Dell Chassis Management Controller Version 3.0 Benutzerhandbuch

Marke: Dell

Modell: Chassis Management Controller Version 3.0

Typ: Benutzerhandbuch

DellChassisManagementControllerFirmwareVersion3.0

Benutzerhandbuch

Anmerkungen und Vorsichtshinweise

__________________

InformationenindieserPublikationsindÄnderungenvorbehalten.

©2010DellInc.AlleRechtevorbehalten.

DieVervielfältigungoderWiedergabedieserMaterialieninjeglicherWeiseohnevorherigeschriftlicheGenehmigungvonDellInc.iststrengstensuntersagt.IndiesemText

verwendeteMarken:Dell™,dasDELL-Logo,FlexAddress™, OpenManage™,PowerEdge™ undPowerConnect™sindMarkenvonDellInc.Microsoft®, Active Directory®, Internet

Explorer®, Windows®, Windows Server® und Windows Vista® sind entweder MarkenodereingetrageneMarkenvonMicrosoftCorporationindenUSAundanderenLändern.Red

Hat® und Red Hat Enterprise Linux® sindeingetrageneMarkenvonRedHat,Inc.indenUSAundanderenLändern.Novell® isteineeingetrageneMarkeundSUSE™isteine

MarkevonNovellInc.indenUSAundanderenLändern.Intel

ist eine eingetragene Marke von Intel Corporation. UNIX® ist eine eingetragene Marke von The Open Group in den

USAundanderenLändern.Avocent® ist eine Marke von Avocent Corporation. OSCAR® ist eine eingetragene Marke von Avocent Corporation oder von Tochtergesellschaften von

Avocent.

sofern durch die OpenLDAP Public License autorisiert. Eine Kopie dieser Lizenz ist in der Datei LICENSE enthalten, die sich im Verzeichnis der obersten Ebene des

Distributionsdatenträgerssowieunterhttp://www.OpenLDAP.org/license.html befindet. OpenLDAP ist eine eingetragene Marke von OpenLDAP Foundation. Individuelle Dateien

und/oderbeigetragenePaketekönnendurchandereParteienurheberrechtlichgeschütztseinundzusätzlichenEinschränkungenunterliegen.DiesesWerkistvonderLDAPv3.3-

DistributionderUniversityofMichiganabgeleitet.DiesesWerkenthältaußerdemMaterialien,dievonöffentlichenQuellenstammen.InformationenzuOpenLDAPstehenunter

vorbehalten. Der Weitervertrieb und die Nutzung in Quell-undBinärformistmitoderohneÄnderungengestattet,soferndieserHinweisbeibehaltenwird.DieNamender

Urheberrechtsinhaberdürfennichtverwendetwerden,umvondieserSoftwareabgeleiteteProdukteohnevorherigeschriftlicheGenehmigungzubefürwortenoderzufördern.Diese

Arborgenanntwird.DerNamederUniversitätdarfohnevorherigeschriftlicheGenehmigungnichtverwendetwerden,umvondieserSoftwareabgeleiteteProduktezubefürworten

oderzufördern.DieseSoftwarewirdohneMängelgewährundohneausdrücklicheoderstillschweigendeGarantiezurVerfügunggestellt.

AndereindiesemDokumentmöglicherweiseverwendeteMarkenundHandelsnamenbeziehensichaufdieentsprechendenEigentümeroderderenProdukte.DellInc.erhebt

keinen Anspruch auf Markenzeichen und Handelsbezeichnungen mit Ausnahme der eigenen.

Juli 2010

Übersicht

Verwenden von FlexAddress Plus

Installation und Setup des CMC

CMC-Verzeichnisdienst verwenden

CMC zur Verwendung von Befehlszeilenkonsolen konfigurieren

Power Management

RACADM-Befehlszeilenschnittstelle verwenden

iKVM-Modul verwenden

CMC-Webschnittstelle verwenden

Verwaltung der E/A-Struktur

FlexAddress verwenden

Fehlerbehebung und Wiederherstellung

ANMERKUNG: EineANMERKUNGmachtaufwichtigeInformationenaufmerksam,mitdenenSiedenComputerbessereinsetzenkönnen.

VORSICHTSHINWEIS: MiteinemVORSICHTSHINWEISwerdenSieaufeinepotenziellgefährlicheSituationhingewiesen,diezuSachschaden,

VerletzungoderzumTodführenkann.

ZurückzumInhaltsverzeichnis

CMC-Verzeichnisdienst verwenden

DellChassisManagementControllerFirmwareVersion3.0Benutzerhandbuch

CMC mit Microsoft Active Directory verwenden

ÜbersichtdesStandardschema-Active Directory

Erweitertes Schema - Übersicht

Einfache Anmeldung konfigurieren

Smart Card-Zweifaktor-Authentifizierung konfigurieren

CMC mit allgemeinem LDAP verwenden

EinVerzeichnisdienstführteineallgemeineDatenbankallerInformationen,diefürdieSteuerungvonNetzwerkbenutzern,Computern,Druckernusw.

erforderlich sind. Wenn Ihr Unternehmen die Microsoft Active Directory-Software oder die LDAP Verzeichnisdienst-Softwareverwendet,könnenSiedenCMCso

konfigurieren, dass dieser verzeichnisbasierte Benutzerauthentifizierung verwendet.

CMC mit Microsoft Active Directory verwenden



Active Directory-Schemaerweiterungen

SiekönnenmitActiveDirectorydenBenutzerzugriffaufdenCMCmittelszweierMethodendefinieren:

l DasStandardlösungsschema,dasnurdieStandardgruppenobjektevonActiveDirectoryverwendet.

l DaserweiterteLösungsschema,dasActiveDirectory-Objekte verwendet, die von Dell definiert wurden.



StandardschemagegenübererweitertemSchema

WennSieActiveDirectoryverwenden,umdenZugangzumCMCzukonfigurieren,müssenSieentwederdaserweiterteSchemaoderdie

Standardschemalösungwählen.

BeiderStandardschemalösung:

l Es ist keine Schemaerweiterung erforderlich, da das Standardschema nur Active Directory-Standardobjekte verwendet.

l Die Konfiguration von Active Directory ist einfach.

BeidererweitertenSchemalösung:

l Alle Zugriffssteuerungsobjekte werden im Active Directory verwahrt.

l KonfigurationdesBenutzerzugriffsaufverschiedenenCMCsmitverschiedenenBerechtigungsebenenermöglichtmaximaleFlexibilität.

ÜbersichtdesStandardschema-Active Directory

BeiVerwendungdesStandardschemasfürdieActiveDirectory-Integration ist die Konfiguration sowohl auf dem Active Directory als auch auf dem CMC

erforderlich.

Auf der Seite des Active Directory wird ein Standardgruppenobjekt als Rollengruppe verwendet. Ein Benutzer, der Zugang zum CMC hat, ist ein Mitglied der

Rollengruppe.

Um diesem Benutzer Zugriff auf eine spezifische CMC-Kartezugewähren,müssenderRollengruppennameundseinDomänennameaufderspezifischenCMC-

Kartekonfiguriertwerden.ImUnterschiedzurLösungdeserweitertenSchemas,sinddieRollen- und Berechtigungsebenen auf jeder CMC-Karte und nicht im

ActiveDirectorydefiniert.EskönnenbiszufünfRollengruppeninjedemCMCkonfiguriertunddefiniertwerden.Tabelle5-41 zeigt die Berechtigungsebene der

Rollengruppen an und Tabelle8-1zeigtdiestandardmäßigenEinstellungenderRollengruppenan.

Abbildung 8-1.KonfigurationdesCMCmitActiveDirectoryundStandardschema

ANMERKUNG: Die Verwendung von Active Directory zur Erkennung von CMC-Benutzern wird auf den Microsoft Windows 2000- und Windows-Server

2003-Betriebssystemenunterstützt.ActiveDirectoryüberIPv6wirdnuraufWindows2008unterstützt.

Tabelle 8-1.StandardeinstellungsberechtigungenderRollengruppe

Das Standardschema-Active Directory kann auf zwei Arten aktiviert werden:

l Mit der CMC-Webschnittstelle. Siehe KonfigurierendesCMCMitdemStandardschemavonActiveDirectoryundderWebschnittstelle.

l Mit dem RACADM-CLI-Hilfsprogramm. Siehe CMC mit dem Standardschema von Active Directory und RACADM konfigurieren.



Standardschema von Active Directory konfigurieren um den CMC zuzugreifen

SiemüssendiefolgendenSchritteausführen,umActiveDirectoryzukonfigurieren,bevoreinActiveDirectory-Benutzer auf den CMC zugreifen kann:



1. ÖffnenSieaufeinemActiveDirectory-Server(Domänen-Controller) das Active Directory-Benutzer- und -Computer-Snap-In.



2. ErstellenSieeineGruppeoderwählenSieeinebestehendeGruppeaus.DerNamederGruppeundderNamedieserDomänemüssenaufdemCMC

entweder mit der Webschnittstelle oder mit RACADM konfiguriert werden.

Weitere Informationen finden Sie unter KonfigurierendesCMCMitdemStandardschemavonActiveDirectoryundderWebschnittstelle und CMC mit dem

Standardschema von Active Directory und RACADM konfigurieren.



3. FügenSiedenActiveDirectory-Benutzer als ein Mitglied der Active Directory-Gruppe hinzu, um auf den CMC zuzugreifen.



Rollengruppe



Standardberech tigung

Stufe



GewährteBerechtigungen



Bitmaske

NONE

l BenutzerfürCMC-Anmeldung

l Gehäusekonfigurations-Administrator

l Benutzerkonfigurations-Administrator

l AdministratorzumLöschenvonProtokollen

l Gehäusesteuerungs-Administrator (Strombefehle)

l Superbenutzer

l Server-Administrator

l BenutzerfürWarnungstests

l Debug-Befehlsbenutzer

l Struktur A-Administrator

l Struktur B-Administrator

l Struktur C-Administrator

0x00000fff

Kein

l BenutzerfürCMC-Anmeldung

l AdministratorzumLöschenvonProtokollen

l Gehäusesteuerungs-Administrator (Strombefehle)

l Server Administrator

l BenutzerfürWarnungstests

l Struktur A-Administrator

l Struktur B-Administrator

l Struktur C-Administrator

0x000000f9

Kein

BenutzerfürCMC-Anmeldung

0x00000001

Kein

Keine zugewiesenen Berechtigungen

0x00000000

Kein

Keine zugewiesenen Berechtigungen

0x00000000

ANMERKUNG: DieBitmaskenwertewerdennurverwendet,wenndasStandardschemamitdemRACADMeingerichtetwird.

