenDNS-Servers in die entsprechenden Felder eingeben.
14. Klicken Sie auf Änderungenanwenden.
Die CMC-FunktionskonfigurationfürdaserweiterteSchemavonActiveDirectoryistabgeschlossen.
CMC mit dem erweiterten Schema von Active Directory und RACADM konfigurieren
Verwenden Sie die folgende Befehle, um die CMC-Active Directory-Funktion mit erweitertem Schema mit Hilfe des RACADM-CLI-Hilfsprogramms, anstatt der
webbasierten Schnittstelle, zu konfigurieren.
1. ÖffnenSieeineserielle,Telnet- oder SSH-TextkonsolefürdenCMC,meldenSiesichanundgebenSieFolgendesein:
racadm config -g cfgActiveDirectory -o cfgADEnable 1
racadm config -g cfgActiveDirectory -o cfgADType 1
racadm config-g cfgActiveDirectory-o cfgADRacDomain <vollständigqualifizierterCMC-Domänenname>
racadm config -g cfgActiveDirectory -o cfgADRootDomain <vollständigqualifizierterroot-Domänenname>
racadm config-g cfgActiveDirectory-o cfgADRacName <CMC allgemeiner Name>
racadm sslcertupload -t 0x2 -f <ADS-root-Zertifizierungsstellenzertifikat> -r
racadm sslcertdownload-t 0x1-f <CMC-SSL-Zertifikat>
Optional: WennSieeinLDAPodereinenServerdesglobalenKatalogsfestlegenmöchten,anstattdieServerzuverwenden,dievomDNS-Serverfürdie
SuchenacheinemBenutzernamenzurückgegebenwurden,gebenSiedenfolgendenBefehlein,umdieOptionServer festlegen zu aktivieren:
racadm config -g cfgActiveDirectory -o cfgADSpecifyServerEnable 1
Nachdem Sie die Option Server festlegenaktivierthaben,könnenSieeinenLDAP-Server und globalen Katalog mit IP-Adressenodervollständig
qualifiziertenDomänennamen(FQDNs)derServerfestlegen.DieFQDNsbestehenausdenHost-NamenundDomänennamenderServer.
Geben Sie zur Angabe eines LDAP-Servers Folgendes ein:
racadm config -g cfgActiveDirectory -o cfgADDomainController <AD-Domänen-Controller-IP-Adresse>
UmeinenServeranzugeben,derdenglobalenKatalogenthält,gebenSieFolgendesein:
racadm config -g cfgActiveDirectory -o cfgADGlobalCatalog <AD-IP-Adresse des globalen Katalogs>
2. Legen Sie einen DNS-Server anhand einer der folgenden Optionen fest:
l Wenn DHCP auf dem CMC aktiviert ist und Sie die vom DHCP-Server automatisch abgefragte DNS-Adresse verwenden wollen, geben Sie den
folgenden Befehl ein:
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1
ANMERKUNG: SiekönnendiesenBefehlnurüberRemote-RACADM verwenden. Weitere Informationen zum Remote-RACADM finden Sie unter
RACADM im Remote-Zugriff aufrufen.
ANMERKUNG: Wenn Sie die Option Server festlegen verwenden, wird der Host-Name in dem von der Zertifizierungsstelle signierten Zertifikat
nichtmitdemNamendesangegebenenServersabgeglichen.Diesistbesondersnützlich,wennSieeinCMC-Administrator sind, weil es Ihnen
hierdurchmöglichist,sowohleinenHost-Namen als auch eine IP-Adresse einzugeben.
ANMERKUNG: Das Einstellen der IP-Adresse auf 0.0.0.0 deaktiviert die Suche des CMC nach einem Server.
ANMERKUNG: SiekönneneinekommagetrennteListevonLDAP-Servern oder von Servern, die den globalen Katalog enthalten, angeben. Der
CMCermöglichtIhnen,biszudreiIP-Adressen oder Host-Namen festzulegen.
