Retour à la page du sommaire

Utilisation de CMC avec Microsoft Active Directory

Micrologiciel Dell™ Chassis Management Controller
Guide d'utilisation de la version 2.10

  Extensions de schéma Active Directory

  Présentation du schéma étendu

  Présentation d'Active Directory avec le schéma standard

  Questions les plus fréquentes

  Configuration de la connexion directe

  Configuration système requise

  Configuration des paramètres

  Configuration de l'authentification bifactorielle par carte à puce

Un service de répertoire permet de maintenir une base de données commune rassemblant toutes les informations nécessaires au contrôle des utilisateurs réseau, des ordinateurs, des imprimantes, etc. Si votre entreprise utilise le logiciel de service Microsoft® Active Directory®, vous pouvez configurer ce dernier pour offrir un accès à CMC. Cela vous permet d'ajouter et de contrôler les privilèges utilisateur de CMC pour vos utilisateurs existants dans votre logiciel Active Directory.

REMARQUE : L'utilisation d'Active Directory pour reconnaître les utilisateurs CMC est prise en charge par les systèmes d'exploitation Microsoft Windows® 2000 et Windows Server® 2003. Active Directory sur IPv6 est pris en charge uniquement sous Windows 2008.

Extensions de schéma Active Directory

Vous pouvez utiliser Active Directory pour définir l'accès utilisateur sur CMC selon deux méthodes :

• La solution de schéma étendu, qui utilise des objets Active Directory définis par Dell.
  
  
• La solution de schéma standard, qui utilise uniquement des objets du groupe Active Directory.
  
  

Schéma étendu et schéma standard

Lorsque vous utilisez Active Directory pour configurer l'accès à CMC, vous devez choisir soit le schéma étendu, soit le schéma standard.

Avec le schéma étendu :

• Tous les objets de contrôle d'accès sont maintenus dans Active Directory.
  
  
• La configuration de l'accès utilisateur sur des contrôleurs CMC différents avec des niveaux de privilège différents permet une flexibilité maximale.
  
  

Avec le schéma standard :

• Aucune extension de schéma n'est nécessaire, car le schéma standard n'utilise que des objets Active Directory.
  
  
• La configuration d'Active Directory est aisée.
  
  

Présentation du schéma étendu

Il existe deux méthodes pour activer Active Directory avec le schéma étendu :

• Utilisation de l'interface Web de CMC. Pour plus d'instructions, voir « Configuration de CMC avec le schéma étendu d'Active Directory et l'interface Web ».
  
  
• Utilisation de l'interface de ligne de commande RACADM. Pour plus d'instructions, voir « Configuration de CMC avec le schéma étendu d'Active Directory et RACADM ».
  
  

Extensions de schéma Active Directory

Les données d'Active Directory constituent une base de données distribuée d'attributs et de classes. Le schéma d'Active Directory inclut les règles qui déterminent le type de données peuvent être ajoutées ou incluses dans la base de données.

La classe d'utilisateur est un exemple de classe qui est conservée dans la base de données. Les attributs de classe d'utilisateur peuvent inclure le prénom de l'utilisateur, son nom de famille, son numéro de téléphone, etc.

Vous pouvez étendre la base de données d'Active Directory en y ajoutant vos propres attributs et classes pour répondre aux besoins de l'environnement de votre entreprise. Dell a étendu ce schéma pour inclure les modifications nécessaires à la prise en charge de l'authentification et de l'autorisation de la gestion à distance.

Chaque attribut ou classe ajouté à un schéma d'Active Directory existant peut être défini par un ID unique. Pour maintenir des numéros uniques dans l'industrie, Microsoft conserve une base de données d'identifiants d'objets (OID) d'Active Directory. Pour étendre le schéma dans Active Directory de Microsoft, Dell a créé des OID uniques, des extensions de noms uniques et des numéros d'attributs liés de façon unique pour des attributs et classes spécifiques à Dell :

Extension de Dell : dell

OID de base de Dell : 1.2.840.113556.1.8000.1280

Plage de n° d'association RAC : 12070–2079

Présentation des extensions de schéma du RAC

Dell fournit un groupe de propriétés que vous pouvez configurer. Le schéma étendu par Dell inclut les propriétés Association, Périphérique et Privilège.

La propriété Association lie les utilisateurs ou les groupes à un ensemble spécifique de privilèges pour un ou plusieurs périphériques RAC. Ce modèle offre à l'administrateur un maximum de flexibilité sur les différentes combinaisons d'utilisateurs, de privilèges du RAC et de périphériques RAC sur le réseau, sans ajouter trop de complexité.