ANMERKUNG: WeitereInformationenüberCMC-Benutzerberechtigungen finden Sie unter "Benutzertypen".



KonfigurierendesCMCMitdemStandardschemavonActiveDirectoryundder

Webschnittstelle



1. Melden Sie sich bei der CMC-Webschnittstelle an.



2. WählenSieinderSystemstrukturGehäuseaus.



3. Klicken Sie auf Benutzer-Authentifizierung® Verzeichnisdienste. Die Seite Verzeichnisdienste wird angezeigt.



4. WählenSiedieOptionsschaltflächenebenMicrosoftActiveDirectory(Standardschema)aus.DieSeiteActive Directory-Konfiguration und Verwaltung

wird aufgerufen.



5. Im Abschnitt Allgemeine Einstellungen:

a. WählenSiedasKontrollkästchenActive Directory aktivieren aus.

b. Geben Sie den Root-Domänennamen ein.

c. Geben Sie die ZeitüberschreitunginSekundenein.DerZeitüberschreitungsbereichist15-300Sekunden. Die Standard- Zeitüberschreitungist90

Sekunden



6. WenndergezielteAufrufdenDomänen-ControllerunddenglobalenKatalogdurchsuchensoll,wählenSiedasKontrollkästchenAD-ServerfürSuche

durchsuchen (optional) aus und gehen Sie wie folgt vor:

a. Geben Sie im Textfeld Domänen-Controller den Server ein, auf dem der Active Directory-Dienst installiert ist.

b. Geben Sie im Textfeld Globaler Katalog den Standort des globalen Katalogs auf dem Active Directory-Domänen-Controller ein. Der globale

Katalog ist eine Ressource zum Durchsuchen einer Active Directory-Gesamtstruktur.



7. Klicken Sie auf Anwenden, um die Einstellungen zu speichern.



8. Klicken Sie im Abschnitt Standardschemaeinstellungen auf eine Rollengruppe.DieSeiteRollengruppe konfigurieren wird aufgerufen.



9. Geben Sie den Gruppennamen ein. Der Gruppenname identifiziert die Rollengruppe im Active Directory, das mit der CMC-Karte verbunden ist.



10. Geben Sie die Gruppendomäne ein. Die Gruppendomäneistdervollständigqualifizierteroot-DomänennamederGesamtstruktur.



11. WählenSieaufderSeiteRollengruppenberechtigungendieBerechtigungenfürdieGruppeaus.

Wenn Sie Berechtigungen modifizieren, wird die vorhandene Rollengruppenberechtigung (Administrator, Hauptbenutzer oder Gastbenutzer) entweder

zur benutzerdefinierten Gruppe oder zur entsprechenden Rollengruppenberechtigung wechseln. Siehe Tabelle5-41.



12. Klicken Sie auf Anwenden, um die Einstellungen der Rollengruppe zu speichern.



13. Klicken Sie auf ZurückzurSeiteKonfiguration.



14. Laden Sie das von der Zertifizierungsstelle signierte root-ZertifikatIhrerDomänengesamtstrukturaufdenCMC.GebenSieaufderSeite

ZertifikatverwaltungdenDateipfaddesZertifikatseinodersuchenSienachderZertifikatsdatei.KlickenSieaufdieSchaltflächeHochladen, um die

DateizumCMCzuübertragen.

Die SSL-ZertifikatefürdieDomänen-Controllermüssenvondemvonderroot-Zertifizierungsstelle signierten Zertifikat signiert werden. Das von

der root-ZertifizierungsstellesignierteZertifikatmussbeiderManagementStationverfügbarsein,dieaufdenCMCzugreift.



15. Klicken Sie auf Anwenden. Der CMC-Webserver startet automatisch neu, nachdem Sie auf Anwenden klicken.



16. Melden Sie sich ab und dann beim CMC an, um die CMC Active Directory-Funktionskonfigurationabzuschließen.



17. WählenSieinderSystemstrukturGehäuseaus.



18. Klicken Sie auf das Register Netzwerk.

ANMERKUNG: Der Root-DomänennamemusseingültigerDomänennamesein,fürdendieNamenskonventionx.y verwendet wird, wobei x eine

ASCII-Zeichenkette aus 1-256 Zeichen ohne Leerstellen zwischen den Zeichen und yeingültigerDomänentypwiecom,edu,gov,int,mil,netoder

org ist.

ANMERKUNG: SiemüssenIhreEinstellungenanwenden,bevorSiemitdemnächstenSchrittfortfahren.WennSiedieEinstellungennicht

anwenden,verlierenSiedieeingegebenenEinstellungen,wennSiezurnächstenSeitewechseln.

ANMERKUNG: Der Wert DateipfadzeigtdenrelativenDateipfaddesZertifikatsan,dasSiehochladen.SiemüssendenvollständigenDateipfad

eintippen,derdenvollständigenPfadunddenkomplettenDateinamenunddieDateierweiterungumfasst.



19. Klicken Sie auf das Unterregister Netzwerk. Die Seite Netzwerkkonfiguration wird eingeblendet.



20. Wenn DHCPverwenden(fürNetzwerkschnittstellen-IP-Adresse) unter Netzwerkeinstellungenausgewähltist,wählenSieDHCP zum Abrufen der

DNS-Serveradresse verwenden aus.

Um die IP-Adresse eines DNS-Serversmanuelleinzugeben,wählenSieDHCP zum Abrufen der DNS-Serveradressen verwenden ab und geben Sie die

primäreunddiealternativeIP-Adresse des DNS-Servers ein.



21. Klicken Sie auf Änderungenanwenden.

Die Funktionskonfiguration CMC-Standardschema von Active Directory ist abgeschlossen.



CMC mit dem Standardschema von Active Directory und RACADM konfigurieren

Verwenden Sie die folgenden Befehle, um den CMC mit dem Standardschema von Active Directory unter Verwendung von RACADM-CLI zu konfigurieren.



1. ÖffnenSieeineserielle,Telnet- oder SSH-TextkonsolefürdenCMCundgebenSieFolgendesein:

racadm config -g cfgActiveDirectory -o cfgADEnable 1

racadm config -g cfgActiveDirectory -o cfgADType 2

racadm config -g cfgActiveDirectory -o cfgADRootDomain <vollständigqualifizierterroot-Domänenname>

racadm config -g cfgStandardSchema -i <Index> -o cfgSSADRoleGroupName <allgemeiner Name der Rollengruppe>

racadm config -g cfgStandardSchema -i <Index> -o cfgSSADRoleGroupDomain <vollständigqualifizierterDomänenname>

racadm config -g cfgStandardSchema -i <Index> -ocfgSSADRoleGroupPrivilege<BitmaskenwertfürspezifischeBenutzerberechtigungen>

racadm sslcertupload -t 0x2 -f <ADS-root-CA-Zertifikat>

racadm sslcertdownload -t 0x1 -f <RAC-SSL-Zertifikat>



2. Legen Sie einen DNS-Server anhand einer der folgenden Optionen fest:

l Wenn DHCP auf dem CMC aktiviert ist und Sie die vom DHCP-Server automatisch abgefragte DNS-Adresse verwenden wollen, geben Sie den

folgenden Befehl ein:

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1

l Wenn DHCP auf dem CMC deaktiviert ist oder Sie Ihre DNS-IP-Adresse manuell eingeben wollen, geben Sie die folgenden Befehle ein:

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0

racadm config -g cfgLanNetworking -o cfgDNSServer1 <primäreDNS-IP-Adresse>

racadm config -g cfgLanNetworking -ocfgDNSServer2<sekundäreDNS-IP-Adresse>

Erweitertes Schema - Übersicht

Das Active Directory mit erweitertem Schema kann auf zwei Arten aktiviert werden:

l Mit der CMC-Webschnittstelle. Anleitungen hierzu finden Sie unter Konfiguration des CMC mit der Schema-Erweiterung des Active Directory und der

Webschnittstelle.

l Mit dem RACADM-CLI-Hilfsprogramm. Anleitungen hierzu finden Sie unter CMC mit dem erweiterten Schema von Active Directory und RACADM

konfigurieren.



Active Directory-Schemaerweiterungen

Bei den Active Directory-Daten handelt es sich um eine verteilte Datenbank von Attributen und Klassen. Das Active Directory-SchemaenthältdieRegeln,die

denTypderDatenbestimmen,diederDatenbankhinzugefügtwerdenkönnenbzw.daringespeichertwerden.

EinBeispieleinerKlasse,dieinderDatenbankgespeichertwird,istdieBenutzerklasse.BenutzerklassenattributekönnendenVornamen,denNachnamen,die

Telefonnummerusw.desBenutzersumfassen.

SiekönnendieActiveDirectory-Datenbankerweitern,indemSieIhreeigeneneinzigartigenAttributeundKlassenhinzufügen,umumgebungsspezifische

BedürfnisseIhresUnternehmenszulösen.DellhatdasSchemaumdieerforderlichenÄnderungenzurUnterstützungvonRemote-Management-

Authentifizierung und -Autorisierung erweitert.

ANMERKUNG: Bitmasken-Zahlenwerte sind in Tabelle 3-1 im Kapitel "Datenbankeigenschaften" im Dell Chassis Management Controller

Administrator-Referenzhandbuch zu finden.

Jedes Attribut bzw. jede Klasse, das/die zu einem vorhandenen Active Directory-Schemahinzugefügtwird,mussmiteinereindeutigenIDdefiniertwerden.Um

indergesamtenBrancheeindeutigeIDszuunterhalten,führtMicrosofteineDatenbankmitActiveDirectoryObjectIdentifiers(OIDs).UmdasSchemain

MicrosoftsActiveDirectoryzuerweitern,hatDelleindeutigeOIDs,eindeutigeNamenserweiterungenundeindeutigverknüpfteAttribut-IDsfürDell-spezifische

AttributeundKlasseneingeführt:

Dell-Erweiterung: dell

Grund-OID von Dell: 1.2.840.113556.1.8000.1280

RAC-LinkID-Bereich: 12070-2079



ÜbersichtderRAC-Schema-Erweiterungen

DellstellteineGruppevonEigenschaftenbereit,dieSiekonfigurierenkönnen.DasvonDellerweiterteSchemaenthältZuordnungs-, Geräte- und

Berechtigungseigenschaften.