ANMERKUNG: LDAPs,dienichtkorrektfüralleDomänenundAnwendungenkonfiguriertsind,könnenzuunerwartetenErgebnissenbeider
FunktionsweisedervorhandenenAnwendungen/Domänenführen.
l Wenn DHCP auf dem CMC deaktiviert ist oder wenn DHCP aktiviert, Sie aber Ihre DNS-IP-Adresse manuell eingeben wollen, geben Sie die
folgenden Befehle ein:
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <primäreDNS-IP-Adresse>
racadm config -g cfgLanNetworking -o cfgDNSServer2 <sekundäreDNS-IP-Adresse>
Die Funktionskonfiguration des erweiterten Schemas ist abgeschlossen.
HäufiggestellteFragen
Tabelle 8-9.CMCmitActiveDirectoryverwenden:HäufiggestellteFragen
Einfache Anmeldung konfigurieren
Frage
Antwort
KannichmichbeimCMCanmelden,indemichActiveDirectoryüber
mehrfache Strukturen verwende?
Ja. Der Abfragealgorithmus des CMC-ActiveDirectoryunterstütztmehrereStrukturen
in einer Gesamtstruktur.
Funktioniert die Anmeldung am CMC unter Verwendung des Active
DirectoryimgemischtenModus(d.h.dieDomänen-Controller der
GesamtstrukturführenverschiedeneBetriebssystemeaus,wiez.B.
Microsoft Windows®2000 oder Windows Server 2003)?
Ja.ImgemischtenModusmüssensichalleObjekte,dievomCMC-Abfrageverfahren
verwendet werden, (unter Benutzer, RAC-GeräteobjektundZuordnungsobjekt)in
derselbenDomänebefinden.
Das Dell-erweiterte Active Directory-Benutzer- und Computer-Snap-Inüberprüftden
ModusundbeschränktBenutzer,umObjekteüberDomänenhinwegzuerstellen(nur
im gemischten Mischmodus).
UnterstütztdieVerwendungdesCMCmitActiveDirectorymehrfache
Domänenumgebungen?
Ja.DieDomänen-Gesamtstrukturfunktionsebene muss sich im Native-Modus oder
Windows-2003-Modusbefinden.AußerdemmüssendieGruppenunter
Zuordnungsobjekt, RAC-Benutzerobjekten und RAC-Geräteobjekten(einschließlich
Zuordnungsobjekt) Universal-Gruppen sein.
KönnendieseDell-erweiterten Objekte (Dell-Zuordnungsobjekt, Dell
RAC-GerätundDell-Berechtigungsobjekt)inverschiedenenDomänen
sein?
DasZuordnungsobjektunddasBerechtigungsobjektmüssensichinderselben
Domänebefinden.BeimDell-erweiterten Active Directory-Benutzer- und -Computer-
Snap-InmüssenSiediesezweiObjekteinderselbenDomäneerstellen.Andere
ObjektekönnensichinverschiedenenDomänenbefinden.
GibtesBeschränkungenbeiderSSL-KonfigurationderDomänen-
Controller?
Ja. Alle SSL-ZertifikatefürActiveDirectory-ServerinderGesamtstrukturmüssenvon
dem gleichen, von der root-Zertifizierungsstelle signierten, Zertifikat signiert werden,
daderCMCnurerlaubt,eineinzigesvoneinervertrauenswürdigen
Zertifizierungsstelle signiertes SSL-Zertifikat, hochzuladen.
Ich habe ein neues RAC-Zertifikat erstellt und hochgeladen und jetzt
startet die Webschnittstelle nicht.
Wenn Sie Zertifikatsdienste von Microsoft verwenden, um das RAC-Zertifikat zu
erstellen,habenSiebeimErstellendesZertifikatsmöglicherweiseversehentlich
BenutzerzertifikatausgewähltanstattWebzertifikat.
Generieren Sie zur Wiederherstellung eine CSR, erstellen Sie dann ein neues
Webzertifikat von Microsoft Certificate Services und laden Sie es mit Hilfe der
folgenden RACADM-Befehle hoch:
racadm sslcsrgen [-g]
[-f {Dateiname}]
racadm sslcertupload -t 1 -f {web_sslcert}
Was kann ich tun, wenn ich mich mittels Active Directory-
Authentifizierung nicht beim CMC anmelden kann? Wie kann ich das
Problem beheben?