Aperçu des objets Active Directory

Lorsque le réseau que vous voulez intégrer avec Active Directory pour l'authentification et l'autorisation comprend deux CMC, vous devez créer au moins un objet Association et un objet Périphérique RAC pour chaque CMC. Vous pouvez créer plusieurs objets Association et chaque objet Association peut être lié à autant d'utilisateurs, groupes d'utilisateurs ou objets Périphérique RAC que nécessaire. Les utilisateurs et les objets Périphérique RAC peuvent être des membres de n'importe quel domaine dans l'entreprise.

Cependant, chaque objet Association ne peut être lié (ou ne peut lier les utilisateurs, les groupes d'utilisateurs ou les objets Périphérique RAC) qu'à un seul objet Privilège. Cet exemple permet à l'administrateur de contrôler les privilèges de chaque utilisateur sur des CMC spécifiques.

L'objet Périphérique RAC est le lien vers le micrologiciel du RAC permettant à Active Directory d'effectuer une requête d'authentification et d'autorisation. Lorsqu'un RAC est ajouté au réseau, l'administrateur doit configurer le RAC et son objet de périphérique avec son nom Active Directory pour que les utilisateurs puissent établir l'authentification et l'autorisation avec Active Directory. En outre, l'administrateur doit ajouter le RAC à au moins un objet Association pour que les utilisateurs puissent s'authentifier.

La Figure 7-1 illustre le fait que l'objet Association fournit la connexion nécessaire pour toute authentification et autorisation.

REMARQUE : L'objet Privilège RAC s'applique à DRAC 4, DRAC 5 et à CMC.

Vous pouvez créer autant d'objets Association que vous le voulez. Vous devez toutefois créer au moins un objet Association et avoir un objet Périphérique RAC pour chaque RAC (CMC) présent sur le réseau que vous voulez intégrer à Active Directory.

Figure 7-1. Configuration typique pour les objets Active Directory

L'objet Association inclut autant d'utilisateurs et/ou de groupes que d'objets Périphérique RAC. Toutefois, l'objet Association ne peut inclure qu'un objet Privilège par objet Association. L'objet Association connecte les « Utilisateurs » qui ont des « Privilèges » sur les contrôleurs RAC (CMC).

En outre, vous pouvez configurer des objets Active Directory dans un domaine unique ou dans des domaines multiples. Par exemple, supposons que vous avez deux contrôleurs CMC (RAC1 et RAC2) et trois utilisateurs Active Directory existants (utilisateur1, utilisateur2 et utilisateur3). Vous voulez donner des privilèges d'administrateur à utilisateur1 et à utilisateur2 sur les deux CMC et des privilèges d'ouverture de session à utilisateur3 sur la carte RAC2. Figure 7-2 montre comment configurer les objets Active Directory dans ce scénario.

Lorsque vous ajoutez des groupes universels à partir de domaines séparés, créez un objet Association avec une étendue universelle. Les objets Association par défaut créés par l'utilitaire Dell Schema Extender sont des groupes locaux de domaines et ne fonctionnent pas avec les groupes universels d'autres domaines.

Figure 7-2. Définition d'objets Active Directory dans un domaine unique

Pour configurer les objets pour le scénario de domaine unique :

1. Créez deux objets Association.
   
   
2. Créez deux objets Périphérique RAC, RAC1 et RAC2, pour représenter les deux CMC.
   
   
3. Créez deux objets Privilège, Priv1 et Priv2 ; Priv1 disposant de tous les privilèges (administrateur) et Priv2 disposant des privilèges d'ouverture de session.
   
   
4. Groupez Utilisateur1 et Utilisateur2 dans le Groupe1.
   
   
5. Ajoutez Groupe1 comme membre de l'objet Association 1 (A01), Priv1 comme objet Privilège dans A01, et RAC1 et RAC2 comme périphériques RAC dans A01.
   
   
6. Ajoutez Utilisateur3 comme membre de l'objet Association 2 (A02), Priv2 comme objet Privilège dans A02 et RAC2 comme périphérique RAC dans A02.
   
   

Pour des instructions détaillées, voir « Ajout d'utilisateurs CMC et de leurs privilèges à Active Directory ».

Figure 7-3 fournit un exemple d'objets Active Directory dans de multiples domaines. Dans ce scénario, vous avez deux CMC (RAC1 et RAC2) et trois utilisateurs Active Directory existants (utilisateur1, utilisateur2 et utilisateur3). Utilisateur1 est dans le Domaine1 ; Utilisateur2 et Utilisateur3 sont dans le Domaine2. Dans ce scénario, configurez utilisateur1 et utilisateur2 avec les droits d'administrateur sur les deux CMC et configurez utilisateur3 avec les privilèges d'ouverture de session sur la carte RAC2.

