Utilisation de Microsoft Active Directory avec votre Dell Remote Access Controller (DRAC III, DRAC III/XT, ERA et ERA/O): Dell Remote Access Controller Guide d'installation et de configuration
Cette section fournit des informations sur l'utilisation de Microsoft Active Directory avec votre RAC et sur les propriétés de votre RAC (groupe de base de données et définitions d'objet).
Utilisation de Microsoft Active Directory avec votre RAC
REMARQUE : « RAC » dans ce document fait allusion aux Dell™ Remote Access Controllers (DRAC)
suivants : DRAC III, DRAC III/XT, Embedded Remote Access (ERA) et Embedded Remote Access Option
(ERA/O).
Un service de répertoires est utilisé pour maintenir une base de données commune de toutes les informations nécessaires pour contrôler les utilisateurs, les ordinateurs et les imprimantes sur un réseau.
Si votre société utilise le logiciel de services Microsoft Active Directory, celui-ci peut être configuré pour autoriser l'accès au RAC, ce qui vous permet d'ajouter et de contrôler les droits d'utilisateur dans vos utilisateurs existants de votre logiciel Active Directory.
AVIS : La version du micrologiciel de RAC 3.20 ou supérieure est exigée pour la prise en charge de
Active Directory.
REMARQUE : L'utilisation de Active Directory pour reconnaître les utilisateurs du RAC est prise en
charge sur les systèmes d'exploitation Microsoft Windows® 2000 et Windows Server 2003.
Extensions de schéma Active Directory
Les données Active Directory peuvent être conçues comme une base de données distribuée d'attributs et de classes. Les règles qui gouvernent les données Active Directory qui peuvent être ajoutées ou incluses dans la base de données constituent le schéma Active Directory. Un exemple d'une classe enregistrée est la classe Utilisateur. Les attributs d'exemple de la classe Utilisateur peuvent être le prénom, le nom, le numéro de téléphone de l'utilisateur, etc. Les entreprises peuvent étendre la base de données Active Directory en ajoutant leurs propres attributs et classes pour résoudre des besoins spécifiques à un environnement. Dell a étendu le schéma pour inclure les changements nécessaires afin de prendre en charge l'authentification et l'autorisation de gestion à distance.
Chaque attribut ou classe qui est ajouté à un schéma Active Directory existant doit être défini avec un ID unique. Pour maintenir des ID uniques dans toute l'industrie, Microsoft maintient une base de données d'identifiants d'objets Active Directory (OID) de sorte que lorsque les entreprises ajoutent des extensions au schéma, elles peuvent être certaines que les ID sont uniques et n'entrent pas en conflit avec d'autres. Pour étendre le schéma dans Microsoft Active Directory, Dell a reçu des OID uniques, des extensions de noms uniques et des ID d'attributs liés uniques pour nos attributs et classes qui font partie du service de répertoire.
L'extension Dell est : dell
L'OID de base Dell est : 1.2.840.113556.1.8000.1280
La plage d'ID de liens du RAC s'étend : de 12070 à 12079
La base de données d'OID Active Directory tenue par Microsoft est disponible à l'adresse http://msdn.microsoft.com/certification/ADAcctInfo.asp et en entrant Dell dans le champ Préfixe : .
Aperçu des extensions de schéma du RAC
Pour fournir une plus grande flexibilité dans la multitude d'environnements client, Dell fournit un groupe d'objets qui peuvent être configurés par l'utilisateur selon les résultats requis. Dell a étendu le schéma pour inclure un objet Association, Périphérique et Privilège. L'objet Association est utilisé pour relier les utilisateurs ou les groupes avec un ensemble spécifique de privilèges à un ou plusieurs périphériques RAC. Ce modèle fournit une flexibilité maximale d'administrateur sur les différentes combinaisons d'utilisateurs, privilèges RAC et périphériques RAC sur le réseau sans ajouter trop de complexité.
Aperçu des objets Active Directory
Pour chaque RAC physique sur le réseau que vous voulez intégrer avec Active Directory pour l'authentification et l'autorisation, vous devez créer au moins un objet Association et un objet Périphérique RAC. Vous pouvez créer autant d'objets Association que vous le souhaitez et chaque objet Association peut être relié à autant d'utilisateurs, groupes d'utilisateurs ou objets Périphérique RAC que vous le souhaitez. Les utilisateurs et les objets Périphérique RAC peuvent être des membres de n'importe quel domaine de l'entreprise.
Néanmoins, chaque objet Association peut être relié (ou, peut relier des utilisateurs, groupes d'utilisateurs ou objets Périphérique RAC) à un seul objet Privilège. Cela permet à un administrateur de contrôler quels sont les privilèges des utilisateurs sur les RAC spécifiques.