1. StellenSiesicher,dassSiewährendeinerAnmeldungdenkorrekten
BenutzerdomänennamenundnichtdenNetBIOS-Namen verwenden.
2. Wenn Sie ein lokales CMC-Benutzerkonto haben, melden Sie sich mit Ihren
lokalen Anmeldeinformationen beim CMC an.
NachdemSieangemeldetsind,führenSiediefolgendenSchritteaus:
a. StellenSiesicher,dassSiedasKästchenActive Directory aktivieren auf der
CMC Active Directory-Konfigurationsseite markiert haben.
b. Stellen Sie sicher, dass die DNS-Einstellung auf der CMC-
Netzwerkkonfigurationsseite richtig ist.
c. Stellen Sie sicher, dass Sie das Active Directory-Zertifikat von dem von Ihrer
Active Directory-Root-Zertifizierungsstelle signierten Zertifikat zum CMC
hochgeladen haben.
d. ÜberprüfenSiedieSSL-ZertifikatederDomänen-Controller, um sicherzustellen,
dass sie nicht abgelaufen sind.
e. Stellen Sie sicher, dass CMC-Name, Root-Domänennameund CMC-
Domänennamemit Ihrer Active Directory-Umgebungskonfiguration
übereinstimmen.
f. Stellen Sie sicher, dass das CMC-Kennwort maximal 127 Zeichen aufweist.
WährendderCMCKennwörtervonbiszu256Zeichenunterstützt,unterstützt
ActiveDirectorynurKennwörter,diemaximal127Zeichenlangsind.
MicrosoftWindows2000,WindowsXP,WindowsServer2003,WindowsVistaundWindowsServer2008könnenKerberos(einNetzwerk-
Authentifizierungsprotokoll)alsAuthentifizierungsmethodeverwendenundBenutzern,diesichbeiderDomäneangemeldethaben,automatischeoder
einfacheAnmeldungfürnachfolgendeAnwendungenwieExchangeermöglichen.
BeginnendmitCMCVersion2.10kannderCMCKerberosverwenden,umzweizusätzlicheAuthentifizierungsmechanismen,einfacheAnmeldungundSmart
Card-Anmeldung,zuunterstützen.BeidereinfachenAnmeldungverwendetderCMCdieAnmeldeinformationendesClientsystems,dieimBetriebssystem
zwischengespeichertwerden,nachdemSiesichmiteinemgültigenActiveDirectory-Konto angemeldet haben.
Systemanforderungen
Zu Verwendung der Kerberos-Authentifizierung muss Ihr Netzwerk Folgendes enthalten:
l DNS-Server
l Microsoft Active Directory-Server
l Kerberos-Schlüsselverteilungscenter KDC (mit der Active Directory-Serversoftware)
l DHCP-Server (empfohlen)
l Die DNS-Server-Reverse-ZonemusseinenEintragfürdenActiveDirectory-Server und den CMC enthalten.
Clientsysteme
l FürreineSmartCard-Anmeldung muss das Clientsystem die verteilbare Komponente von Microsoft Visual C++ 2005 enthalten. Weitere Informationen
finden Sie unter www.microsoft.com/downloads/details.aspx?FamilyID=32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en
l FüreinfacheAnmeldungundSmartCard-Anmeldung muss das Clientsystem ein Teil der Active Directory-DomäneunddesKerberos-Bereichs sein.
CMC
l Der CMC muss Firmwareversion 2.10 oder neuer aufweisen.
l Jeder CMC muss ein Active Directory-Konto haben.
l Der CMC muss ein Teil der Active Directory-DomäneunddesKerberos-Bereichs sein.