Figure 7-3. Configuration des objets Active Directory dans des domaines multiples

Pour configurer les objets pour le scénario de domaine multiple :

1. Assurez-vous que la fonction de forêt de domaines est en mode Natif ou Windows 2003.
   
   
2. Créez deux objets Association, A01 (d'étendue universelle) et A02, dans n'importe quel domaine.
   
   

Figure 7-3 illustre les objets du Domaine2.

3. Créez deux objets Périphérique RAC, RAC1 et RAC2, pour représenter les deux CMC.
   
   
4. Créez deux objets Privilège, Priv1 et Priv2 ; Priv1 disposant de tous les privilèges (administrateur) et Priv2 disposant des privilèges d'ouverture de session.
   
   
5. Groupez Utilisateur1 et Utilisateur2 dans le Groupe1. L'étendue de groupe de Groupe1 doit être Universel.
   
   
6. Ajoutez Groupe1 comme membre de l'objet Association 1 (A01), Priv1 comme objet Privilège dans A01, et RAC1 et RAC2 comme périphériques RAC dans A01.
   
   
7. Ajoutez Utilisateur3 comme membre de l'objet Association 2 (A02), Priv2 comme objet Privilège dans A02 et RAC2 comme périphérique RAC dans A02.
   
   

Configuration du schéma étendu d'Active Directory pour accéder à votre CMC

Avant d'utiliser Active Directory pour accéder à votre CMC, configurez le logiciel Active Directory et CMC :

1. Étendez le schéma Active Directory (voir « Extension du schéma Active Directory »).
   
   
2. Développez le snap-in Utilisateurs et ordinateurs Active Directory (voir « Installation de l'extension Dell sur le snap-in Utilisateurs et ordinateurs Active Directory »).
   
   
3. Ajoutez des utilisateurs CMC et leurs privilèges dans Active Directory (voir « Ajout d'utilisateurs CMC et de leurs privilèges à Active Directory »).
   
   
4. Activez SSL sur chaque contrôleur de domaine.
   
   
5. Configurez les propriétés Active Directory CMC via l'interface Web CMC ou la RACADM (voir « Configuration de CMC avec le schéma étendu d'Active Directory et l'interface Web » ou « Configuration de CMC avec le schéma étendu d'Active Directory et RACADM »).
   
   

Extension du schéma Active Directory

En étendant le schéma Active Directory, vous ajoutez une unité d'organisation Dell, des classes et des attributs de schéma, et des exemples d'objets Privilège et Association au schéma Active Directory. Pour étendre le schéma, vous devez avoir des privilèges d'administrateur de schéma pour le propriétaire de rôle FSMO contrôleur de schéma de la forêt de domaine.

Vous pouvez étendre votre schéma en utilisant une des méthodes suivantes :

• l'utilitaire Dell Schema Extender ;
  
  
• le fichier script LDIF.
  
  

Si vous utilisez le fichier script LDIF, l'unité organisationnelle Dell ne sera pas ajoutée au schéma.

Les fichiers LDIF et Dell Schema Extender sont situés sur votre DVD Dell Systems Management Tools and Documentation respectivement dans les répertoires suivants :

• <lecteur de DVD>:\SYSMGMT\ManagementStation\support\
  OMActiveDirectory_Tools\<type d'installation>\LDIF Files
  
  
• <lecteur de DVD>:\SYSMGMT\ManagementStation\support\
  OMActiveDirectory_Tools\<type d'installation>\Schema Extender
  
  

Pour utiliser les fichiers LDIF, reportez-vous aux instructions du fichier lisez-moi qui se trouve dans le répertoire LDIF_Files. Pour obtenir des instructions sur l'utilisation de Dell Schema Extender pour étendre le schéma Active Directory, voir « Utilisation de Dell Schema Extender ».

Vous pouvez copier et exécuter Schema Extender ou les fichiers LDIF depuis n'importe quel emplacement.

Utilisation de Dell Schema Extender

PRÉCAUTION : L'utilitaire Dell Schema Extender utilise le fichier SchemaExtenderOem.ini. Pour que l'utilitaire Dell Schema Extender fonctionne normalement, ne changez pas le nom de ce fichier.

1. Dans l'écran Bienvenue, cliquez sur Suivant.
   
   
2. Lisez et saisissez l'avertissement, puis cliquez sur Suivant.
   
   
3. Sélectionnez Utiliser les références d'ouverture de session actuelles ou saisissez un nom d'utilisateur et un mot de passe ayant des droits d'administrateur de schéma.
   
   
4. Cliquez sur Suivant pour exécuter Dell Schema Extender.
   
   
5. Cliquez sur Terminer.
   
   

Le schéma est étendu. Pour vérifier l'extension de schéma, utilisez la console de gestion de Microsoft (MMC) et le snap-in du schéma Active Directory pour vérifier ce qui suit :

• Classes : voir Tableau 7-1 à Tableau 7-6
  
  
• Attributs : voir Tableau 7-7
  
  

Consultez votre documentation Microsoft pour des informations supplémentaires sur comment activer et utiliser le snap-in du schéma Active Directory MMC.