L'objet Périphérique RAC est le lien au micrologiciel du RAC pour effectuer une requête Active Directory d'authentification et d'autorisation. Quand un RAC est ajouté au réseau, l'administrateur doit configurer le RAC et son objet Périphérique avec son nom Active Directory pour que les utilisateurs puissent effectuer l'authentification et l'autorisation avec Active Directory. L'administrateur devra aussi ajouter le RAC à au moins un objet Association pour l'authentification des utilisateurs.
La Figure 9-1 montre que l'objet Association fournit la connexion qui est nécessaire pour l'authentification et l'autorisation.
Figure 9-1. Configuration type des objets Active Directory
Vous pouvez créer autant d'objets Association que vous le souhaitez ou en avez besoin. Mais, vous devez créer au moins un objet Association et vous devez avoir un objet Périphérique RAC pour chaque RAC sur le réseau que vous voulez intégrer avec Active Directory pour l'authentification et l'autorisation avec le RAC. L'objet Association autorise autant d'utilisateurs et/ou groupes que d'objets Périphérique RAC. Mais, l'objet Association a seulement un objet Privilège par objet Association. L'objet Association connecte les « utilisateurs » qui ont des « privilèges » sur les RAC.
De plus, vous pouvez configurer des objets Active Directory dans un seul domaine ou dans plusieurs domaines. Par exemple, vous avez deux cartes de RAC (RAC1 et RAC2) et trois utilisateurs Active Directory existants (utilisateur1, utilisateur2 et utilisateur3). Vous voulez donner à utilisateur1 et utilisateur2 un privilège d'administrateur aux deux cartes de RAC et donner un privilège d'ouverture de session à utilisateur3 sur la carte RAC2. La Figure 9-2 explique comment configurer les objets Active Directory dans cet exemple.
Figure 9-2. Configuration d'objets Active Directory dans un seul domaine
Pour configurer les objets dans cet exemple de domaine unique, effectuez les tâches suivantes :
Créez deux objets Association.
Créez deux objets Périphérique RAC, RAC1 et RAC2, pour représenter les deux cartes de
RAC.
Créez deux objets Privilège, Priv1 et Priv2, dans lesquels Priv1 a tous les privilèges
(administrateur) et Priv2 a des privilèges d'ouverture de session.
Regroupez utilisateur1 et utilisateur2 dans Groupe1.
Ajoutez Groupe1 comme membres de l'objet Association 1 (AO1), Priv1 comme objets
Privilège dans AO1 et RAC1 et RAC2 comme Périphériques RAC dans AO1.
Ajoutez Utilisateur3 comme membres de l'objet Association 2 (AO2), Priv2 comme objets
Privilège dans AO2 et RAC2 comme Périphériques RAC dans AO2.
La Figure 9-3 explique comment configurer les objets Active Directory dans plusieurs domaines. Dans cet exemple, vous avez deux cartes de RAC (RAC1 et RAC2) et trois utilisateurs Active Directory existants (utilisateur1, utilisateur2 et utilisateur3). Utilisateur1 est dans Domaine1 et utilisateur2 et utilisateur3 sont dans Domaine2. Vous voulez donner à utilisateur1 et utilisateur2 un privilège d'administrateur aux deux cartes de RAC et donner à utilisateur3 un privilège d'ouverture de session sur la carte RAC2.
Figure 9-3. Configuration d'objets Active Directory dans plusieurs domaines
Pour configurer les objets dans cet exemple de plusieurs domaines, effectuez les tâches suivantes :
Assurez-vous que la fonction de forêt de domaine est en mode natif ou Windows 2003.
Créez deux objets Association, AO1 (étendue universelle) et AO2, dans n'importe quel
domaine. La figure montre les objets dans Domaine2.
Créez deux objets Périphérique RAC, RAC1 et RAC2, pour représenter les deux cartes de
RAC.
Créez deux objets Privilège, Priv1 et Priv2, dans lesquels Priv1 a tous les privilèges
(administrateur) et Priv2 a des privilèges d'ouverture de session.
Regroupez utilisateur1 et utilisateur2 dans Groupe1. L'étendue du groupe de Groupe1 doit
être Universelle.
Ajoutez Groupe1 comme membres de l'objet Association 1 (AO1), Priv1 comme objets
Privilège dans AO1 et RAC1 et RAC2 comme Périphériques RAC dans AO1.
Ajoutez Utilisateur3 comme membres de l'objet Association 2 (AO2), Priv2 comme objets
Privilège dans AO2 et RAC2 comme Périphériques RAC dans AO2.