Einstellungen konfigurieren
Vorbedingungen
l Der Kerberos-Bereich und das Kerberos-Schlüsselverteilungscenter(KDC)fürActiveDirectory(AD)wurdeneingerichtet(ksetup).
l GewährleistenSieeinerobusteNTP- und DNS-Infrastruktur zur Vermeidung von Problemen mit Clock-Drift und Reverse-Lookup.
l Die CMC-Standardschema-Rollengruppe mit autorisierten Mitgliedern
Active Directory konfigurieren
Konfigurieren Sie im Dialogfeld CMC-Eigenschaften im Optionsabschnitt Konten die folgenden Einstellungen:
l DemKontowirdfürDelegierungszweckevertraut Der CMC verwendet derzeit keine weitergeleiteten Anmeldeinformationen, wenn diese Option
ausgewähltist.SiekönnendieseOptionabhängigvonanderenDienstanforderungenauswählenodernichtauswählen.
l Konto ist vertraulich und kann nicht delegiert werden SiekönnendieseOptionabhängigvonanderenDienstanforderungenauswählenodernicht
auswählen.
l DES-VerschlüsselungstypenfürdiesesKontoverwenden WählenSiedieseOptionaus.
l Keine Kerberos-Vorauthentifizierung erforderlich WählenSiedieseOptionnichtaus.
FührenSiedasDienstprogrammktpass(TeilvonMicrosoftWindows)aufdemDomänen-Controller (Active Directory-Server) aus, auf dem Sie den CMC einem
BenutzerkontoinActiveDirectoryzuordnenmöchten.Beispiel:
C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out
c:\krbkeytab
ANMERKUNG: DieAuswahleinerAnmeldemethodelegtkeineRichtlinienattributehinsichtlichandererAnmeldeschnittstellen,z.B.SSH,fest.Siemüssen
auchsonstigeRichtlinienattributefürandereAnmeldeschnittstellenfestlegen.FallsSiealleanderenAnmeldeschnittstellendeaktivierenmöchten,
navigieren Sie zur Seite Dienste und deaktivieren Sie alle (oder bestimmte) Anmeldeschnittstellen.
ANMERKUNG: FallsSieActiveDirectoryunterWindows2003verwenden,müssenSiesicherstellen,dassdieneuestenService-Packs und Patches
aufdemClientsysteminstalliertsind.FallsSieActiveDirectoryunterWindows2008verwenden,müssenSiesicherstellen,dassSP1sowiedie
folgenden Hotfixes installiert sind.
Windows6.0-KB951191-x86.msufürdasDienstprogrammKTPASS.OhnediesesPatcherzeugtdasDienstprogrammfehlerhafte Keytab-Dateien.
Windows6.0-KB957072-x86.msufürVerwendungvonGSS_API- und SSL-TransaktionenwährendeinerLDAP-Bindung.
Dieses Verfahren erstellt eine Keytab-Datei,dieSiezumCMChochladenmüssen.
Den CMC konfigurieren
Konfigurieren Sie den CMC zur Verwendung von Standardschema-Rollengruppen, die in Active Directory eingerichtet sind. Weitere Informationen hierzu finden
Sie unter Standardschema von Active Directory konfigurieren um den CMC zuzugreifen.
Kerberos-Keytab-Datei hochladen
Die Kerberos-Keytab-Datei liefert die CMC-Benutzername-Kennwort-AnmeldeinformationenfürdasKDC(KerberosDataCenter),daswiederumZugriffaufdas
ActiveDirectoryermöglicht.JederCMCimKerberos-Bereich muss beim Active Directory registriert sein und eine eindeutige Keytab-Datei aufweisen.
So laden Sie die Keytab-Datei hoch:
1. Navigieren Sie zum Register Benutzer-Authentifizierung ® Unterregister Verzeichnisdienste. Stellen Sie sicher, dass Microsoft Active Directory
Standard oder Erweitertes Schemaausgewähltist.Fallsnicht,wählenSieIhreEinstellungenausundklickenaufAnwenden.
2. Klicken Sie auf Durchsuchen im Abschnitt Kerberos-Keytab-Hochladen und navigieren Sie zu dem Ordner, in dem die Keytab-Datei gespeichert ist, und
klicken auf Hochladen.
Wenn der Vorgang beendet ist, wird ein Meldungsfenster eingeblendet, das anzeigt, ob der Upload erfolgreich oder fehlerhaft war.