DieZuordnungseigenschaftverknüpftBenutzeroderGruppenmiteinemspezifischenSatzvonBerechtigungenmiteinemodermehrerenRAC-Geräten.Dieses

ModellverleihtdemAdministratorhöchsteFlexibilitätüberdieverschiedenenKombinationenvonBenutzern,RAC-Berechtigungen und RAC-Gerätenim

Netzwerk,ohnezuvielKomplexitäthinzuzufügen.



Active Directory - Objektübersicht

WennzweiCMCsimNetzwerkvorhandensind,dieSiemitActiveDirectoryfürdieAuthentifizierungundAutorisierungintegrierenwollen,müssenSie

mindestens ein Zuordnungsobjekt und ein RAC-GeräteobjektfürjedenCMCerstellen.SiekönnenverschiedeneZuordnungsobjekteerstellen,wobeijedes

Zuordnungsobjekt nach Bedarf mit beliebig vielen Benutzern, Benutzergruppen oder RAC-Geräteobjektenverbundenwerdenkann.DieBenutzerundRAC-

GeräteobjektekönnenMitgliederbeliebigerDomänenimUnternehmensein.

JedochkannjedesZuordnungsobjektnurmiteinemBerechtigungsobjektverknüpftwerdenbzw.darfjedesBenutzer-, Benutzergruppen- oder RAC-

Geräteobjekt-ZuordnungsobjektnurmiteinemBerechtigungsobjektverknüpftwerden.DiesesBeispielermöglichtdemAdministrator,dieBerechtigungenjedes

Benutzers auf spezifischen CMCs zu steuern.

Das RAC-GeräteobjektistdieVerknüpfungzurRAC-FirmwarefürdieActiveDirectory-Abfrage zur Authentifizierung und Autorisierung. Wird ein RAC zu einem

Netzwerkhinzugefügt,mussderAdministratordenRACundseinGeräteobjektmitseinemActiveDirectory-Namen konfigurieren, damit Benutzer mit dem Active

DirectoryAuthentifizierungenundAutorisierungendurchführenkönnen.DerAdministratormussaußerdemauchmindestenseinenRACzumZuordnungsobjekt

hinzufügen,damitBenutzerAuthentifizierungenvornehmenkönnen.

Abbildung8-2zeigt,dassdasZuordnungsobjektdieVerbindungbereitstellt,diefürdiegesamteAuthentifizierungundAutorisierungerforderlichist.

SiekönneneinebeliebigeAnzahlanZuordnungsobjektenerstellen.SiemüssenjedochmindestenseinZuordnungsobjekterstellenundfürjedesRAC(CMC)

imNetzwerk,dasSieinActiveDirectoryintegrierenmöchten,einRAC-Geräteobjekthaben.

Abbildung 8-2.TypischesSetupfürActiveDirectory-Objekte

DasZuordnungsobjektlässtebensovieleoderwenigeBenutzerund/oderGruppensowieRAC-Geräteobjektezu.DasZuordnungsobjektenthältjedochnur

ein Berechtigungsobjekt pro Zuordnungsobjekt. Das Zuordnungsobjekt verbindet die "Benutzer", die "Berechtigungen" auf den RACs (CMCs) haben.

AußerdemkönnenSieActiveDirectory-ObjektefüreineeinzelneDomäneoderinmehrerenDomänenkonfigurieren.SiehabenzumBeispielzweiCMCs(RAC1

und RAC2) und drei vorhandene Active Directory-Benutzer (Benutzer1, Benutzer2 und Benutzer3). Sie wollen Benutzer1 und Benutzer2 eine

AdministratorberechtigungfürbeideCMCsgebenundBenutzer3eineAnmeldungsberechtigungfürdieRAC2-Karte. Abbildung8-3 zeigt, wie Sie die Active

Directory-ObjekteindiesemSzenarioeinrichtenkönnen.

WennSieUniversalgruppenvonunterschiedlichenDomänenhinzufügen,erstellenSieeinZuordnungsobjektmitUniversalreichweite.DiedurchdasDell

Schema Extender-DienstprogrammerstelltenStandardzuordnungsobjektesindlokaleDomänengruppenundfunktionierennichtmitUniversalgruppenanderer

Domänen.

ANMERKUNG: Das RAC-BerechtigungsobjektgiltfürDRAC4,DRAC5unddenCMC.

Abbildung 8-3.ActiveDirectory-ObjekteineinereinzelnenDomäneeinrichten

SokonfigurierenSiedieObjektefürdasEinzeldomänen-Szenario:



1. Erstellen Sie zwei Zuordnungsobjekte.



2. Erstellen Sie zwei RAC-Geräteobjekte,RAC1undRAC2,diediezweiCMCsrepräsentieren.



3. Erstellen Sie zwei Berechtigungsobjekte, Ber1 und Ber2, wobei Ber1 alle Berechtigungen (Administrator) und Ber2 Anmeldungsberechtigung hat.



4. Gruppieren Sie Benutzer1 und Benutzer2 in Gruppe1.



5. FügenSieGruppe1alsMitgliederimZuordnungsobjekt1(A01),Ber1alsBerechtigungsobjekteinA01undRAC1,RAC2alsRAC-GeräteinA01hinzu.



6. FügenSieBenutzer3alsMitgliedimZuordnungsobjekt2(A02),Ber2alsBerechtigungsobjekteinA02undRAC2alsRAC-GeräteinA02hinzu.

Eine detaillierte Anleitung finden Sie unter CMC-Benutzer und -BerechtigungenzumActiveDirectoryhinzufügen.

Abbildung8-4enthälteinBeispielvonActiveDirectory-ObjekteninmehrerenDomänen.DiesesSzenarioweistzweiCMCs(RAC1undRAC2)unddrei

vorhandene Active Directory-Benutzer(Benutzer1,Benutzer2undBenutzer3)auf.Benutzer1istinDomäne1undBenutzer2undBenutzer3sindinDomäne2.

IndiesemSzenariokonfigurierenSieBenutzer1undBenutzer2mitAdministratorrechtenfürbeideCMCsundBenutzer3mitAnmeldungsberechtigungenfürdie

RAC2-Karte.

Abbildung 8-4.ActiveDirectory-ObjekteinmehrerenDomäneneinrichten

SokonfigurierenSiedieObjektefürdasMehrdomänen-Szenario:



1. StellenSiesicher,dasssichdieGesamtstrukturfunktionderDomäneimsystemeigenenoderimWindows2003-Modus befindet.



2. ErstellenSiezweiZuordnungsobjekte,A01(mituniversellemBereich)undA02injederDomäne.

Abbildung8-4zeigtdieObjekteinDomäne2.



3. Erstellen Sie zwei RAC-Geräteobjekte,RAC1undRAC2,diediezweiCMCsrepräsentieren. 
 
 
4. Erstellen Sie zwei Berechtigungsobjekte, Ber1 und Ber2, wobei Ber1 alle Berechtigungen (Administrator) und Ber2 Anmeldungsberechtigung hat. 
 
 
5. GruppierenSieBenutzer1undBenutzer2inGruppe1.DieGruppenreichweitevonGruppe1muss"Universal"sein. 
 
 
6. FügenSieGruppe1alsMitgliederimZuordnungsobjekt1(A01),Ber1alsBerechtigungsobjekteinA01undRAC1,RAC2alsRAC-GeräteinA01hinzu. 
 
 
7. FügenSieBenutzer3alsMitgliedimZuordnungsobjekt2(A02),Ber2alsBerechtigungsobjekteinA02undRAC2alsRAC-GeräteinA02hinzu. 
 
 
Erweitertes Schema von Active Directory konfigurieren um auf den CMC zuzugreifen 
Bevor Sie mit Active Directory auf den CMC zugreifen, konfigurieren Sie die Active Directory-Software und den CMC: 
 
1. Erweitern Sie das Active Directory-Schema (siehe Erweitern des Active Directory-Schemas).  
 
 
2. Erweitern Sie das Active Directory-Benutzer- und -Computer-Snap-In (siehe Dell-Erweiterung zum Active Directory-Benutzer und -Computer- Snap-In 
installieren).  
 
 
3. FügenSiedemActiveDirectoryCMC-Benutzer und deren Berechtigungen hinzu (siehe CMC-Benutzer und -Berechtigungen zum Active Directory 
hinzufügen).  
 
 
4. AktivierenSieSSLaufallenDomänen-Controllern.  
 
 
5. Konfigurieren Sie die Active Directory-EigenschaftendesCMCüberdieCMC-Webschnittstelle oder das RACADM (siehe Konfiguration des CMC mit der 
Schema-Erweiterung des Active Directory und der Webschnittstelle bzw. CMC mit dem erweiterten Schema von Active Directory und RACADM 
konfigurieren).  
 
 
Erweitern des Active Directory-Schemas 
Mit der Erweiterung des Active Directory-Schemas werden eine Dell-Organisationseinheit, Schemaklassen und -attribute sowie Beispielberechtigungen und 
Zuordnungsobjekte zum Active Directory-Schemahinzugefügt.BevorSiedasSchemaerweitern,vergewissernSiesich,dassSieSchema-Admin-Berechtigung 
auf dem Schema-Master Flexible Single Master Operation (FSMO)-RollenbesitzerderDomänengesamtstrukturhaben. 
SiekönnendasSchemamiteinerderfolgendenMethodenerweitern: 
l Dell Schema Extender-Dienstprogramm 
 
l LDIF-Skriptdatei 
 
Die Dell-OrganisationseinheitwirddemSchemanichthinzugefügt,wennSiedieLDIF-Skriptdatei verwenden.  
Die LDIF-Dateien und Dell Schema Extender befinden sich auf der DVD Dell Systems Management Tools and Documentation in den folgenden Verzeichnissen: 
l <DVD-Laufwerk>:\SYSMGMT\ManagementStation\support\ 
OMActiveDirectory_Tools\<Installationstyp>\LDIF Files 
 
l <DVD-Laufwerk>:\SYSMGMT\ManagementStation\support\ 
OMActiveDirectory_ Tools\<Installationstyp>\Schema Extender 
 
Lesen Sie zur Verwendung der LDIF-Dateien die Anleitungen in der Infodatei im Verzeichnis LDIF_Files. Eine Anleitung zur Verwendung von Dell Schema 
Extender, um das Active Directory-Schema zu erweitern, finden Sie unter Dell Schema Extender verwenden. 
SiekönnenSchemaExtenderoderdieLDIF-DateienaneinembeliebigenStandortkopierenundausführen. 
 