Configuration d'Active Directory pour accéder à votre RAC
Avant de pouvoir utiliser Active Directory pour accéder à votre RAC, vous devez configurer le logiciel Active Directory et le RAC en effectuant les étapes suivantes dans leur ordre numéroté :
L'extension de votre schéma Active Directory ajoute une unité organisationnelle Dell, des classes et attributs de schéma et des modèles d'objets privilège et association au schéma Active Directory.
REMARQUE : Avant d'étendre le schéma, vous devez avoir les privilèges Schéma Admin sur le
Propriétaire de rôle FSMO de schéma maître de la forêt de domaine.
Vous pouvez étendre votre schéma à l'aide de deux méthodes différentes. Vous pouvez utiliser l'utilitaire Dell Schema Extender ou le fichier de script LDIF.
REMARQUE : L'unité organisationnelle Dell n'est pas ajoutée si vous utilisez le fichier de script LDIF.
Les fichiers LDIF et Dell Schema Extender sont situés sur votre CD Dell OpenManage Systems Management dans les répertoires respectifs suivants :
Lecteur de CD :\support\omactivedirectory tools\rac3\ldif files
Lecteur de CD :\support\omactivedirectory tools\rac3\schema extender
Pour utiliser les fichiers LDIF, reportez-vous aux instructions dans le fichier lisez-moi qui est dans le répertoire de fichiers LDIF. Pour utiliser Dell Schema Extender pour étendre le schéma Active Directory, effectuez les étapes de la section « Utilisation de Dell Schema Extender ».
Vous pouvez copier et exécuter Schema Extender ou les fichiers LDIF à partir de n'importe quel endroit.
Utilisation de Dell Schema Extender
AVIS : Dell Schema Extender utilise le fichier SchemaExtenderOem.ini . Afin de garantir que l'utilitaire
Dell Schema Extender fonctionne correctement, ne modifiez pas le nom de ce fichier.
Cliquez sur Suivant dans l'écran d'accueil.
Lisez l'avertissement et cliquez à nouveau sur Suivant.
Sélectionnez Utiliser les références d'ouverture de session actuelles ou tapez un nom
d'utilisateur et un mot de passe avec des droits d'administrateur de schéma.
Cliquez sur Suivant pour exécuter Dell Schema Extender.
Cliquez sur Terminer.
Le schéma est étendu. Pour vérifier l'extension de schéma, utilisez le snap-in Microsoft Management Console (MMC) du schéma Active Directory pour vérifier l'existence des classes (énumérées dans Tableau 9-7, Tableau 9-8, Tableau 9-9, Tableau 9-10, Tableau 9-11et Tableau 9-12) et attributs suivants (énumérés dans Tableau 9-13). Consultez votre documentation Microsoft pour plus d'informations sur comment activer et utiliser le snap-in MMC du schéma Active Directory.
Tableau 9-7. Définitions de classe pour les classes ajoutées au schéma Active Directory
Nom de classe
Numéro d'identification d'objet attribué (OID)
dellRacDevice
1.2.840.113556.1.8000.1280.1.1.1.1
dellAssociationObject
1.2.840.113556.1.8000.1280.1.1.1.2
dellRAC3Privileges
1.2.840.113556.1.8000.1280.1.1.1.6
dellPrivileges
1.2.840.113556.1.8000.1280.1.1.1.4
dellProduct
1.2.840.113556.1.8000.1280.1.1.1.5
Tableau 9-8. Classe dellRacDevice
OID
1.2.840.113556.1.8000.1280.1.1.1.1
Description
Cette classe représente le périphérique RAC Dell. Le périphérique RAC doit être configuré comme dellRacDevice dans Active Directory. Cette configuration permet au RAC d'envoyer des requêtes LDAP à Active Directory.
Type de classe
Classe structurelle
Super classe
dellProduct
Attributs
dellSchemaVersion dellRACType
Tableau 9-9. Classe dellAssociationObject
OID
1.2.840.113556.1.8000.1280.1.1.1.2
Description
Cette classe représente l'objet Association Dell. L'objet Association assure la connexion entre les utilisateurs et les périphériques.
Type de classe
Classe structurelle
Super classe
Groupe
Attributs
dellProductMembers dellPrivilegeMember
Tableau 9-10. Classe dellRAC3Privileges
OID
1.2.840.113556.1.8000.1280.1.1.1.6
Description
Cette classe est utilisée pour définir les privilèges (droits d'autorisation) pour le périphérique RAC.
Type de classe
Classe auxiliaire
Super classe
Aucune
Attributs
dellRac3IsLoginUser
Tableau 9-11. Classe dellPrivileges
OID
1.2.840.113556.1.8000.1280.1.1.1.4
Description
Cette classe est utilisée comme une classe de conteneur pour les privilèges Dell (droits d'autorisation).