Tableau 7-1. Définitions de classe pour les classes ajoutées au schéma
Active Directory 

Tableau 7-2. Classe dellRacDevice

Tableau 7-3. Classe dellAssociationObject

Tableau 7-4. Classe dellRAC4Privileges

Tableau 7-5. Classe dellPrivileges

Tableau 7-6. Classe dellProduct

Tableau 7-7. Liste des attributs ajoutés au schéma Active Directory 

Installation de l'extension Dell sur le snap-in Utilisateurs et ordinateurs Active Directory

Lorsque vous étendez le schéma dans Active Directory, vous devez également développer le snap-in Utilisateurs et ordinateurs Active Directory pour que l'administrateur puisse gérer les périphériques RAC (CMC), les utilisateurs et les groupes d'utilisateurs, les associations RAC et les privilèges RAC.

Lorsque vous installez Systems Management Software à l'aide du DVD Dell Systems Management Tools and Documentation, vous pouvez étendre le snap-in en sélectionnant l'option Extension Dell sur le snap-in Utilisateurs et ordinateurs Active Directory lors de la procédure d'installation. Consultez le Guide d'installation rapide du logiciel Dell OpenManage pour des instructions supplémentaires sur l'installation du logiciel Systems Management.

Pour plus d'informations sur le snap-in Utilisateurs et ordinateurs Active Directory, voir la documentation Microsoft.

Installation du pack administrateur

Vous devez installer le pack administrateur sur tous les systèmes qui gèrent les objets CMC d'Active Directory. Si vous n'installez pas le pack administrateur, vous ne pouvez pas visualiser l'objet RAC Dell dans le conteneur.

Ouverture du snap-in Utilisateurs et ordinateurs
Active Directory

Pour ouvrir le snap-in Utilisateurs et ordinateurs Active Directory :

1. Si vous êtes connecté au contrôleur de domaine, cliquez sur Démarrer Outils d'administration→ Utilisateurs et ordinateurs Active Directory.
   
   

Si vous n'avez pas ouvert une session sur le contrôleur de domaine, la version appropriée du pack administrateur Microsoft doit être installée sur votre système local. Pour installer ce pack administrateur, cliquez sur Démarrer→ Exécuter, tapez MMC et appuyez sur <Entrée>.

Ceci ouvre la console de gestion Microsoft (MMC).

2. Dans la fenêtre Console 1, cliquez sur Fichier (ou sur Console sur les systèmes exécutant Windows 2000).
   
   
3. Cliquez sur Ajouter/Supprimer un snap-in.
   
   
4. Sélectionnez le snap-in Utilisateurs et ordinateurs Active Directory, puis cliquez sur Ajouter.
   
   
5. Cliquez sur Fermer et cliquez sur OK.
   
   

Ajout d'utilisateurs CMC et de leurs privilèges à Active Directory

Le snap-in Utilisateurs et ordinateurs Active Directory étendu par Dell vous permet d'ajouter des utilisateurs CMC et des privilèges en créant des objets RAC, Association et Privilège. Pour ajouter chaque type d'objet, vous
devez :

1. Créer un objet Périphérique RAC.
   
   
2. Créer un objet Privilège.
   
   
3. Créer un objet Association.
   
   
4. Ajouter des objets à un objet Association.
   
   

Création d'un objet Périphérique RAC

1. Dans la fenêtre Racine de la console MMC, effectuez un clic droit sur un conteneur.
   
   
2. Sélectionnez Nouveau→ Objet RAC Dell.
   
   

La fenêtre Nouvel objet apparaît.

3. Tapez un nom pour le nouvel objet. Ce nom doit être identique au nom CMC que vous saisirez à l'étape 8a de « Configuration de CMC avec le schéma étendu d'Active Directory et l'interface Web ».
   
   
4. Sélectionnez Objet Périphérique RAC.
   
   
5. Cliquez sur OK.
   
   

Création d'un objet Privilège

REMARQUE : Un objet Privilège doit être créé dans le même domaine que l'objet Association associé.

1. Dans la fenêtre Racine de la console MMC, effectuez un clic droit sur un conteneur.
   
   
2. Sélectionnez Nouveau→ Objet RAC Dell.
   
   

La fenêtre Nouvel objet apparaît.

3. Tapez un nom pour le nouvel objet.
   
   
4. Sélectionnez Objet Privilège.
   
   
5. Cliquez sur OK.
   
   
6. Effectuez un clic droit sur l'objet Privilège que vous avez créé et sélectionnez Propriétés.
   
   
7. Cliquez sur l'onglet Privilèges RAC et sélectionnez les privilèges que vous souhaitez attribuer à l'utilisateur. Pour plus d'informations sur les privilèges utilisateur CMC, voir « Types d'utilisateurs ».
   