Dell Schema Extender verwenden  
Das Dell Schema Extender-Dienstprogramm verwendet die Datei SchemaExtenderOem.ini. Um sicherzustellen, dass das Dell Schema Extender-
Dienstprogramm richtig funktioniert, modifizieren Sie den Namen dieser Datei nicht.  
 
1. Klicken Sie auf dem Begrüßungsbildschirm auf Weiter.  
 
 
2. Lesen Sie die Warnung und vergewissern Sie sich, dass Sie sie verstehen und klicken Sie dann auf Weiter.  
 
 
3. WählenSieAktuelle Anmeldeinformationen verwenden aus oder geben Sie einen Benutzernamen und ein Kennwort mit Schema- 
Administratorberechtigungen ein.  
 
 
4. Klicken Sie auf Weiter,umDellSchemaExtenderauszuführen. 
 
 
5. Klicken Sie auf Fertig stellen.  
 
Das Schema wird erweitert. Um die Schema-Erweiterungzuüberprüfen,verwendenSiedieMicrosoft-Verwaltungskonsole (MMC) und das Active 

Directory-Schema-Snap-InundprüfenSiedieExistenzderfolgendenElemente:

l Klassen - (siehe Tabelle8-2 bis Tabelle8-7)

l Eigenschaften - siehe Tabelle8-8

WeitereInformationenüberdasAktivierenunddieVerwendungvonActiveDirectory-Schema-Snap-In in MMC finden Sie in der Microsoft-Dokumentation.

Tabelle 8-2.KlassendefinitionenfürKlassen,diezumActiveDirectory-Schemahinzugefügtwurden

Tabelle 8-3.dellRacDeviceClass

Tabelle 8-4.dellAssociationObjectClass

Tabelle 8-5.dellRAC4PrivilegesClass

Tabelle 8-6.dellPrivilegesClass



Klassenname



Zugewiesene Objekt-

Identifikationsnummer (OID)

dellRacDevice

1.2.840.113556.1.8000.1280.1.1.1.1

dellAssociationObject

1.2.840.113556.1.8000.1280.1.1.1.2

dellRACPrivileges

1.2.840.113556.1.8000.1280.1.1.1.3

dellPrivileges

1.2.840.113556.1.8000.1280.1.1.1.4

dellProduct

1.2.840.113556.1.8000.1280.1.1.1.5

OID

1.2.840.113556.1.8000.1280.1.1.1.1

Beschreibung

RepräsentiertdasDellRAC-Gerät.DasRAC-GerätmussalsdellRacDeviceimActiveDirectorykonfiguriertwerden.MitdieserKonfiguration

kann der CMC Lightweight Directory Access Protocol (LDAP)-Abfragen an das Active Directory senden.

Klassentyp

Strukturklasse

SuperClasses

dellProduct

Attribute

dellSchemaVersion

dellRacType

OID

1.2.840.113556.1.8000.1280.1.1.1.2

Beschreibung

RepräsentiertdasDell-Zuordnungsobjekt.DasZuordnungsobjektistdieVerbindungzwischenBenutzernundGeräten.

Klassentyp

Strukturklasse

SuperClasses

Gruppe

Attribute

dellProductMembers

dellPrivilegeMember

OID

1.2.840.113556.1.8000.1280.1.1.1.3

Beschreibung

DefiniertAutorisierungsrechte(Berechtigungen)fürdasCMC-Gerät.

Klassentyp

Erweiterungsklasse

SuperClasses

NONE

Attribute

dellIsLoginUser

dellIsCardConfigAdmin

dellIsUserConfigAdmin

dellIsLogClearAdmin

dellIsServerResetUser

dellIsTestAlertUser

dellIsDebugCommandAdmin

dellPermissionMask1

dellPermissionMask2

OID

1.2.840.113556.1.8000.1280.1.1.1.4

Beschreibung

Container-KlassefürdieDell-Berechtigungen (Autorisierungsrechte).

Klassentyp

Strukturklasse

SuperClasses

Benutzer

Attribute

dellRAC4Privileges

Tabelle 8-7.dellProductClass

Tabelle 8-8.ListevonAttributen,diezumActiveDirectory-Schemahinzugefügtwurden

OID

1.2.840.113556.1.8000.1280.1.1.1.5

Beschreibung

Die Hauptklasse, von der alle Dell-Produkte abgeleitet werden.

Klassentyp

Strukturklasse

SuperClasses

Computer

Attribute

dellAssociationMembers



Zugewiesener OID/Syntax-Objektkennzeichner



Einzelbewertung

Attribut: dellPrivilegeMember

Beschreibung: Liste mit dellPrivilege-Objekten,diezudiesemAttributgehören.



OID: 1.2.840.113556.1.8000.1280.1.1.2.1

Eindeutiger Name: (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSE

Attribut: dellProductMembers

Beschreibung: Liste mit dellRacDevices-Objekten,diezudieserRollegehören.DiesesAttributistdieVorwärtsverbindungzur

dellAssociationMembers-Rückwärtsverbindung.

Link-ID: 12070



OID: 1.2.840.113556.1.8000.1280.1.1.2.2

Eindeutiger Name: (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSE

Attribut: dellIsCardConfigAdmin

Beschreibung: TRUE,wennderBenutzerKartenkonfigurationsrechteaufdemGeräthat.

OID: 1.2.840.113556.1.8000.1280.1.1.2.4

Boolesch (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

Attribut: dellIsLoginUser

Beschreibung: TRUE,wennderBenutzerAnmeldungsrechteaufdemGeräthat.



OID: 1.2.840.113556.1.8000.1280.1.1.2.3

Boolesch (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

Attribut: dellIsCardConfigAdmin

Beschreibung: TRUE,wennderBenutzerKartenkonfigurationsrechteaufdemGeräthat.



OID: 1.2.840.113556.1.8000.1280.1.1.2.4

Boolesch (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

Attribut: dellIsUserConfigAdmin

Beschreibung: TRUE,wennderBenutzerBenutzerkonfigurationsrechteaufdemGeräthat.



OID: 1.2.840.113556.1.8000.1280.1.1.2.5

Boolesch (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

Attribut: delIsLogClearAdmin

Beschreibung: TRUE,wennderBenutzerAdministratorrechtezumLöschenvonProtokollenaufdemGeräthat.



OID: 1.2.840.113556.1.8000.1280.1.1.2.6

Boolesch (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

Attribut: dellIsServerResetUser

Beschreibung: TRUE, wenn der Benutzer Server-Reset-RechteaufdemGeräthat.

OID: 1.2.840.113556.1.8000.1280.1.1.2.7

Boolesch (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

Attribut: dellIsTestAlertUser

Beschreibung: TRUE,wennderBenutzerRechtefürWarnungstestsfürBenutzeraufdemGeräthat.

OID: 1.2.840.113556.1.8000.1280.1.1.2.10

Boolesch (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

Attribut: dellIsDebugCommandAdmin



Dell-Erweiterung zum Active Directory-Benutzer und -Computer-Snap-In installieren

WennSiedasSchemaimActiveDirectoryerweitern,müssenSieauchdieActiveDirectory-Benutzer und das Computer-Snap-In erweitern, sodass der

Administrator RAC-Geräte(CMC),BenutzerundBenutzergruppen,RAC-Zuordnungen und RAC-Berechtigungen verwalten kann.

Wenn Sie die Systemverwaltungssoftware auf der DVD Dell Systems Management Tools and Documentationinstallieren,könnenSiedasSnap-In erweitern,

indemSiewährenddesInstallationsverfahrensdieOptionDell-Erweiterung von Active Directory-Benutzer- und -Computern-Snap-In auswählen.Das

Schnellinstallationshandbuch zu Dell OpenManage-SoftwareenthältzusätzlicheAnleitungenzurInstallationvonSystemverwaltungssoftware.

Weitere Informationen zum Active Directory-Benutzer und -Computer-Snap-In finden Sie in der Microsoft-Dokumentation.



Administratorpaket installieren

SiemüssendasAdministratorpaketaufjedemSysteminstallieren,dasdieActiveDirectory-CMC-Objekte verwaltet. Wenn Sie das Administratorpaket nicht

installieren,könnenSiedasDell-RAC-Objekt nicht im Container anzeigen.



ÖffnendesActiveDirectory-Benutzer- und -Computer-Snap-In

SoöffnenSiedieActiveDirectory-Benutzer und Computer-Snap-In:



1. WennSieaufdemDomänen-Controller angemeldet sind, klicken Sie auf Start Verwaltungstools® Active Directory-Benutzer und -Computer.

WennSienichtaufdemDomänen-Controller angemeldet sind, muss das entsprechende Microsoft-Administratorpaket auf dem lokalen System installiert

sein. Um dieses Administratorpaket zu installieren, klicken Sie auf Start® Ausführen, geben Sie MMCeinunddrückenSiedieTaste<Eingabe>.

Die Microsoft-Verwaltungskonsole (MMC) wird eingeblendet.



2. Klicken Sie im Fenster Konsole 1 auf Datei (oder auf KonsolebeiSystemen,aufdenenWindows2000ausgeführtwird).



3. Klicken Sie auf Snap-Inhinzufügen/entfernen.



4. WählenSieActive Directory-Benutzer- und Computer -Snap-In aus und klicken Sie auf Hinzufügen.



5. Klicken Sie auf SchließenundanschließendaufOK.



Beschreibung: TRUE, wenn der Benutzer Debug-BefehlsadministratorenrechteaufdemGeräthat.

OID: 1.2.840.113556.1.8000.1280.1.1.2.11

Boolesch (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

Attribut: dellSchemaVersion

Beschreibung: Die aktuelle Schemaversion wird verwendet, um das Schema zu aktualisieren.

OID: 1.2.840.113556.1.8000.1280.1.1.2.12

Case Ignore String(LDAPTYPE_CASEIGNORESTRING

1.2.840.113556.1.4.905)

TRUE

Attribut: dellRacType

Beschreibung: Dieses Attribut ist der aktuelle RAC-TypfürdasDellRacDevice-ObjektunddieRückwärtsverknüpfungzur

VorwärtsverknüpfungvondellAssociationObjectMembers.