Type de classe
Classe structurelle
Super classe
Utilisateur
Attributs
dellRac3IsLoginUser
Tableau 9-12. Classe dellProduct
OID
1.2.840.113556.1.8000.1280.1.1.1.5
Description
C'est la classe principale à partir de laquelle tous les produits de Dell sont dérivés.
Type de classe
Classe structurelle
Super classe
Ordinateur
Attributs
dellAssociationMembers
Tableau 9-13. Liste des attributs ajoutés au schéma Active Directory
Nom/Description d'attribut
Identifiant d'objet de syntaxe/OID attribué
Évaluation individuelle
dellPrivilegeMember
Liste des objets dellPrivilege qui appartiennent à cet attribut.
1.2.840.113556.1.8000.1280.1.1.2.1
Nom distingué (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)
False
dellProductMembers
Liste des objets dellRacDevices qui appartiennent à ce rôle. Cet attribut est le lien avant au lien arrière dellAssociationMembers.
ID de lien : 12070
1.2.840.113556.1.8000.1280.1.1.2.2
Nom distingué (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)
False
dellSchemaVersion
La version de schéma courante est utilisée pour mettre à jour le schéma.
1.2.840.113556.1.8000.1280.1.1.2.12
Chaîne ignorant la casse (LDAPTYPE_CASEIGNORESTRING 1.2.840.113556.1.4.905)
True
dellRacType Cet attribut est le type de RAC courant pour l'objet dellRacDevice et le lien arrière vers le lien avant dellAssociationObjectMembers.
1.2.840.113556.1.8000.1280.1.1.2.13
Chaîne ignorant la casse (LDAPTYPE_CASEIGNORESTRING 1.2.840.113556.1.4.905)
True
dellAssociationMembers
Liste des dellAssociationObjectMembers qui appartiennent à ce produit. Cet attribut est le lien arrière vers l'attribut lié dellProductMembers.
ID de lien : 12071
1.2.840.113556.1.8000.1280.1.1.2.14
Nom distingué (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)
False
Attribut dellRac3IsLoginUser
1.2.840.113556.1.8000.1280.1.1.2.15
True si l'utilisateur a des droits d'ouverture de session sur un périphérique RAC.
True
Installation de Dell Extension dans le snap-in Utilisateurs et ordinateurs Active Directory
Lorsque vous étendez le schéma dans Active Directory, vous devez également étendre le snap-in Utilisateurs et ordinateurs Active Directory de sorte que l'administrateur puisse gérer les périphériques RAC, les utilisateurs et les groupes d'utilisateurs, les associations RAC et les privilèges RAC. L'extension Dell au snap-in Utilisateurs et ordinateurs Active Directory est une option qui peut être installée lorsque vous installez votre logiciel de gestion de systèmes à l'aide du CD Dell OpenManage Systems Management. Consultez le Guide d'installation rapide du logiciel Dell OpenManage pour de plus amples détails sur l'installation du logiciel de gestion de systèmes.
AVIS : Les utilitaires Dell Schema Extender pour RAC et DRAC4 sont uniques et doivent être exécutés
dans les environnements où les deux modèles sont présents. Le snap-in Utilisateurs et ordinateurs
Active Directory du RAC est la version la plus récente et doit être utilisé pour gérer les objets RAC et
DRAC4.
REMARQUE : Vous devez installer le pack administrateur sur chaque système gérant les objets RAC
Active Directory. L'installation est décrite dans la section suivante, « Ouverture du snap-in Utilisateurs et
ordinateurs Active Directory ». Si vous n'installez pas le pack administrateur, vous ne pouvez pas
consulter l'objet RAC Dell dans le conteneur.
REMARQUE : Pour de plus amples informations sur le snap-in Utilisateurs et ordinateurs Active
Directory, consultez votre documentation Microsoft.
Ouverture du snap-in Utilisateurs et ordinateurs Active Directory
Pour ouvrir le snap-in Utilisateurs et ordinateurs Active Directory, effectuez les étapes suivantes :
Si vous êtes sur le contrôleur de domaine, cliquez sur DémarrerOutils d'administration →
Utilisateurs et ordinateurs Active Directory. Le cas échéant, le pack administrateur Microsoft
approprié doit être installé sur votre système local. Pour installer ce pack administrateur,
cliquez sur Démarrer → Exécuter, tapez MMC, puis cliquez sur OK.
Cela ouvre la console de gestion Microsoft (MMC).
Cliquez sur Fichier (ou Console pour les systèmes fonctionnant sous Windows 2000) dans la
fenêtre Console1.
Cliquez sur Ajouter/supprimer un composant logiciel enfichable.
Sélectionnez le snap-in Utilisateurs et ordinateurs Active Directory, puis cliquez sur Ajouter.