Einfache Anmeldung aktivieren
1. Klicken Sie auf das Register Chassis Management Controller Netzwerksicherheit® Active Directory® Active Directory konfigurieren.
Die Seite Active Directory-Konfiguration und Verwaltung wird angezeigt.
2. WählenSieaufderSeiteActive Directory-Konfiguration und Verwaltung Folgendes aus:
l Einfache Anmeldung dieseOptionermöglichtdieAnmeldungbeimCMCunterVerwendungderzwischengespeichertenAnmeldeinformationen,
diebeiderAnmeldungbeimActiveDirectoryverwendetwurden.
3. Klicken Sie am unteren Rand auf Anwenden.
SiekönnendasActiveDirectorymitKerberos-Authentifizierung testen, indem Sie die Testfunktion des CLI-Befehls verwenden.
testfeature -f adkrb -u <Benutzer>@<Domäne>
wobei Benutzer“füreingültigesActiveDirectory-Benutzerkonto steht.
WennderBefehlerfolgreichdurchgeführtwird,bedeutetdas,dassderCMCKerberos-Anmeldeinformationen beschaffen und auf das Active Directory-Konto
desBenutzerszugreifenkann.WennderBefehlnichterfolgreichist,müssenSiedenFehlerbeseitigenunddenBefehlwiederholen.LesenSiefürweitere
Informationen das Befehlszeilen-ReferenzhandbuchfüriDRAC6undCMCauf support.dell.com/manuals.
BrowserfüreinfacheAnmeldungkonfigurieren
EinfacheAnmeldungwirdvonInternetExplorerVersion6.0undneuerundFirefoxVersion3.0undneuerunterstützt.
Internet Explorer
1. WählenSieinInternetExplorerExtras® Internetoptionen aus.
ANMERKUNG: cmcname.domainname.commussgemäßRFCinKleinbuchstabenundderREALM-Name @REALM_NAMEmussinGroßbuchstabenangegeben
werden.DarüberhinausunterstütztderCMCdenDES-CBC-MD5-TypvonKryptographiefürKerberos-Authentifizierung.
ANMERKUNG: DasKeytabenthälteinenVerschlüsselungsschlüsselundmussaneinemsicherenOrtaufbewahrtwerden.WeitereInformationenzum
Dienstprogramm ktpass finden Sie auf der Microsoft-Website unter: technet2.microsoft.com/windowsserver/en/library/64042138-9a5a-4981-
84e9-d576a8db0d051033.mspx?mfr=true.
ANMERKUNG: DieindiesemAbschnittbeschriebenenKonfigurationsschrittegeltennurfürdenWebzugriffdesCMC.
ANMERKUNG: AllebandexternenBefehlszeilenschnittstellen,einschließlichSecureShell(SSH),Telnet,SeriellundRemote-RACADM,bleibenfür
dieseOptionunverändert.
ANMERKUNG: Die folgenden Anweisungen gelten nur, wenn der CMC die einfache Anmeldung mit Kerberos-Authentifizierung verwendet.
2. WählenSieimRegisterSicherheit unter WählenSieeineZoneaus,umderenSicherheitseinstellungenfestzulegen die Option Lokales Intranet aus.
3. Klicken Sie auf Sites.
Das Dialogfeld Lokales Intranet wird angezeigt.
4. Klicken Sie auf Erweitert.
Das Dialogfeld Lokales Intranet Erweiterte Einstellungen wird angezeigt.
5. Geben Sie im Feld DieseWebsitezurZonehinzufügendenNamendesCMCunddessenDomäneeinundklickenSieaufHinzufügen.
Mozilla Firefox
1. Geben Sie in Firefox about:config in die Adressleiste ein.
2. Im Textfeld Filter geben Sie negotiate (verhandeln) ein.
Der Browser zeigt eine Liste bevorzugter Namen an, die alle das Wort negotiate“enthalten.