OID: 1.2.840.113556.1.8000.1280.1.1.2.13

Case Ignore String(LDAPTYPE_CASEIGNORESTRING

1.2.840.113556.1.4.905)

TRUE

Attribut: dellAssociationMembers

Beschreibung: DieListevondellAssociationObjectMembers,diezudiesemProduktgehören.DiesesAttributistdie

RückwärtsverknüpfungzumAttributdellProductMembers.

Link-ID: 12071



OID: 1.2.840.113556.1.8000.1280.1.1.2.14

Eindeutiger Name (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSE

Attribut: dellPermissionsMask1



OID: 1.2.840.113556.1.8000.1280.1.6.2.1 Integer (LDAPTYPE_INTEGER)

Attribut: dellPermissionsMask2



OID: 1.2.840.113556.1.8000.1280.1.6.2.2 Integer (LDAPTYPE_INTEGER)

CMC-Benutzer und -BerechtigungenzumActiveDirectoryhinzufügen

Mit dem Dell-erweiterten Active Directory-Benutzer- und Computer-Snap-InkönnenSieCMC-Benutzer und -Berechtigungenhinzuzufügen,indemSieRAC-,

Zuordnungs- undBerechtigungsobjekteerstellen.UmjedenObjekttyphinzuzufügen,müssenSieFolgendesausführen:



1. RAC-Geräteobjekterstellen



2. Berechtigungsobjekt erstellen



3. Zuordnungsobjekt erstellen



4. EinemZuordnungsobjektObjektehinzufügen



RAC-Geräteobjekterstellen



1. Klicken Sie im Fenster Console Root (MCC) mit der rechten Maustaste auf einen Container.



2. WählenSieNeu® Dell RAC-Objekt aus.

Das Fenster Neues Objektwirdgeöffnet.



3. GebenSieeinenNamenfürdasneueObjektein.DerNamemussmitdemCMC-Namenübereinstimmen,denSieinSchritt8vonKonfiguration des CMC

mit der Schema-Erweiterung des Active Directory und der Webschnittstelle eingeben.



4. WählenSieRAC-Geräteobjekt aus.



5. Klicken Sie auf OK.



Erstellen von Berechtigungsobjekten



1. Klicken Sie im Fenster Console Root (MMC) mit der rechten Maustaste auf einen Container.



2. WählenSieNeu® Dell RAC-Objekt aus.

Das Fenster Neues Objektwirdgeöffnet.



3. GebenSieeinenNamenfürdasneueObjektein.



4. WählenSieBerechtigungsobjekt aus.



5. Klicken Sie auf OK.



6. KlickenSiemitderrechtenMaustasteaufdasBerechtigungsobjekt,dasSieerstellthaben,undwählenSieEigenschaften aus.



7. Klicken Sie auf das Register RAC-BerechtigungenundwählenSiedieBerechtigungenaus,diederBenutzerhabensoll.WeitereInformationenüber

CMC-Benutzerberechtigungen finden Sie unter "Benutzertypen".



Erstellen von Zuordnungsobjekten

DasZuordnungsobjektwirdvoneinerGruppeabgeleitetundmusseinenGruppentypenthalten.DieZuordnungsreichweitelegtdenSicherheitsgruppentypfür

dasZuordnungsobjektfest.WennSieeinZuordnungsobjekterstellen,müssenSiedieZuordnungsreichweitewählen,diesichaufdenTypderObjekte

bezieht,diehinzugefügtwerdensollen.

Wird z. B. Universalausgewählt,bedeutetdies,dassZuordnungsobjektenurverfügbarsind,wenndieActiveDirectory-DomäneimsystemspezifischenModus

odereinemhöherenModusfunktioniert.



1. Klicken Sie im Fenster Console Root (MMC) mit der rechten Maustaste auf einen Container.



2. WählenSieNeu® Dell RAC-Objekt aus.

Hierdurch wird das Fenster Neues Objektgeöffnet.



3. GebenSieeinenNamenfürdasneueObjektein.

ANMERKUNG: EinBerechtigungsobjektmussinderselbenDomänewiedaszugehörigeZuordnungsobjekterstelltwerden.



4. WählenSieZuordnungsobjekt.



5. WählenSiedenWirkungsbereichfürdasZuordnungsobjekt.



6. Klicken Sie auf OK.



HinzufügenvonObjektenzueinemZuordnungsobjekt

Durch die Verwendung des Fensters Zuordnungsobjekt-EigenschaftenkönnenSieBenutzeroderBenutzergruppen,BerechtigungsobjekteundRAC-Geräte

oder RAC-Gerätegruppenzuordnen.WenndasSystemWindows2000oderhöherausführt,müssenSieUniversal-Gruppen verwenden, damit sich Benutzer-

oder RAC-ObjekteüberDomänenerstrecken.

SiekönnenGruppenvonBenutzernundRAC-Gerätehinzufügen.DieVerfahrenzumErstellenvonDell-bezogenen Gruppen und nicht-Dell-bezogenen Gruppen

sind identisch.



BenutzeroderBenutzergruppenhinzufügen



1. Klicken Sie mit der rechten Maustaste auf das ZuordnungsobjektundwählenSieEigenschaften aus.



2. WählenSiedasRegisterBenutzer und klicken Sie auf Hinzufügen.



3. Geben Sie den Namen des Benutzers oder der Benutzergruppe ein und klicken Sie auf OK.

Klicken Sie auf das Register Berechtigungsobjekt,umdasBerechtigungsobjektderZuordnunghinzuzufügen,diedieBerechtigungendesBenutzersbzw.der

Benutzergruppe bei der Authentifizierung eines RAC-Gerätsdefiniert.EinemZuordnungsobjektkannnureinBerechtigungsobjekthinzugefügtwerden.



Berechtigungenhinzufügen



1. WählenSiedasRegisterBerechtigungsobjekt und klicken Sie auf Hinzufügen.



2. Geben Sie den Berechtigungsobjektnamen ein und klicken Sie auf OK.

Klicken Sie auf das Register Produkte, um der Zuordnung ein oder mehrere RAC-Gerätehinzuzufügen.DiezugeordnetenGerätegebendieandasNetzwerk

angeschlossenen RAC-Gerätean,diefürdiefestgelegtenBenutzeroderBenutzergruppenverfügbarsind.EinemZuordnungsobjektkönnenmehrereRAC-

Gerätehinzugefügtwerden.



RAC-GeräteoderRAC-Gerätegruppenhinzufügen

Um RAC-GeräteoderRAC-Gerätegruppenhinzufügen:



1. WählenSiedasRegisterProdukte und klicken Sie auf Hinzufügen.



2. Geben Sie den Namen des RAC-GerätsoderderRAC-GerätegruppeeinundklickenSieaufOK.



3. Im Fenster Eigenschaften klicken Sie auf Anwenden und dann auf OK.



Konfiguration des CMC mit der Schema-Erweiterung des Active Directory und der

Webschnittstelle



1. Melden Sie sich bei der CMC-Webschnittstelle an.



2. Klicken Sie in der Systemstruktur auf Gehäuse.



3. Klicken Sie auf Benutzer-Authentifizierung® Verzeichnisdienste.

Die Seite Verzeichnisdienste wird angezeigt.



4. WählenSieMicrosoft Active Directory (Erweitertes Schema) aus.



5. Im Abschnitt Allgemeine Einstellungen:

a. VergewissernSiesich,dassdasKontrollkästchenActive Directory aktivierenausgewähltist.

b. Geben Sie den Root-Domänennamen ein.

c. Geben Sie die Zeitüberschreitungin Sekunden ein. Konfigurationsbereich: 15 - 300Sekunden.Standardeinstellung:

90 Sekunden



6. Optional: WenndergezielteAufrufdenDomänen-ControllerunddenglobalenKatalogdurchsuchensoll,wählenSiedasKontrollkästchenAD-Server

fürSuchedurchsuchen(optional)aus und gehen Sie wie folgt vor:

a. Geben Sie im Textfeld Domänen-Controller den Server ein, auf dem der Active Directory-Dienst installiert ist.

b. Geben Sie im Textfeld Globaler Katalog den Standort des globalen Katalogs auf dem Active Directory-Domänen-Controller ein. Der globale

Katalog ist eine Ressource zum Durchsuchen einer Active Directory-Gesamtstruktur.



7. Im Abschnitt Erweiterte Schemaeinstellungen:

a. Geben Sie den CMC-Gerätenamen ein. Der CMC-Name identifiziert die CMC-Karte im Active Directory eindeutig. Der CMC-Name muss dem

allgemeinen Namen des neuen CMC-Objektsentsprechen,dasSieinIhremDomänen-Controller erstellt haben. Der CMC-Name muss eine ASCII-

Zeichenkette mit 1 bis 256 Zeichen und ohne Leerstellen sein.

b. Geben Sie den CMC-Domänennamen ein (z. B. cmc.com). Der CMC-Domänenname ist der DNS-Name(Zeichenkette)derDomäne,beidersichdas

Active Directory-CMC-Objektbefindet.DerNamemusseingültigerDomänennameseinundausx.y bestehen, wobei x eine ASCII-Zeichenkette mit

1 bis 256 Zeichen ohne Leerstellen und yeingültigerDomänentypwiecom,edu,gov,int,mil,net,orgist.



8. Klicken Sie auf Anwenden, um die Einstellungen zu speichern.



9. Geben Sie im Abschnitt Zertifikate verwalten den Dateipfad des Zertifikats in das Textfeld ein oder klicken Sie auf Durchsuchen, um die Zertifikatdatei

auszuwählen.KlickenSieaufdieSchaltflächeHochladen,umdieDateizumCMCzuübertragen.

Die SSL-Zertifikatüberprüfungiststandardmäßigerforderlich.EsgibteineneueEinstellungindercfgActiveDirectory RACADM-Gruppe und innerhalb der

GUI,umdieZertifikatsprüfungzudeaktivieren.

Esistjedochriskant,dieZertifikatsüberprüfungzudeaktivieren.

So schalten Sie die SSL-Zertifikatüberprüfungein(Standard):

racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 1

So schalten Sie die SSL-Zertifikatüberprüfungaus:

racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 0

Die SSL-ZertifikatefürdenDomänen-Controllermüssenvonderroot-Zertifizierungsstelle signiert werden. Das von der root-Zertifizierungsstelle signierte

ZertifikatmussaufderManagementStationverfügbarsein,dieaufdenCMCzugreift.