   

Création d'un objet Association

L'objet Association est dérivé d'un groupe et doit contenir un type de groupe. L'étendue de l'association spécifie le type de groupe de sécurité pour l'objet Association. Quand vous créez un objet Association, vous devez choisir l'étendue de l'association qui s'applique au type d'objet que vous avez l'intention d'ajouter.

Par exemple, si vous sélectionnez Universel, les objets Association sont uniquement disponibles lorsque le domaine d'Active Directory fonctionne en mode natif ou supérieur.

1. Dans la fenêtre Racine de la console MMC, effectuez un clic droit sur un conteneur.
   
   
2. Sélectionnez Nouveau→ Objet RAC Dell.
   
   

Cela ouvre la fenêtre Nouvel objet.

3. Tapez un nom pour le nouvel objet.
   
   
4. Sélectionnez Objet Association.
   
   
5. Sélectionnez l'étendue de l'objet Association.
   
   
6. Cliquez sur OK.
   
   

Ajout d'objets à un objet Association

En utilisant la fenêtre Propriétés de l'objet Association, vous pouvez associer des utilisateurs, des groupes d'utilisateurs, des objets Privilège et des périphériques RAC ou des groupes de périphériques RAC. Si votre système s'exécute sous Windows 2000 ou supérieur, utilisez les groupes universels pour répartir sur des domaines vos utilisateurs ou vos objets RAC.

Vous pouvez ajouter des groupes d'utilisateurs et de périphériques RAC. La procédure de création de groupes associés à Dell et de groupes non associés à Dell est identique.

Ajout d'utilisateurs ou de groupes d'utilisateurs

1. Effectuez un clic droit sur l'objet Association et sélectionnez Propriétés.
   
   
2. Sélectionnez l'onglet Utilisateurs et cliquez sur Ajouter.
   
   
3. Tapez le nom de l'utilisateur ou du groupe d'utilisateurs et cliquez sur OK.
   
   

Cliquez sur l'onglet Objet Privilège pour ajouter l'objet Privilège à l'association qui définit les privilèges de l'utilisateur ou du groupe d'utilisateurs durant l'authentification auprès d'un périphérique RAC. Vous ne pouvez ajouter qu'un seul objet Privilège à un objet Association.

Ajout de privilèges

1. Sélectionnez l'onglet Objet Privilèges et cliquez sur Ajouter.
   
   
2. Tapez le nom de l'objet Privilège et cliquez sur OK.
   
   

Cliquez sur l'onglet Produits pour ajouter un ou plusieurs périphériques RAC à l'association. Les périphériques associés spécifient les périphériques RAC connectés au réseau qui sont disponibles pour les utilisateurs ou les groupes d'utilisateurs définis. Vous pouvez ajouter plusieurs périphériques RAC à un objet Association.

Ajout de périphériques RAC ou de groupes de périphériques RAC

Pour ajouter des périphériques RAC ou des groupes de périphériques RAC :

1. Sélectionnez l'onglet Produits et cliquez sur Ajouter.
   
   
2. Tapez le nom du périphérique RAC ou du groupe de périphériques RAC et cliquez sur OK.
   
   
3. Dans la fenêtre Propriétés, cliquez sur Appliquer, puis sur OK.
   
   

Configuration de CMC avec le schéma étendu d'Active Directory et l'interface Web

1. Connectez-vous à l'interface Web CMC.
   
   
2. Sélectionnez Chassis (Châssis) dans l'arborescence.
   
   
3. Cliquez sur l'onglet Réseau/Sécurité, puis sur le sous-onglet Active Directory. La page Menu principal d'Active Directory s'affiche.
   
   
4. Sélectionnez le bouton radio Configurer, puis cliquez sur Suivant. La page Configuration et gestion d'Active Directory apparaît.
   
   
5. Dans la section Paramètres communs :
   
   
   1. Cochez la case Activer Active Directory.
      
      
   2. Tapez le nom de domaine racine. Le nom de domaine racine est le nom de domaine racine pleinement qualifié de la forêt.
      
      

REMARQUE : Le nom de domaine racine doit être un nom de domaine valide qui respecte la convention d'attribution des noms x.y, où x est une chaîne ASCII de 1 à 256 caractères sans espace, et où y est un type de domaine valide tel que com, edu, gov, int, mil, net ou org.

3. Tapez le Délai d'attente en secondes. Plage de configuration : 15 à 300 secondes. Par défaut : 90 secondes
   
   
6. Facultatif : si vous voulez que l'appel dirigé recherche le contrôleur de domaine et le catalogue global, cochez la case Chercher le serveur AD à rechercher (facultatif), puis :
   
   
   1. Dans le champ de texte Contrôleur de domaine, tapez le nom du serveur sur lequel est installé le service Active Directory.
      