3. Doppelklicken Sie in der Liste auf network.negotiate-auth.trusted-uris.
4. Geben Sie im Dialogfeld Enter string value(Zeichenfolgewerteingeben)denDomänennamendesCMCeinundklickenSieaufOK.
Anmelden beim CMC unter Verwendung einfacher Anmeldung
1. Melden Sie sich unter Verwendung Ihres Netzwerkkontos beim Clientsystem an.
2. Greifen Sie auf die CMC-Webseite zu. Verwenden Sie:
https://<cmcname.domain-name>
Beispiel: cmc-6G2WXF1.cmcad.lab
wobei cmc-6G2WXF1 der CMC-Name ist
und cmcad.labderDomänenname.
Die Seite CMC einfache Anmeldung wird angezeigt.
3. Klicken Sie auf Anmelden.
Der CMC meldet Sie an und verwendet dabei die Kerberos-Anmeldeinformationen, die von Ihrem Browser zwischengespeichert wurden, als Sie sich
unterVerwendungIhresgültigenActiveDirectory-Kontos angemeldet haben. Falls die Anmeldung nicht erfolgreich ist, wird der Browser auf die normale
CMC-Anmeldeseite geleitet.
Smart Card-Zweifaktor-Authentifizierung konfigurieren
FürherkömmlicheAuthentifizierungsschematawerdenderBenutzernameunddasKennwortzumAuthentifizierenvonBenutzernverwendet.Beider
Zweifaktor-AuthentifizierungwirdandererseitseinehöhereSicherheitsstufegeboten,indemBenutzeraufgefordertwerden,einKennwortodereinePINsowie
einephysischeKartemiteinemprivatenSchlüsselodereinemdigitalenZertifikatbereitzustellen.Kerberos,einNetzwerk-Authentifizierungsprotokoll,
verwendet diesen Zweifaktor-AuthentifizierungsmechanismusundermöglichtesSystemen,ihreAuthentizitätzubeweisen.MicrosoftWindows2000,Windows
XP,WindowsServer2003,WindowsVistaundWindowsServer2008verwendenKerberosalsbevorzugteAuthentifizierungsmethode.Beginnendmit
CMCVersion2.10VersionkannderCMCKerberosverwenden,umSmartCard-Anmeldungzuunterstützen.
ANMERKUNG: SiekönneneinenPlatzhalter(*)verwenden,umalleGeräte/BenutzerindieserDomäneanzugeben.
ANMERKUNG: Wenn der Browser die Warnung This might void your warranty(DaskannIhreGarantieungültigmachen)anzeigt,klickenSieauf
I'll be careful. I promise (Ich werde vorsichtig sein, ich verspreche es).
ANMERKUNG: SiekönnenbeieinereinfachenAnmeldungoderSmartCard-Anmeldung nicht die IP-Adresseverwenden.KerberosüberprüftIhre
AnmeldeinformationengegenüberdemvollständigqualifiziertenDomänennamen(FQDN).
ANMERKUNG: Falls Sie die Standard-HTTPS-Schnittstellennummer(80)geänderthaben,greifenSiemit<cmcname.domaine-name>:<port
number> auf den CMC zu, wobei cmcname der CMC-HostnamefürdenCMCist;domain-nameistderDomänennameundport number die
HTTPS-Schnittstellennummer.
ANMERKUNG: Falls Sie sich nicht bei der Active Directory-DomäneangemeldethabenundnichtInternetExploreralsBrowserverwenden,schlägt
die Anmeldung fehl und der Browser zeigt eine leere Seite an.
Systemanforderungen
Die SystemanforderungenfürSmartCardentsprechendenenfüreinfacheAnmeldung.
Einstellungen konfigurieren
Die VorbedingungenfürSmartCardentsprechendenenfüreinfacheAnmeldung.
Active Directory konfigurieren
1. Richten Sie den Kerberos-Bereich und das Kerberos- Schlüsselverteilungscenter(KDC)fürActiveDirectoryein,fallsdieseKomponentennochnicht
konfiguriert sind (ksetup).
2. Erstellen Sie Active Directory-BenutzerfürjedenCMCundkonfigurierenSieKerberos-DES-Verschlüsselung,jedochnichtVorauthentifizierung.