10. Klicken Sie auf Anwenden. Der CMC-Webserver startet automatisch neu, wenn Sie auf Anwenden klicken.



11. Melden Sie sich erneut bei der CMC-Webschnittstelle an.



12. WählenSieinderSystemstrukturGehäuse aus, klicken Sie auf das Register NetzwerkundanschließendaufdasUnterregisterNetzwerk. Die Seite

Netzwerkkonfiguration wird angezeigt.



13. Wenn DHCPverwenden(fürNetzwerkschnittstellen-IP-Adresse)aktiviert(markiert)ist,wählenSieeinederfolgendenVorgehensweisen:

l WählenSieDHCP zum Abrufen von DNS-Serveradressen verwenden aus, um die DNS-Server-Adressen zu aktivieren, die automatisch vom

DHCP-Server abgerufen werden sollen, oder

l konfigurieren Sie manuell eine DNS-Server-IP-Adresse,indemSiedasKontrollkästchenDHCP zum Abrufen von DNS-Serveradressen

verwenden frei lassen und dann die IP-AdressedesprimärenunddesalternativenDNS-Servers in die entsprechenden Felder eingeben.



14. Klicken Sie auf Änderungenanwenden.

Die CMC-FunktionskonfigurationfürdaserweiterteSchemavonActiveDirectoryistabgeschlossen.



ANMERKUNG: Der Root-DomänennamemusseingültigerDomänennamesein,fürdendieNamenskonventionx.y verwendet wird, wobei x eine

ASCII-Zeichenkette aus 1 - 256 Zeichen ohne Leerstellen zwischen den Zeichen und yeingültigerDomänentypwiecom,edu,gov,int,mil,net

oder org ist.

ANMERKUNG: Das Einstellen der IP-Adresse auf 0.0.0.0 deaktiviert die Suche des CMC nach einem Server.

ANMERKUNG: SiekönneneinekommagetrennteListevonDomänen-Controllern oder Servern des globalen Katalogs angeben. Der CMC

ermöglichtIhnen,biszudreiIP-Adressen oder Host-Namen festzulegen.

ANMERKUNG: Domänen-ControllerundServerdesglobalenKatalogs,dienichtkorrektfüralleDomänenundAnwendungenkonfiguriertsind,

könnenzuunerwartetenErgebnissenbeiderFunktionsweisedervorhandenenAnwendungen/Domänenführen.

ANMERKUNG: SiemüssenIhreEinstellungenanwenden,bevorSiemitdemnächstenSchrittfortfahrenundzueineranderenSeitewechseln.

WennSiedieEinstellungennichtanwenden,verlierenSiedieeingegebenenEinstellungen,wennSiezurnächstenSeitewechseln.

ANMERKUNG: Der Wert DateipfadzeigtdenrelativenDateipfaddesZertifikatsan,dasSiehochladen.SiemüssendenvollständigenDateipfad

eintippen,derdenvollständigenPfadunddenkomplettenDateinamenunddieDateierweiterungumfasst.

CMC mit dem erweiterten Schema von Active Directory und RACADM konfigurieren

Verwenden Sie die folgende Befehle, um die CMC-Active Directory-Funktion mit erweitertem Schema mit Hilfe des RACADM-CLI-Hilfsprogramms, anstatt der

webbasierten Schnittstelle, zu konfigurieren.



1. ÖffnenSieeineserielle,Telnet- oder SSH-TextkonsolefürdenCMC,meldenSiesichanundgebenSieFolgendesein:

racadm config -g cfgActiveDirectory -o cfgADEnable 1

racadm config -g cfgActiveDirectory -o cfgADType 1

racadm config-g cfgActiveDirectory-o cfgADRacDomain <vollständigqualifizierterCMC-Domänenname>

racadm config -g cfgActiveDirectory -o cfgADRootDomain <vollständigqualifizierterroot-Domänenname>

racadm config-g cfgActiveDirectory-o cfgADRacName <CMC allgemeiner Name>

racadm sslcertupload -t 0x2 -f <ADS-root-Zertifizierungsstellenzertifikat> -r

racadm sslcertdownload-t 0x1-f <CMC-SSL-Zertifikat>

Optional: WennSieeinLDAPodereinenServerdesglobalenKatalogsfestlegenmöchten,anstattdieServerzuverwenden,dievomDNS-Serverfürdie

SuchenacheinemBenutzernamenzurückgegebenwurden,gebenSiedenfolgendenBefehlein,umdieOptionServer festlegen zu aktivieren:

racadm config -g cfgActiveDirectory -o cfgADSpecifyServerEnable 1

Nachdem Sie die Option Server festlegen aktivierthaben,könnenSieeinenLDAP-Server und globalen Katalog mit IP-Adressenodervollständig

qualifiziertenDomänennamen(FQDNs)derServerfestlegen.DieFQDNsbestehenausdenHost-NamenundDomänennamenderServer.

Geben Sie zur Angabe eines LDAP-Servers Folgendes ein:

racadm config -g cfgActiveDirectory -o cfgADDomainController <AD-Domänen-Controller-IP-Adresse>

UmeinenServeranzugeben,derdenglobalenKatalogenthält,gebenSieFolgendesein:

racadm config -g cfgActiveDirectory -o cfgADGlobalCatalog <AD-IP-Adresse des globalen Katalogs>



2. Legen Sie einen DNS-Server anhand einer der folgenden Optionen fest:

l Wenn DHCP auf dem CMC aktiviert ist und Sie die vom DHCP-Server automatisch abgefragte DNS-Adresse verwenden wollen, geben Sie den

folgenden Befehl ein:

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1

l Wenn DHCP auf dem CMC deaktiviert ist oder wenn DHCP aktiviert, Sie aber Ihre DNS-IP-Adresse manuell eingeben wollen, geben Sie die

folgenden Befehle ein:

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0

racadm config -g cfgLanNetworking -o cfgDNSServer1 <primäreDNS-IP-Adresse>

racadm config -g cfgLanNetworking -o cfgDNSServer2 <sekundäreDNS-IP-Adresse>

Die Funktionskonfiguration des erweiterten Schemas ist abgeschlossen.



HäufiggestellteFragen

Tabelle 8-9.CMCmitActiveDirectoryverwenden:HäufiggestellteFragen

ANMERKUNG: SiekönnendiesenBefehlnurüberRemote-RACADM verwenden. Weitere Informationen zum Remote-RACADM finden Sie unter

RACADM im Remote-Zugriff aufrufen.

ANMERKUNG: Wenn Sie die Option Server festlegen verwenden, wird der Host-Name in dem von der Zertifizierungsstelle signierten Zertifikat

nichtmitdemNamendesangegebenenServersabgeglichen.Diesistbesondersnützlich,wennSieeinCMC-Administrator sind, weil es Ihnen

hierdurchmöglichist,sowohleinenHost-Namen als auch eine IP-Adresse einzugeben.

ANMERKUNG: Das Einstellen der IP-Adresse auf 0.0.0.0 deaktiviert die Suche des CMC nach einem Server.

ANMERKUNG: SiekönneneinekommagetrennteListevonLDAP-Servern oder von Servern, die den globalen Katalog enthalten, angeben. Der

CMCermöglichtIhnen,biszudreiIP-Adressen oder Host-Namen festzulegen.

ANMERKUNG: LDAPs,dienichtkorrektfüralleDomänenundAnwendungenkonfiguriertsind,könnenzuunerwartetenErgebnissenbeider

FunktionsweisedervorhandenenAnwendungen/Domänenführen.



Frage



Antwort

Einfache Anmeldung konfigurieren

MicrosoftWindows2000,WindowsXP,WindowsServer2003,WindowsVistaundWindowsServer2008könnenKerberos(einNetzwerk-

Authentifizierungsprotokoll)alsAuthentifizierungsmethodeverwendenundBenutzern,diesichbeiderDomäneangemeldethaben,automatischeoder

einfacheAnmeldungfürnachfolgendeAnwendungenwieExchangeermöglichen.

BeginnendmitCMCVersion2.10kannderCMCKerberosverwenden,umzweizusätzlicheAuthentifizierungsmechanismen,einfacheAnmeldungundSmart

Card-Anmeldung,zuunterstützen.BeidereinfachenAnmeldungverwendetderCMCdieAnmeldeinformationendesClientsystems,dieimBetriebssystem

zwischengespeichertwerden,nachdemSiesichmiteinemgültigenActiveDirectory-Konto angemeldet haben.



Systemanforderungen

Zu Verwendung der Kerberos-Authentifizierung muss Ihr Netzwerk Folgendes enthalten:

l DNS-Server

l Microsoft Active Directory-Server

KannichmichbeimCMCanmelden,indemichActiveDirectoryüber

mehrfache Strukturen verwende?

Ja. Der Abfragealgorithmus des CMC-ActiveDirectoryunterstütztmehrereStrukturen

in einer Gesamtstruktur.

Funktioniert die Anmeldung am CMC unter Verwendung des Active

DirectoryimgemischtenModus(d.h.dieDomänen-Controller der

GesamtstrukturführenverschiedeneBetriebssystemeaus,wiez.B.

Microsoft Windows 2000 oder Windows Server 2003)?

Ja.ImgemischtenModusmüssensichalleObjekte,dievomCMC-Abfrageverfahren

verwendet werden, (unter Benutzer, RAC-GeräteobjektundZuordnungsobjekt)in

derselbenDomänebefinden.

Das Dell-erweiterte Active Directory-Benutzer- und Computer-Snap-Inüberprüftden

ModusundbeschränktBenutzer,umObjekteüberDomänenhinwegzuerstellen(nur

im gemischten Mischmodus).

UnterstütztdieVerwendungdesCMCmitActiveDirectorymehrfache

Domänenumgebungen?

Ja.DieDomänen-Gesamtstrukturfunktionsebene muss sich im Native-Modus oder

Windows-2003-Modusbefinden.AußerdemmüssendieGruppenunter

Zuordnungsobjekt, RAC-Benutzerobjekten und RAC-Geräteobjekten(einschließlich

Zuordnungsobjekt) Universal-Gruppen sein.

KönnendieseDell-erweiterten Objekte (Dell-Zuordnungsobjekt, Dell

RAC-GerätundDell-Berechtigungsobjekt) in verschiedenen

Domänensein?