Cliquez sur Fermer, puis sur OK.
Ajout d'utilisateurs et de privilèges RAC à Active Directory
Le snap-in avancé de Dell Utilisateurs et ordinateurs Active Directory vous permet d'ajouter des utilisateurs et des privilèges RAC en créant des objets RAC, Association et Privilège. Pour ajouter chaque type d'objet, effectuez les étapes dans chacune des sous-sections suivantes.
Création d'un objet Périphérique RAC
Dans la fenêtre Racine de console (MMC), cliquez-droite sur un conteneur.
Sélectionnez Nouveau → Objet RAC Dell.
La fenêtre Nouvel Objet apparaît.
Tapez un nom pour le nouvel objet.
Sélectionnez Objet Périphérique RAC.
Cliquez sur OK.
Création d'un objet Privilège
Les objets Privilège doivent être créés dans le même domaine que l'objet Association auquel ils sont associés.
Dans la fenêtre Racine de console (MMC), cliquez-droite sur un conteneur.
Sélectionnez Nouveau → Objet RAC Dell.
La fenêtre Nouvel Objet apparaît.
Tapez un nom pour le nouvel objet.
Sélectionnez Objet Privilège.
Cliquez sur OK.
Cliquez-droite sur l'objet Privilège que vous avez créé et sélectionnez Propriétés.
Cliquez sur l'onglet Privilèges RAC 3 et sélectionnez les privilèges RAC que vous voulez
attribuer à l'utilisateur.
Création d'un objet Association
L'objet Association est dérivé d'un groupe et doit contenir un type de groupe. L'étendue de l'association spécifie le type de groupe de sécurité pour l'objet Association. Quand vous créez un objet Association, vous devez choisir l'étendue de l'association qui s'applique au type d'objets que vous avez l'intention d'ajouter. Le fait de sélectionner Universel, par exemple, signifie que les objets Association sont seulement disponibles quand le domaine Active Directory fonctionne en mode natif ou supérieur.
Dans la fenêtre Racine de console (MMC), cliquez-droite sur un conteneur.
Sélectionnez Nouveau → Objet RAC Dell.
La fenêtre Nouvel Objet apparaît.
Tapez un nom pour le nouvel objet.
Sélectionnez Objet Association.
Sélectionnez l'étendue de l'Objet Association.
Cliquez sur OK.
Ajout d'objets à un objet Association
À l'aide de la fenêtre Propriétés de l'objet Association, vous pouvez associer des utilisateurs ou des groupes d'utilisateurs, des objets Privilège et des périphériques ou groupes de périphérique RAC.
REMARQUE : Lorsque vous utilisez le mode Windows 2000 ou supérieur, vous devez utiliser des
groupes universels pour étendre les domaines à vos utilisateurs ou objets RAC.
Vous pouvez ajouter des groupes d'utilisateurs et de périphériques RAC. Vous pouvez créer des groupes Dell de la même manière que vous créez d'autres groupes.
Pour ajouter des groupes d'utilisateur ou des utilisateurs :
Cliquez-droite sur Objet Association et sélectionnez Propriétés.
Cliquez sur l'onglet Utilisateurs, puis sur Ajouter.
Tapez le nom du groupe d'utilisateurs ou d'utilisateur et cliquez sur OK.
Cliquez sur l'onglet Objet Privilège pour ajouter l'objet Privilège à l'association qui définit les privilèges de l'utilisateur ou du groupe d'utilisateurs lors de l'authentification à un périphérique RAC.
REMARQUE : Vous pouvez ajouter un seul objet Privilège à un objet Association.
Pour ajouter un privilège :
Cliquez sur l'onglet Objet Privilège, puis sur Ajouter.
Tapez le nom de l'objet Privilège, puis cliquez sur OK.
Cliquez sur l'onglet Produits pour ajouter un ou plusieurs périphériques RAC à l'association. Les périphériques associés spécifient les périphériques RAC connectés au réseau, qui sont disponibles pour les utilisateurs ou groupes d'utilisateurs définis.
REMARQUE : Vous pouvez ajouter plusieurs périphériques RAC à un objet Association.
Pour ajouter des périphériques de RAC ou des groupes de périphériques RAC :
Cliquez sur l'onglet Produits, puis sur Ajouter.
Tapez le nom du périphérique RAC ou du groupe de périphériques RAC, puis cliquez sur OK.
Dans la fenêtre Propriétés, cliquez sur Appliquer, puis sur OK.
Activation de SSL sur un contrôleur de domaine
Si vous projetez d'utiliser l'autorité de certification racine de l'entreprise Microsoft pour attribuer automatiquement tous les certificats SSL de votre contrôleur de domaine, vous devez effectuer les étapes suivantes pour activer SSL sur chaque contrôleur de domaine.