      
   2. Dans le champ de texte Catalogue global, tapez l'emplacement du catalogue global sur le contrôleur de domaine d'Active Directory. Le catalogue global fournit une ressource pour rechercher une forêt Active Directory.
      
      

REMARQUE : La définition de l'adresse IP 0.0.0.0 désactive la recherche d' un serveur par CMC.

REMARQUE : Vous pouvez spécifier une liste de serveurs de contrôleur de domaine ou de catalogue global séparés par des virgules. CMC vous permet de spécifier jusqu'à trois adresses IP ou noms d'hôte.

REMARQUE : Les serveurs de contrôleur de domaine ou de catalogue global qui ne sont pas correctement configurés pour tous les domaines et applications peuvent produire des résultats inattendus au cours du fonctionnement des applications/domaines existants.

7. Sélectionnez le bouton radio Utiliser le schéma étendu dans la zone Sélection du schéma d'Active Directory.
   
   
8. Dans la section Paramètres du schéma étendu :
   
   
   1. Tapez le nom CMC. Le nom CMC identifie de manière unique la carte CMC dans Active Directory. Le nom CMC doit être identique au nom de domaine du nouvel objet CMC que vous avez créé dans votre contrôleur de domaine. Le nom CMC doit être une chaîne ASCII de 1 à 256 caractères sans espace.
      
      
   2. Tapez le nom de domaine CMC (exemple : cmc.com). Le nom de domaine CMC est le nom DNS (chaîne) du domaine sur lequel réside l'objet CMC d'Active Directory. Le nom doit être un nom de domaine valide sous la forme x.y, où x est une chaîne ASCII de 1 à 256 caractères sans espace entre les caractères, et où y est un type de domaine valide comme com, edu, gov, int, mil, net ou org.
      
      
9. Cliquez sur Appliquer pour enregistrer vos paramètres.
   
   

REMARQUE : Vous devez appliquer vos paramètres avant de passer à l'étape suivante, au cours de laquelle vous allez accéder à une autre page. Si vous n'appliquez pas les paramètres, vous perdrez les paramètres que vous avez saisis lorsque vous naviguerez vers la page suivante.

10. Cliquez sur Retourner au menu principal d'Active Directory.
    
    
11. Sélectionnez le bouton radio Téléverser le certificat AD, puis cliquez sur Suivant. La page Téléversement d'un certificat apparaît.
    
    
12. Tapez le chemin d'accès au certificat dans le champ de texte ou cliquez sur Parcourir pour sélectionner le fichier du certificat.
    
    

REMARQUE : La valeur Chemin d'accès au fichier affiche le chemin de fichier relatif du certificat que vous téléversez. Vous devez entrer le chemin de fichier absolu, y compris le chemin et le nom de fichier complets et l'extension du fichier.

Les certificats SSL du contrôleur de domaine doivent être signés par l'autorité de certification racine. Le certificat signé par l'autorité de certification racine doit être disponible sur la station de gestion accédant à CMC.

13. Cliquez sur Appliquer. Le serveur Web CMC redémarre automatiquement lorsque vous cliquez sur Appliquer.
    
    
14. Ouvrez à nouveau une session dans l'interface Web CMC.
    
    
15. Sélectionnez Châssis dans l'arborescence du système, cliquez sur l'onglet Réseau/Sécurité, puis cliquez sur le sous-onglet Réseau. La page Configuration réseau s'affiche.
    
    
16. Si Utiliser DHCP (pour l'adresse IP du NIC) est activé (coché), effectuez l'une des opérations suivantes :
    
    
    • Sélectionnez Utiliser DHCP pour obtenir des adresses de serveur DNS pour que le serveur DHCP puisse obtenir automatiquement les adresses du serveur DNS, ou
      
      
    • Configurez manuellement une adresse IP de serveur DNS en laissant la case Utiliser DHCP pour obtenir des adresses de serveur DNS décochée puis en tapant vos adresses IP de serveur DNS principal et d'autre serveur DNS dans les champs fournis à cet effet.
      
      
17. Cliquez sur Appliquer les modifications.
    
    

La configuration de la fonctionnalité Active Directory CMC avec schéma étendu est terminée.

Configuration de CMC avec le schéma étendu d'Active Directory et RACADM

Utilisez les commandes suivantes pour configurer la fonctionnalité Active Directory CMC avec le schéma étendu via l'outil d'interface de ligne de commande RACADM plutôt que via l'interface Web.