DasZuordnungsobjektunddasBerechtigungsobjektmüssensichinderselben

Domänebefinden.BeimDell-erweiterten Active Directory-Benutzer- und -Computer-

Snap-InmüssenSiediesezweiObjekteinderselbenDomäneerstellen.Andere

ObjektekönnensichinverschiedenenDomänenbefinden.

GibtesBeschränkungenbeiderSSL-KonfigurationderDomänen-

Controller?

Ja. Alle SSL-ZertifikatefürActiveDirectory-ServerinderGesamtstrukturmüssenvon

dem gleichen, von der root-Zertifizierungsstelle signierten, Zertifikat signiert werden,

daderCMCnurerlaubt,eineinzigesvoneinervertrauenswürdigen

Zertifizierungsstelle signiertes SSL-Zertifikat, hochzuladen.

Ich habe ein neues RAC-Zertifikat erstellt und hochgeladen und jetzt

startet die Webschnittstelle nicht.

Wenn Sie Zertifikatsdienste von Microsoft verwenden, um das RAC-Zertifikat zu

erstellen,habenSiebeimErstellendesZertifikatsmöglicherweiseversehentlich

BenutzerzertifikatausgewähltanstattWebzertifikat.

Generieren Sie zur Wiederherstellung eine CSR, erstellen Sie dann ein neues

Webzertifikat von Microsoft Certificate Services und laden Sie es mit Hilfe der

folgenden RACADM-Befehle hoch:

racadm sslcsrgen [-g]

[-f {Dateiname}]

racadm sslcertupload -t 1 -f {web_sslcert}

Was kann ich tun, wenn ich mich mittels Active Directory-

Authentifizierung nicht beim CMC anmelden kann? Wie kann ich das

Problem beheben?

1. StellenSiesicher,dassSiewährendeinerAnmeldungdenkorrekten

BenutzerdomänennamenundnichtdenNetBIOS-Namen verwenden.

2. Wenn Sie ein lokales CMC-Benutzerkonto haben, melden Sie sich mit Ihren

lokalen Anmeldeinformationen beim CMC an.

NachdemSieangemeldetsind,führenSiediefolgendenSchritteaus:

a. StellenSiesicher,dassSiedasKästchenActive Directory aktivieren auf der

CMC Active Directory-Konfigurationsseite markiert haben.

b. Stellen Sie sicher, dass die DNS-Einstellung auf der CMC-

Netzwerkkonfigurationsseite richtig ist.

c. Stellen Sie sicher, dass Sie das Active Directory-Zertifikat von dem von Ihrer

Active Directory-root-Zertifizierungsstelle signierten Zertifikat zum CMC

hochgeladen haben.

d. ÜberprüfenSiedieSSL-ZertifikatederDomänen-Controller, um sicherzustellen,

dass sie nicht abgelaufen sind.

e. Stellen Sie sicher, dass CMC-Name, Root-Domänennameund CMC-

Domänennamemit Ihrer Active Directory-Umgebungskonfiguration

übereinstimmen.

f. Stellen Sie sicher, dass das CMC-Kennwort maximal 127 Zeichen aufweist.

WährendderCMCKennwörtervonbiszu256Zeichenunterstützt,unterstützt

ActiveDirectorynurKennwörter,diemaximal127Zeichenlangsind.

ANMERKUNG: DieAuswahleinerAnmeldemethodelegtkeineRichtlinienattributehinsichtlichandererAnmeldeschnittstellen,z.B.SSH,fest.Siemüssen

auchsonstigeRichtlinienattributefürandereAnmeldeschnittstellenfestlegen.FallsSiealleanderenAnmeldeschnittstellendeaktivierenmöchten,

navigieren Sie zur Seite Dienste und deaktivieren Sie alle (oder bestimmte) Anmeldeschnittstellen.

ANMERKUNG: FallsSieActiveDirectoryunterWindows2003verwenden,müssenSiesicherstellen,dassdieneuestenService-Packs und Patches

aufdemClientsysteminstalliertsind.FallsSieActiveDirectoryunterWindows2008verwenden,müssenSiesicherstellen,dassSP1sowiedie

folgenden Hotfixes installiert sind.

Windows6.0-KB951191-x86.msufürdasDienstprogrammKTPASS.OhnediesesPatcherzeugtdasDienstprogrammfehlerhafte Keytab-Dateien.

Windows6.0-KB957072-x86.msufürVerwendungvonGSS_API- und SSL-TransaktionenwährendeinerLDAP-Bindung.

l Kerberos-Schlüsselverteilungscenter- KDC (mit der Active Directory-Serversoftware)

l DHCP-Server (empfohlen)

l Die DNS-Server-Reverse-ZonemusseinenEintragfürdenActiveDirectory-Server und den CMC enthalten.



Clientsysteme

l FürreineSmartCard-Anmeldung muss das Clientsystem die verteilbare Komponente von Microsoft Visual C++ 2005 enthalten. Weitere Informationen

finden Sie unter www.microsoft.com/downloads/details.aspx?FamilyID=32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en

l FüreinfacheAnmeldungundSmartCard-Anmeldung muss das Clientsystem ein Teil der Active Directory-DomäneunddesKerberos-Bereichs sein.



CMC

l Der CMC muss Firmwareversion 2.10 oder neuer aufweisen

l Jeder CMC muss ein Active Directory-Konto haben

l Der CMC muss ein Teil der Active Directory-DomäneunddesKerberos-Bereichs sein



Einstellungen konfigurieren



Vorbedingungen

l Der Kerberos-Bereich und das Kerberos-Schlüsselverteilungscenter(KDC)fürActiveDirectory(AD)wurdeneingerichtet(ksetup)

l GewährleistenSieeinerobusteNTP- und DNS-Infrastruktur zur Vermeidung von Problemen mit Clock-Drift und Reverse-Lookup

l Die CMC-Standardschema-Rollengruppe mit autorisierten Mitgliedern



Active Directory konfigurieren

Konfigurieren Sie im Dialogfeld CMC-Eigenschaften im Optionsabschnitt Konten die folgenden Einstellungen:

l DemKontowirdfürDelegierungszweckevertraut - Der CMC verwendet derzeit keine weitergeleiteten Anmeldeinformationen, wenn diese Option

ausgewähltist.SiekönnendieseOptionabhängigvonanderenDienstanforderungenauswählenodernichtauswählen.

l Konto ist vertraulich und kann nicht delegiert werden - SiekönnendieseOptionabhängigvonanderenDienstanforderungenauswählenodernicht

auswählen.

l DES-VerschlüsselungstypenfürdiesesKontoverwenden - WählenSiedieseOptionaus.

l Keine Kerberos-Vorauthentifizierung erforderlich - WählenSiedieseOptionnichtaus.

FührenSiedasDienstprogrammktpass(TeilvonMicrosoftWindows)aufdemDomänen-Controller (Active Directory-Server) aus, auf dem Sie den CMC einem

BenutzerkontoinActiveDirectoryzuordnenmöchten.Beispiel:

C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out

c:\krbkeytab

Dieses Verfahren erstellt eine Keytab-Datei,dieSiezumCMChochladenmüssen.



Konfiguration des CMC-Moduls

Konfigurieren Sie den CMC zu Verwendung von Standardschema-Rollengruppen, die in Active Directory eingerichtet sind. Weitere Informationen finden Sie

unter Standardschema von Active Directory konfigurieren um den CMC zuzugreifen.



Kerberos-Keytab-Datei hochladen

Die Kerberos-Keytab-Datei liefert die CMC-Benutzername-Kennwort-AnmeldeinformationenfürdasKDC(KerberosDataCenter),daswiederumZugriffaufdas

ANMERKUNG: cmcname.domainname.commussgemäßRFCinKleinbuchstabenundderREALM-Name @REALM_NAMEmussinGroßbuchstabenangegeben

werden.DarüberhinausunterstütztderCMCdenDES-CBC-MD5-TypvonKryptographiefürKerberos-Authentifizierung.

ANMERKUNG: DasKeytabenthälteinenVerschlüsselungsschlüsselundmussaneinemsicherenOrtaufbewahrtwerden.WeitereInformationenzum

Dienstprogramm ktpass finden Sie auf der Microsoft-Website unter: technet2.microsoft.com/windowsserver/en/library/64042138-9a5a-4981-

84e9-d576a8db0d051033.mspx?mfr=true.

ANMERKUNG: DieindiesemAbschnittbeschriebenenKonfigurationsschrittegeltennurfürdenWebzugriffdesCMC.

ActiveDirectoryermöglicht.JederCMCimKerberos-Bereich muss beim Active Directory registriert sein und eine eindeutige Keytab-Datei aufweisen.

So laden Sie die Keytab-Datei hoch:



1. Navigieren Sie zum Register Benutzer-Authentifizierung ® Unterregister Verzeichnisdienste. Stellen Sie sicher, dass Microsoft Active Directory

Standard oder Erweitertes Schemaausgewähltist.Fallsnicht,wählenSieIhreEinstellungenausundklickenaufAnwenden.



2. Klicken Sie auf Durchsuchen im Abschnitt Kerberos-Keytab-Hochladen und navigieren Sie zu dem Ordner, in dem die Keytab-Datei gespeichert ist, und

klicken auf Hochladen.

Wenn der Vorgang beendet ist, wird ein Meldungsfenster eingeblendet, das anzeigt, ob der Upload erfolgreich oder fehlerhaft war.



Einfache Anmeldung aktivieren



1. Klicken Sie auf das Register Chassis Management Controller Netzwerksicherheit® Active Directory® Active Directory konfigurieren.

Die Seite Active Directory-Konfiguration und Verwaltung wird angezeigt.



2. WählenSieaufderSeiteActive Directory-Konfiguration und Verwaltung Folgendes aus:

l Einfache Anmeldung - dieseOptionermöglichtdieAnmeldungbeimCMCunterVerwendungderzwischengespeichertenAnmeldeinformationen,

diebeiderAnmeldungbeimActiveDirectoryverwendetwurden.



3. Klicken Sie am unteren Rand auf Anwenden.

SiekönnendasActiveDirectorymitKerberos-Authentifizierung testen, indem Sie die Testfunktion des CLI-Befehls verwenden.

Geben Sie Folgendes ein:

testfeature -f adkrb -u <Benutzer>@<Domäne>

wobei"Benutzer"füreingültigesActiveDirectory-Benutzerkonto steht.