Installez une autorité de certification racine de l'entreprise Microsoft sur un contrôleur de
domaine.
Sélectionnez Démarrer → Panneau de configuration→ Ajout/Suppression de
programmes.
Sélectionnez Ajouter ou supprimer des composants Windows.
Dans l'assistant Composants de Windows, cochez la case Services de certificat .
Sélectionnez CA racine de l'entreprise comme Type de CA , puis cliquez sur Suivant.
Tapez un Nom commun pour cette AC, cliquez sur Suivant, puis sur Terminer.
Activez SSL sur chacun de vos contrôleurs de domaine en installant le certificat SSL pour chaque
contrôleur.
Cliquez sur Démarrer → Outils d'administration → Politique de sécurité de domaine.
Développez le dossier Stratégies de clés publiques, cliquez-droite sur Paramètres de demande
automatique de certificat, puis sur Demande automatique de certificat.
Dans l'assistant Configuration de demande de certificat automatique, cliquez sur Suivant et
sélectionnez Contrôleur de domaine.
Cliquez sur Suivant, puis sur Terminer.
Exportation du certificat de CA racine du contrôleur de domaine
REMARQUE : Les étapes suivantes peuvent varier légèrement si vous utilisez Windows 2000.
Allez au contrôleur de domaine sur lequel vous avez installé le service d'autorité de
certification racine de l'entreprise Microsoft.
Cliquez sur Démarrer → Exécuter.
Tapez MMC, puis cliquez sur OK.
Dans la fenêtre Console 1 (MMC), cliquez sur Fichier (ou Console sur les ordinateurs
fonctionnant sous Windows 2000) , puis sélectionnez Ajouter/Supprimer un composant
logiciel enfichable.
Dans la fenêtre Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Ajouter.
Dans la fenêtre Autonome, sélectionnez Certificats, puis cliquez sur Ajouter.
Sélectionnez le compte de l'ordinateur, puis cliquez sur Suivant.
Sélectionnez L'ordinateur local, puis cliquez sur Terminer.
Cliquez sur OK.
Dans la fenêtre Console 1 , développez le dossier Certificats (Ordinateur local) puis
Personnel et cliquez sur le dossier Certificats.
Localisez et cliquez-droite sur le certificat de CA racine, sélectionnez Toutes les tâches, puis
cliquez sur Exporter... .
Dans l'Assistant Exportation de certificat, cliquez sur Suivant et sélectionnez Ne pas exporter
la clé privée.
Cliquez sur Suivant et sélectionnez le format Codé à base 64 X.509 (.cer).
Importation d'un certificat SSL de micrologiciel du RAC vers toutes les listes de
certificats de confiance de contrôleurs de domaine
REMARQUE : Si le certificat SSL de micrologiciel du RAC est signé par une autorité de certification
connue, vous n'avez pas besoin d'effectuer les étapes décrites dans cette section.
REMARQUE : Les étapes suivantes peuvent varier légèrement si vous utilisez Windows 2000.
Le certificat SSL du RAC est le même certificat que celui utilisé pour le serveur Web du RAC. Tous les contrôleurs RAC sont livrés avec un certificat autosigné par défaut. Vous pouvez recevoir ce certificat du RAC en sélectionnant Télécharge le certificat du serveur du RAC (allez à l'interface Web du RAC, onglet Configuration et sous-onglet Active Directory).
Dans le contrôleur de domaine, ouvrez une fenêtre Console MMC et sélectionnez
Certificats → Autorités de certification racine de confiance.
Cliquez-droite sur Certificats, sélectionnez Toutes les tâches, puis cliquez sur Importer.
Cliquez sur Suivant et recherchez le fichier de certificat SSL.
Installez le certificat SSL du RAC dans l'Autorités de certification racine de confiance de
chaque contrôleur de domaine.
Si vous avez installé votre propre certificat, assurez-vous que l'autorité de certification qui a signé votre certificat est dans la liste des Autorités de certification racine de confiance. Le cas échéant, vous devez l'installer sur tous vos contrôleurs de domaine.
Cliquez sur Suivant et définissez si vous souhaitez ou non que Windows sélectionne
automatiquement le magasin de certificats en fonction du type de certificat ou si vous
préférez parcourir le magasin de votre choix.
Cliquez sur Terminer, puis sur OK.
Configuration des paramètres Active Directory du RAC à l'aide de la CLI racadm
Utilisation des commandes suivantes pour configurer la fonctionnalité Active Directory du RAC à l'aide de la CLI racadm.
