Users Guide
扩展架构 Active Directory 概览
使用扩展架构解决方案需要 Active Directory 架构扩展。
扩展架构的最佳做法
扩展架构使用 Dell 关联对象以加入 iDRAC 和权限。这将使您能够基于授予的完成权限使用 iDRAC。Dell 关联对象的默认访问控制列表
(ACL) 允许自管理员和域管理员管理 iDRAC 对象的权限和范围。
默认情况下,Dell 关联对象不会从父 Active Directory 对象继承全部权限。如果您启用 Dell 关联对象的继承,该关联对象的继承权限将
授予所选用户和组。这可能导致将意外的权限提供给
iDRAC。
要安全地使用扩展架构,Dell 建议不要在扩展架构实施中启用 Dell 关联对象的继承。
Active Directory 架构扩展
Active Directory 数据是
属性
和
类
的分布式数据库。Active Directory 架构包括用于确定可在数据库中添加或包括的数据类型的规则。用
户类是数据库中存储的
类
的一个示例。一些示例用户类属性可能包括用户的名字、姓氏、电话号码等等。您可以通过添加自己唯一的
属性
和
类
来扩展 Active Directory 数据库以用于特定需求。Dell 已扩展架构以包括使用 Active Directory 支持远程管理验证和授权的必
要更改。
添加到现有 Active Directory 架构的每个
属性
或
类
都必须使用唯一的 ID 定义。为了在整个行业内维护唯一的 ID,Microsoft 将维护
Active Directory 对象标识符 (OID) 的数据库,以便公司添加架构扩展时,可以保证这些扩展唯一并且不会彼此冲突。要在 Microsoft
的 Active Directory 中扩展架构,对于添加到目录服务中的属性和类,Dell 将收到唯一的 OID、唯一的扩展名和唯一链接的属性 ID:
• 扩展是:dell
• 基础 OID 是:1.2.840.113556.1.8000.1280
• RAC LinkID 范围是:12070 to 12079
iDRAC 架构扩展概览
Dell 已扩展架构以包括
关联
、
设备
和
权限
属性。
关联
属性用于将用户或组与一组特定的权限一起链接到一个或多个 iDRAC 设备。此模
型为网络上有各种用户、iDRAC 权限和 iDRAC 设备组合的管理员提供了最大的灵活性,而无需繁琐操作。
对于网络上您要与 Active Directory 集成进行验证和授权的每个物理 iDRAC 设备,创建至少一个关联对象和一个 iDRAC 设备对象。您
可以创建多个关联对象,并且每个关联对象可根据需要链接到尽可能多的用户、用户组或 iDRAC 设备对象。用户和 iDRAC 用户组可
以是企业中任何域的成员。
但是,每个关联对象只能链接到一个权限对象(可链接用户、用户组或 iDRAC 设备对象)。本示例允许管理员控制特定 iDRAC 设备
上每位用户的权限。
iDRAC 设备对象是指向 iDRAC 固件的链接,用于查询 Active Directory 以进行验证和授权。当 iDRAC 添加到网络后,管理员必须配置
iDRAC、其设备对象及 Active Directory 名称,以便用户能够通过 Active Directory 执行验证和授权。此外,管理员必须将 iDRAC 添加
到至少一个关联对象以便用户进行验证。
下图显示为提供验证和授权所需连接的关联对象。
142
配置用户帐户和权限