3. Registrieren Sie die CMC-BenutzermitKtpassbeimSchlüsselverteilungscenter(dieserzeugtaucheinenSchlüsselzumHochladenaufdenCMC).
Den CMC konfigurieren
Konfigurieren Sie den CMC zur Verwendung von Standardschema-Rollengruppen, die in Active Directory eingerichtet sind. Weitere Informationen hierzu finden
Sie unter Standardschema von Active Directory konfigurieren um den CMC zuzugreifen.
Kerberos-Keytab-Datei hochladen
Die Kerberos-Keytab-Datei liefert die CMC-Benutzername-Kennwort-AnmeldeinformationenfürdasKDC(KerberosDataCenter),daswiederumZugriffaufdas
ActiveDirectoryermöglicht.JederCMCimKerberos-Bereich muss beim Active Directory registriert sein und eine eindeutige Keytab-Datei aufweisen.
So laden Sie die Keytab-Datei hoch:
1. Navigieren Sie zum Register Benutzer-Authentifizierung® Unterregister Verzeichnisdienste. Stellen Sie sicher, dass Microsoft Active Directory
Standard oder Erweitertes Schemaausgewähltist.Fallsnicht,wählenSieIhreEinstellungenausundklickenaufAnwenden.
2. Klicken Sie auf Durchsuchen im Abschnitt Kerberos-Keytab-Hochladen und navigieren Sie zu dem Ordner, in dem die Keytab-Datei gespeichert ist, und
klicken Sie auf Hochladen.
Wenn der Vorgang beendet ist, wird ein Meldungsfenster eingeblendet, das anzeigt, ob der Upload erfolgreich oder fehlerhaft war.
Smart Card-Authentifizierung aktivieren
1. Navigieren Sie zum Register Benutzer-Authentifizierung® Unterregister Verzeichnisdienste. Stellen Sie sicher, dass Microsoft Active Directory
Standard oder Erweitertes Schemaausgewähltist.
2. Im Abschnitt Allgemeine EinstellungenwählenSie:
l Smart Card dieseOptionerfordertdasEinführeneinerSmartCardindenLeserunddieEingabederPIN-Nummer.
3. Klicken Sie am unteren Rand auf Anwenden.
SiekönnendasActiveDirectorymitKerberos-Authentifizierung testen, indem Sie die Testfunktion des CLI-Befehls verwenden.
Geben Sie Folgendes ein:
ANMERKUNG: DieAuswahleinerAnmeldemethodelegtkeineRichtlinienattributehinsichtlichandererAnmeldeschnittstellen,z.B.SSH,fest.Siemüssen
auchsonstigeRichtlinienattributefürandereAnmeldeschnittstellenfestlegen.FallsSiealleanderenAnmeldeschnittstellendeaktivierenmöchten,
navigieren Sie zur Seite Dienste und deaktivieren Sie alle (oder bestimmte) Anmeldeschnittstellen.
ANMERKUNG: GewährleistenSieeinerobusteNTP- und DNS-Infrastruktur zur Vermeidung von Problemen mit Clock-Drift und Reverse-Lookup.
ANMERKUNG: DieindiesemAbschnittbeschriebenenKonfigurationsschrittegeltennurfürdenWebzugriffdesCMC.
ANMERKUNG: AllebandexternenBefehlszeilenschnittstellen,einschließlichSecureShell(SSH),Telnet,SeriellundRemote-RACADM,bleibenfür
dieseOptionunverändert.