WennderBefehlerfolgreichdurchgeführtwird,bedeutetdas,dassderCMCKerberos-Anmeldeinformationen beschaffen und auf das Active Directory-Konto

desBenutzerszugreifenkann.WennderBefehlnichterfolgreichist,müssenSiedenFehlerbeseitigenunddenBefehlwiederholen.WeitereInformationen

finden Sie im Chassis Management Controller Administrator-Referenzhandbuch unter support.dell.com\manuals.



BrowserfüreinfacheAnmeldungkonfigurieren

EinfacheAnmeldungwirdvonInternetExplorerVersion6.0undneuerundFirefoxVersion3.0undneuerunterstützt.



Internet Explorer



1. WählenSieinInternetExplorerExtras® Internetoptionen aus.



2. WählenSieimRegisterSicherheit unter WählenSieeineZoneaus,umderenSicherheitseinstellungenfestzulegen die Option Lokales Intranet aus.



3. Klicken Sie auf Sites.

Das Dialogfeld Lokales Intranet wird angezeigt.



4. Klicken Sie auf Erweitert.

Das Dialogfeld Lokales Intranet - Erweiterte Einstellungen wird angezeigt.



5. Geben Sie im Feld DieseWebsitezurZonehinzufügendenNamendesCMCunddessenDomäneeinundklickenSieaufHinzufügen.



Mozilla Firefox



1. Geben Sie in Firefox about:config in die Adressleiste ein.

ANMERKUNG: AllebandexternenBefehlszeilenschnittstellen,einschließlichSecureShell(SSH),Telnet,SeriellundRemote-RACADM,bleibenfür

dieseOptionunverändert.

ANMERKUNG: Die folgenden Anweisungen gelten nur, wenn der CMC die einfache Anmeldung mit Kerberos-Authentifizierung verwendet.

ANMERKUNG: SiekönneneinenPlatzhalter(*)verwenden,umalleGeräte/BenutzerindieserDomäneanzugeben.



2. Im Textfeld Filter geben Sie negotiate (verhandeln) ein.

Der Browser zeigt eine Liste bevorzugter Namen an, die alle das Wort "negotiate" enthalten.



3. Doppelklicken Sie in der Liste auf network.negotiate-auth.trusted-uris.



4. Geben Sie im Dialogfeld Enter string value(Zeichenfolgewerteingeben)denDomänennamendesCMCeinundklickenSieaufOK.



Anmelden beim CMC unter Verwendung einfacher Anmeldung



1. Melden Sie sich unter Verwendung Ihres Netzwerkkontos beim Clientsystem an.



2. Greifen Sie auf die CMC-Webseite zu. Verwenden Sie:

https://<cmcname.domain-name>

Beispiel: cmc-6G2WXF1.cmcad.lab

wobei cmc-6G2WXF1 der CMC-Name ist

und cmcad.labderDomänenname.

Die Seite CMC - einfache Anmeldung wird angezeigt.



3. Klicken Sie auf Anmelden.

Der CMC meldet Sie an und verwendet dabei die Kerberos-Anmeldeinformationen, die von Ihrem Browser zwischengespeichert wurden, als Sie sich

unterVerwendungIhresgültigenActiveDirectory-Kontos angemeldet haben. Falls die Anmeldung nicht erfolgreich ist, wird der Browser auf die normale

CMC-Anmeldeseite geleitet.

Smart Card-Zweifaktor-Authentifizierung konfigurieren

FürherkömmlicheAuthentifizierungsschematawerdenderBenutzernameunddasKennwortzumAuthentifizierenvonBenutzernverwendet.Beider

Zweifaktor-AuthentifizierungwirdandererseitseinehöhereSicherheitsstufegeboten,indemBenutzeraufgefordertwerden,einKennwortodereinePINsowie

einephysischeKartemiteinemprivatenSchlüsselodereinemdigitalenZertifikatbereitzustellen.Kerberos,einNetzwerk-Authentifizierungsprotokoll,

verwendet diesen Zweifaktor-AuthentifizierungsmechanismusundermöglichtesSystemen,ihreAuthentizitätzubeweisen.MicrosoftWindows2000,Windows

XP,WindowsServer2003,WindowsVistaundWindowsServer2008verwendenKerberosalsbevorzugteAuthentifizierungsmethode.Beginnendmit

CMCVersion2.10VersionkannderCMCKerberosverwenden,umSmartCard-Anmeldungzuunterstützen.



Systemanforderungen

Die SystemanforderungenfürSmartCardentsprechendenenfüreinfacheAnmeldung.



Einstellungen konfigurieren

Die VorbedingungenfürSmartCardentsprechendenenfüreinfacheAnmeldung.



Active Directory konfigurieren



1. Richten Sie den Kerberos-Bereich und das Kerberos- Schlüsselverteilungscenter(KDC)fürActiveDirectoryein,fallsdieseKomponentennochnicht

ANMERKUNG: Wenn der Browser die Warnung This might void your warranty(DaskannIhreGarantieungültigmachen)anzeigt,klickenSieauf

I'll be careful. I promise (Ich werde vorsichtig sein, ich verspreche es).

ANMERKUNG: SiekönnenbeieinereinfachenAnmeldungoderSmartCard-Anmeldung nicht die IP-Adresseverwenden.KerberosüberprüftIhre

AnmeldeinformationengegenüberdemvollständigqualifiziertenDomänennamen(FQDN).

ANMERKUNG: Falls Sie die Standard-HTTPS-Schnittstellennummer(80)geänderthaben,greifenSiemit<cmcname.domaine-name>:<port

number> auf den CMC zu, wobei cmcname der CMC-HostnamefürdenCMCist;domain-nameistderDomänennameundport number die

HTTPS-Schnittstellennummer.

ANMERKUNG: Falls Sie sich nicht bei der Active Directory-DomäneangemeldethabenundnichtInternetExploreralsBrowserverwenden,schlägt

die Anmeldung fehl und der Browser zeigt eine leere Seite an.

ANMERKUNG: DieAuswahleinerAnmeldemethodelegtkeineRichtlinienattributehinsichtlichandererAnmeldeschnittstellen,z.B.SSH,fest.Siemüssen

auchsonstigeRichtlinienattributefürandereAnmeldeschnittstellenfestlegen.FallsSiealleanderenAnmeldeschnittstellendeaktivierenmöchten,

navigieren Sie zur Seite Dienste und deaktivieren Sie alle (oder bestimmte) Anmeldeschnittstellen.

konfiguriert sind (ksetup).



2. Erstellen Sie Active Directory-BenutzerfürjedenCMCundkonfigurierenSieKerberos-DES-Verschlüsselung,jedochnichtVorauthentifizierung.



3. Registrieren Sie die CMC-BenutzermitKtpassbeimSchlüsselverteilungscenter(dieserzeugtaucheinenSchlüsselzumHochladenaufdenCMC).



Konfiguration des CMC-Moduls

Konfigurieren Sie den CMC zu Verwendung von Standardschema-Rollengruppen, die in Active Directory eingerichtet sind. Weitere Informationen finden Sie

unter Standardschema von Active Directory konfigurieren um den CMC zuzugreifen.



Kerberos-Keytab-Datei hochladen

Die Kerberos-Keytab-Datei liefert die CMC-Benutzername-Kennwort-AnmeldeinformationenfürdasKDC(KerberosDataCenter),daswiederumZugriffaufdas

ActiveDirectoryermöglicht.JederCMCimKerberos-Bereich muss beim Active Directory registriert sein und eine eindeutige Keytab-Datei aufweisen.

So laden Sie die Keytab-Datei hoch:



1. Navigieren Sie zum Register Benutzer-Authentifizierung ® Unterregister Verzeichnisdienste. Stellen Sie sicher, dass Microsoft Active Directory

Standard oder Erweitertes Schemaausgewähltist.Fallsnicht,wählenSieIhreEinstellungenausundklickenaufAnwenden.



2. Klicken Sie auf Durchsuchen im Abschnitt Kerberos-Keytab-Hochladen und navigieren Sie zu dem Ordner, in dem die Keytab-Datei gespeichert ist, und

klicken Sie auf Hochladen.

Wenn der Vorgang beendet ist, wird ein Meldungsfenster eingeblendet, das anzeigt, ob der Upload erfolgreich oder fehlerhaft war.



Smart Card-Authentifizierung aktivieren



1. Navigieren Sie zum Register Benutzer-Authentifizierung ® Unterregister Verzeichnisdienste. Stellen Sie sicher, dass Microsoft Active Directory

Standard oder Erweitertes Schemaausgewähltist.



2. Im Abschnitt Allgemeine EinstellungenwählenSie:

l Smart Card - dieseOptionerfordertdasEinführeneinerSmartCardindenLeserunddieEingabederPIN-Nummer.



3. Klicken Sie am unteren Rand auf Anwenden.

SiekönnendasActiveDirectorymitKerberos-Authentifizierung testen, indem Sie die Testfunktion des CLI-Befehls verwenden.

Geben Sie Folgendes ein:

testfeature -f adkrb -u <Benutzer>@<Domäne>

wobei"Benutzer"füreingültigesActiveDirectory-Benutzerkonto steht.

WennderBefehlerfolgreichdurchgeführtwird,bedeutetdas,dassderCMCKerberos-Anmeldeinformationen beschaffen und auf das Active Directory-Konto

desBenutzerszugreifenkann.WennderBefehlnichterfolgreichist,müssenSiedenFehlerbeseitigenunddenBefehlwiederholen.WeitereInformationen

findenSieinderDokumentationzurTestfunktionfürRACADM-Befehle.



BrowserfürSmartCard-Anmeldung konfigurieren



Mozilla Firefox

CMC2.10unterstütztSmartCard-AnmeldungüberFirefox-Browser nicht.



Internet Explorer

ANMERKUNG: GewährleistenSieeinerobusteNTP- und DNS-Infrastruktur zur Vermeidung von Problemen mit Clock-Drift und Reverse-Lookup.

ANMERKUNG: DieindiesemAbschnittbeschriebenenKonfigurationsschrittegeltennurfürdenWebzugriffdesCMC.

ANMERKUNG: AllebandexternenBefehlszeilenschnittstellen,einschließlichSecureShell(SSH),Telnet,SeriellundRemote-RACADM,bleibenfür

dieseOptionunverändert.