1. Ouvrez une console texte série/Telnet/SSH d'accès à CMC, ouvrez une session et tapez :
   
   

racadm config -g cfgActiveDirectory -o cfgADEnable 1

racadm config -g cfgActiveDirectory -o cfgADType 1

racadm config -g cfgActiveDirectory -o cfgADRacDomain <nom de domaine CMC pleinement qualifié>

racadm config -g cfgActiveDirectory -o cfgADRacDomain <nom de domaine rac pleinement qualifié>

racadm config -g cfgActiveDirectory -o cfgADRacName <nom de domaine CMC>

racadm sslcertupload -t 0x2 -f <certificat d'une autorité de certification racine ADS> -r

REMARQUE : Vous pouvez utiliser cette commande via la RACADM distante uniquement.

racadm sslcertdownload -t 0x1 -f <certificat SSL CMC>

REMARQUE : Vous pouvez utiliser cette commande via la RACADM distante uniquement.

Facultatif : Si vous voulez spécifier un serveur LDAP ou de catalogue global au lieu d'utiliser les serveurs renvoyés par le serveur DNS pour rechercher un nom d'utilisateur, tapez la commande suivante pour activer l'option Spécifier un serveur :

racadm config -g cfgActiveDirectory -o cfgADSpecifyServerEnable 1

REMARQUE : Lorsque vous utilisez l'option Spécifier un serveur, le nom d'hôte figurant dans le certificat signé par l'autorité de certification ne correspond pas au nom du serveur spécifié. Ceci est particulièrement utile si vous êtes un administrateur CMC car cela vous permet de saisir un nom d'hôte et une adresse IP.

Après avoir activé l'option Spécifier un serveur, vous pouvez spécifier un serveur LDAP et un catalogue global avec les adresses IP ou les noms de domaine complets (FQDN) des serveurs. Les FQDN se composent des noms d'hôte et des noms de domaine des serveurs.

Pour spécifier un serveur LDAP, tapez :

racadm config -g cfgActiveDirectory -o cfgADDomainController <Adresse IP du contrôleur de domaine AD>

Pour spécifier un serveur de catalogue global, tapez :

racadm config -g cfgActiveDirectory -o cfgADGlobalCatalog <Adresse IP du catalogue global AD>

REMARQUE : La définition de l'adresse IP 0.0.0.0 désactive la recherche d' un serveur par CMC.

REMARQUE : Vous pouvez spécifier une liste de serveurs LDAP ou de catalogue global séparés par des virgules. CMC vous permet de spécifier jusqu'à trois adresses IP ou noms d'hôte.

REMARQUE : Les LDAP qui ne sont pas correctement configurés pour tous les domaines et applications peuvent produire des résultats inattendus au cours du fonctionnement des applications/domaines existants.

2. Spécifiez un serveur DNS à l'aide de l'une des options suivantes :
   
   
   • Si DHCP est activé sur CMC et que vous voulez utiliser l'adresse DNS obtenue automatiquement par le serveur DHCP, tapez la commande suivante :
     
     

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1

• Si le protocole DHCP est désactivé sur CMC ou s'il est activé mais que vous voulez spécifier manuellement l'adresse IP DNS, tapez
  les commandes suivantes :
  
  

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0

racadm config -g cfgLanNetworking -o cfgDNSServer1 <adresse IP de DNS principale>

racadm config -g cfgLanNetworking -o cfgDNSServer2 <adresse IP de DNS secondaire>

La configuration de la fonctionnalité de schéma étendu est terminée.

Présentation d'Active Directory avec le schéma standard

L'utilisation du schéma étendu pour l'intégration d'Active Directory requiert une configuration sur Active Directory et sur CMC.

Du côté d'Active Directory, un objet de groupe standard est utilisé comme groupe de rôles. Un utilisateur ayant accès à CMC sera membre du groupe de rôles.

Pour donner à cet utilisateur accès à une carte CMC spécifique, le nom du groupe de rôles et son nom de domaine doivent être configurés sur cette carte CMC. Contrairement à la solution du schéma étendu, le niveau des rôles et des privilèges est défini sur chaque carte CMC et non pas dans Active Directory. Vous pouvez configurer et définir un maximum de cinq groupes de rôles sur chaque CMC. Tableau 5-19 présente le niveau de privilège des groupes de rôles et Tableau 7-8 illustre les paramètres par défaut des groupes de rôles.

Figure 7-4. Configuration de CMC avec Active Directory et le schéma standard

Tableau 7-8. Privilèges par défaut des groupes de rôles 

REMARQUE : Les valeurs de masque binaire sont utilisées uniquement lors de la définition du schéma standard avec RACADM.

REMARQUE : Pour plus d'informations sur les privilèges utilisateur, voir « Types d'utilisateurs ».

Il existe deux méthodes pour activer Active Directory avec le schéma standard :

• Avec l'interface Web de CMC. Voir « Configuration de CMC avec Active Directory avec schéma standard et l'interface Web ».
  