  • Page 1 1
  • Page 2 2
  • Page 3 3
  • Page 4 4
  • Page 5 5
  • Page 6 6
  • Page 7 7
  • Page 8 8
  • Page 9 9
  • Page 10 10
  • Page 11 11
  • Page 12 12
  • Page 13 13
  • Page 14 14
  • Page 15 15
  • Page 16 16
  • Page 17 17
  • Page 18 18
  • Page 19 19
  • Page 20 20
  • Page 21 21
  • Page 22 22
  • Page 23 23
  • Page 24 24
  • Page 25 25
  • Page 26 26
  • Page 27 27
  • Page 28 28
  • Page 29 29
  • Page 30 30
  • Page 31 31
  • Page 32 32
  • Page 33 33
  • Page 34 34
  • Page 35 35
  • Page 36 36
  • Page 37 37
  • Page 38 38
  • Page 39 39
  • Page 40 40
  • Page 41 41
  • Page 42 42
  • Page 43 43
  • Page 44 44
  • Page 45 45
  • Page 46 46
  • Page 47 47
  • Page 48 48
  • Page 49 49
  • Page 50 50
  • Page 51 51
  • Page 52 52
  • Page 53 53
  • Page 54 54
  • Page 55 55
  • Page 56 56
  • Page 57 57
  • Page 58 58
  • Page 59 59
  • Page 60 60
  • Page 61 61
  • Page 62 62
  • Page 63 63
  • Page 64 64
  • Page 65 65
  • Page 66 66
  • Page 67 67
  • Page 68 68
  • Page 69 69
  • Page 70 70
  • Page 71 71
  • Page 72 72
  • Page 73 73
  • Page 74 74
  • Page 75 75
  • Page 76 76
  • Page 77 77
  • Page 78 78
  • Page 79 79
  • Page 80 80
  • Page 81 81
  • Page 82 82
  • Page 83 83
  • Page 84 84
  • Page 85 85
  • Page 86 86
  • Page 87 87
  • Page 88 88
  • Page 89 89
  • Page 90 90
  • Page 91 91
  • Page 92 92
  • Page 93 93
  • Page 94 94
  • Page 95 95
  • Page 96 96
  • Page 97 97
  • Page 98 98
  • Page 99 99
  • Page 100 100
  • Page 101 101
  • Page 102 102
  • Page 103 103
  • Page 104 104
  • Page 105 105
  • Page 106 106
  • Page 107 107
  • Page 108 108
  • Page 109 109
  • Page 110 110
  • Page 111 111
  • Page 112 112
  • Page 113 113
  • Page 114 114
  • Page 115 115
  • Page 116 116
  • Page 117 117
  • Page 118 118
  • Page 119 119
  • Page 120 120
  • Page 121 121
  • Page 122 122
  • Page 123 123
  • Page 124 124
  • Page 125 125
  • Page 126 126
  • Page 127 127
  • Page 128 128
  • Page 129 129
  • Page 130 130
  • Page 131 131
  • Page 132 132
  • Page 133 133
  • Page 134 134
  • Page 135 135
  • Page 136 136
  • Page 137 137
  • Page 138 138
  • Page 139 139
  • Page 140 140
  • Page 141 141
  • Page 142 142
  • Page 143 143
  • Page 144 144
  • Page 145 145
  • Page 146 146
  • Page 147 147
  • Page 148 148
  • Page 149 149
  • Page 150 150
  • Page 151 151
  • Page 152 152
  • Page 153 153
  • Page 154 154
  • Page 155 155
  • Page 156 156
  • Page 157 157
  • Page 158 158
  • Page 159 159
  • Page 160 160
  • Page 161 161
  • Page 162 162
  • Page 163 163
  • Page 164 164
  • Page 165 165
  • Page 166 166
  • Page 167 167
  • Page 168 168
  • Page 169 169
  • Page 170 170
  • Page 171 171
  • Page 172 172
  • Page 173 173
  • Page 174 174
  • Page 175 175
  • Page 176 176
  • Page 177 177
  • Page 178 178
  • Page 179 179
  • Page 180 180
  • Page 181 181
  • Page 182 182
  • Page 183 183
  • Page 184 184
  • Page 185 185
  • Page 186 186
  • Page 187 187
  • Page 188 188
  • Page 189 189
  • Page 190 190
  • Page 191 191
  • Page 192 192
  • Page 193 193
  • Page 194 194
  • Page 195 195
  • Page 196 196
  • Page 197 197
  • Page 198 198
  • Page 199 199
  • Page 200 200
  • Page 201 201
  • Page 202 202
  • Page 203 203
  • Page 204 204
  • Page 205 205
  • Page 206 206

Dell Chassis Management Controller Version 3.1 Benutzerhandbuch

Typ
Benutzerhandbuch