Ouvrez une invite de commande et tapez les commandes racadm suivantes :
racadm config -g cfgActiveDirectory -o cfgADRacName <nom commun de RAC>
racadm sslcertupload -t 0x2 -f <certificat de CA racine ADS>
racadm sslcertdownload -t 0x1 -f <certificat SSL du RAC>
Si le protocole DHCP est activé sur le RAC et que vous voulez utiliser le service DNS
(Dynamic Naming Service) fourni par le serveur DHCP, taper ce qui suit :
racadm config-g cfgLanNetworking-o cfgDNSServer1 <adresse IP DNS principale>
racadm config-g cfgLanNetworking-o cfgDNSServer2 <adresse IP DNS secondaire>
Utilisation de Active Directory pour se connecter au RAC
Vous pouvez utiliser Active Directory pour vous connecter au RAC via l'interface Web, avec racadm distant, ou via la console série ou telnet.
La syntaxe d'ouverture de session est uniforme pour les trois méthodes :
<nom d'utilisateur@domaine> ou <domaine>\<nom d'utilisateur> ou <domaine>/<nom d'utilisateur>(où nom d'utilisateur est une chaîne ASCII de 1 à 256 octets). Aucun espace et caractère spécial (comme \,/ ou @) n'est autorisé dans le nom d'utilisateur ou dans le nom de domaine.
REMARQUE : Vous ne pouvez pas spécifier des noms de domaine NetBIOS, comme Americas, parce que ces noms
ne peuvent pas être résolus.
Questions les plus fréquentes
Le Tableau 9-14 répertorie les questions les plus fréquentes et leurs réponses.
Tableau 9-14. Utilisation du RAC avec Active Directory : Questions les plus fréquentes
Question
Réponse
Puis-je me connecter au RAC avec Active Directory à travers plusieurs forêts ?
L'algorithme de requête Active Directory du RAC prend en charge une seule arborescence dans une seule forêt.
La connexion au RAC avec Active Directory fonctionne-t-elle en mode mixte (c'est-à-dire, lorsque les contrôleurs de domaine dans la forêt exécutent différents systèmes d'exploitation, comme Microsoft® Windows NT® 4.0, Windows 2000 ou Windows Server 2003) ?
Oui. En mode mixte, tous les objets utilisés par le processus de requête du RAC (utilisateur, objet Périphérique RAC et objet Association, entre autres) doivent être dans le même domaine.
Le snap-in avancé de Dell Utilisateurs et ordinateurs Active Directory vérifie le mode et limite les utilisateurs à créer des objets dans les domaines en cas de mode mixte.
L'utilisation du RAC avec Active Directory assure-t-elle la prise en charge d'environnements à plusieurs domaines ?
Oui. Le niveau de fonction de la forêt de domaine doit être en mode natif ou Windows 2003. De plus, les groupes parmi les objets Association, Utilisateur RAC et Périphérique RAC (y compris l'objet Association) doivent être des groupes universels.
Ces objets Dell étendus (objets Dell Association, Dell Périphérique RAC et Dell Privilège) peuvent-ils être dans différents domaines ?
L'objet Association et l'objet Privilège doivent être dans le même domaine. Le snap-in avancé de Dell Utilisateurs et ordinateurs Active Directory vous oblige à créer ces deux objets dans le même domaine. D'autres objets peuvent être dans différents domaines.
Y a-t-il des restrictions relatives à la configuration SSL du contrôleur de domaine ?
Oui. Tous les certificats SSL des serveurs Active Directory dans la forêt doivent être signés par la même autorité de certification racine parce que le RAC permet seulement de télécharger un certificat SSL de CA de confiance.
J'ai créé et téléchargé un nouveau certificat de RAC et ne peux plus lancer maintenant l'interface Web.
Si vous utilisez les services de certificat Microsoft pour générer le certificat du RAC, il est possible que vous ayez involontairement sélectionné Certificat utilisateur au lieu de Certificat Web lors de la création du certificat. Pour résoudre ce problème, créez un nouveau certificat Web à partir des services de certificat Microsoft et chargez-le à l'aide de la CLI racadm du système géré en tapant :
racadm sslcertupload -t 0x1 -f <web_sslcert>
Que puis-je faire si je ne peux pas me connecter au RAC à l'aide de l'authentification Active Directory ? Comment puis-je résoudre ce problème ?
Pour résoudre ce problème, effectuez les étapes suivantes :
Assurez-vous que vous avez coché la case Activer Active Directory dans la page de configuration Active Directory du RAC.
Assurez-vous que le paramètre DNS est correct sur la page de configuration réseau du RAC.
Assurez-vous que vous avez téléchargé dans le RAC le certificat Active Directory à partir de votre autorité de certification racine Active Directory.
Vérifiez les certificats SSL du contrôleur de domaine pour vérifier qu'ils n'ont pas expiré
Assurez-vous que votre Nom de RAC, Nom de domaine racine et Nom de domaine de RAC correspondent à votre configuration d'environnement Active Directory.
Assurez-vous que vous utilisez le nom de domaine d'utilisateur correct pendant une ouverture de session et pas le nom NetBIOS.
Définitions des objets et groupes de bases de données de propriétés du RAC
La base de données de propriétés du RAC contient des informations de configuration pour le RAC.
Les données sont organisées par objet associé et les objets sont organisés par groupe d'objet. Les ID des groupes et objets associés à Active Directory pris en charge par la base de données de propriétés sont énumérées dans cette section.
Les ID de groupes et d'objets permettent à l'utilitaire racadm de configurer et extraire les données du RAC. Les définitions suivantes spécifient des données d'objet et indiquent si l'objet peut être lu, écrit ou les deux.
Les sous-sections suivantes décrivent la nouvelle section cfgActiveDirectory, ainsi que les objets membres et les nouveaux objets dans les sections d'ouverture de session cfgLanNetworkinget cfgCurrentLanNetworking.
cfgActiveDirectory
Ce groupe contient des paramètres que vous pouvez utiliser pour configurer la fonctionnalité Active Directory du RAC.
cfgADRacDomain (lecture/écriture)
Valeurs légales
Toute chaîne de texte imprimable sans espace. La longueur est limitée à 254 caractères.
Par défaut
(vide)
Description
Le domaine Active Directory dans lequel le RAC réside.
cfgADRacName (lecture/écriture)
Valeurs légales
Toute chaîne de texte imprimable sans espace. La longueur est limitée à 254 caractères.
Par défaut
(vide)
Description
Le nom du RAC comme enregistré dans la forêt Active Directory.
cfgADEnable (lecture/écriture)
Valeurs légales
1 ou 0 (True ou False)
Par défaut
0
Description
1=True
Active l'authentification Active Directory.
0=False
Active l'authentification du RAC locale seulement.
cfgADAuthTimeout (lecture/écriture)
Valeurs légales
Nombre entier supérieur à 15
Par défaut
0x78 (120 secondes)
Description
Délai d'attente en secondes pour l'exécution de requêtes Active Directory.
REMARQUE : Tapez des valeurs hexadécimales.
cfgADRootDomain (lecture/écriture)
Valeurs légales
Toute chaîne de texte imprimable sans espace. La longueur est limitée à 254 caractères.
Par défaut
(vide)
Description
Le domaine racine de la forêt de domaine.
cfgLanNetworking
Ce groupe contient les paramètres utilisés pour configurer l'interface de carte réseau du RAC.
Une instance de groupe est autorisée. Tous les objets dans ce groupe exigent une réinitialisation du RAC avant de devenir effectifs. Les sous-sections suivantes décrivent les nouveaux objets qui ont été ajoutés dans ce groupe.
REMARQUE : Consultez le Guide d'utilisation Dell Remote Access Controller Racadm pour de plus
amples informations sur les objets existants dans ce groupe.
cfgDNSServersFromDHCP (lecture/écriture)
Valeurs légales
Booléen, 1 ou 0 (True ou False).
Par défaut
0
Description
Récupère des adresses de serveur DNS à partir du serveur DHCP.
cfgDNSServer1 (lecture/écriture)
Valeurs légales
N'importe quelle adresse IP légale.
Par défaut
192.168.0.5
Description
Récupère l'adresse IP pour le serveur DNS 1.
REMARQUE : Ce paramètre est valide seulement si le paramètre cfgDNSServersFromDHCP est
défini sur 0 (False).
cfgDNSServer2 (lecture/écriture)
Valeurs légales
N'importe quelle adresse IP légale.
Par défaut
192.168.0.6
Description
Récupère l'adresse IP pour le serveur DNS 2.
REMARQUE : Ce paramètre est valide seulement si le paramètre cfgDNSServersFromDHCP est
défini sur 0 (False).
cfgCurrentLanNetworking
Ce groupe contient les paramètres qui sont actuellement utilisés par l'interface de carte réseau du RAC.
Une instance de groupe est autorisée. Les sous-sections suivantes décrivent les nouveaux objets qui ont été ajoutés dans ce groupe.
REMARQUE : Consultez le Guide d'utilisation Dell Remote Access Controller Racadm pour de plus
amples informations sur les objets existants dans ce groupe.
cfgDNSCurrentServer1 (lecture seule)
Description
L'adresse IP courante utilisée pour le Serveur DNS 1.
cfgDNSCurrentServer2 (lecture seule)
Description
L'adresse IP courante utilisée pour le Serveur DNS 2.