  
• Avec l'outil CLI?RACADM. Voir « Configuration de CMC avec Active Directory avec schéma standard et RACADM ».
  
  

Configuration du schéma standard d'Active Directory pour accéder à votre CMC

Vous devez suivre les étapes suivantes pour configurer Active Directory avant qu'un utilisateur Active Directory ne puisse accéder à CMC :

1. Sur un serveur Active Directory (contrôleur de domaine), ouvrez le snap-in Utilisateurs et ordinateurs d'Active Directory.
   
   
2. Créez un groupe ou sélectionnez un groupe existant. Le nom du groupe et le nom de ce domaine devront être configurés sur CMC via l'interface Web ou RACADM.
   
   

Pour plus d'informations, voir « Configuration de CMC avec Active Directory avec schéma standard et l'interface Web » ou « Configuration de CMC avec Active Directory avec schéma standard et RACADM ».

3. Ajoutez l'utilisateur Active Directory comme membre du groupe Active Directory pour avoir accès à CMC.
   
   

Configuration de CMC avec Active Directory avec schéma standard et l'interface Web 

1. Connectez-vous à l'interface Web CMC.
   
   
2. Sélectionnez Châssis dans l'arborescence du système.
   
   
3. Cliquez sur l'onglet Réseau/Sécurité, puis sur le sous-onglet Active Directory. La page Menu principal d'Active Directory s'affiche.
   
   
4. Sélectionnez l'option Configurer, puis cliquez sur Suivant. La page Configuration et gestion d'Active Directory apparaît.
   
   
5. Dans la section Paramètres communs :
   
   
   1. Sélectionnez la case à cocher Activer Active Directory.
      
      
   2. Tapez le nom de domaine RACINE. Le nom de domaine racine correspond au nom de domaine racine complet de la forêt.
      
      

REMARQUE : Le nom de domaine racine doit être un nom de domaine valide qui respecte la convention d'attribution des noms x.y, où x est une chaîne ASCII de 1 à 256 caractères sans espace, et où y est un type de domaine valide tel que com, edu, gov, int, mil, net ou org.

3. Tapez le Délai d'attente en secondes. Plage de configuration : 15 à 300 secondes. Par défaut : 90 secondes
   
   
6. Facultatif : Si vous voulez que l'appel dirigé recherche le contrôleur de domaine et le catalogue global, cochez la case Chercher sur le serveur AD (facultatif), puis :
   
   
   1. Dans le champ de texte Contrôleur de domaine, tapez le nom du serveur sur lequel est installé le service Active Directory.
      
      
   2. Dans le champ de texte Catalogue global, tapez l'emplacement du catalogue global sur le contrôleur de domaine d'Active Directory. Le catalogue global fournit une ressource pour rechercher une forêt Active Directory.
      
      
7. Cliquez sur Utiliser le schéma standard dans la section Sélection du schéma Active Directory.
   
   
8. Cliquez sur Appliquer pour enregistrer vos paramètres.
   
   

REMARQUE : Vous devez appliquer vos paramètres avant de passer à l'étape suivante, au cours de laquelle vous allez accéder à une autre page. Si vous n'appliquez pas les paramètres, vous perdrez les paramètres que vous avez saisis lorsque vous naviguerez vers la page suivante.

9. Dans la section Paramètres du schéma standard, cliquez sur un Groupe de rôles. La page Configurer le groupe de rôles s'affiche.
   
   
10. Saisissez le Nom du groupe. Le nom du groupe identifie le groupe de rôles dans l'Active Directory associé à la carte CMC.
    
    
11. Saisissez le Domaine du groupe. Le Domaine du groupe est le nom de domaine racine pleinement qualifié de la forêt.
    
    
12. Sélectionnez les privilèges du groupe dans la page Privilèges de groupes de rôles.
    
    

Si vous modifiez des privilèges, le privilège du groupe de rôles (administrateur, utilisateur privilégié ou utilisateur invité) existant deviendra celui du groupe personnalisé ou du groupe de rôles approprié. Reportez-vous à la Tableau 5-19.

13. Cliquez sur Appliquer pour enregistrer les paramètres Groupe de rôles.
    
    
14. Cliquez sur Retourner à la configuration et à la gestion d'Active Directory.
    
    
15. Cliquez sur Retourner au menu principal d'Active Directory.
    
    
16. Téléchargez votre certificat signé par une autorité de certification racine de la forêt de domaines sur CMC.
    
    
    1. Cochez la case Téléverser le certificat d'autorité de certification d'Active Directory, puis cliquez sur Suivant.
       
       
    2. Sur la page Téléchargement d'un certificat, tapez le chemin d'accès du fichier du certificat ou naviguez vers le fichier du certificat.
       
       

REMARQUE : La valeur Chemin d'accès au fichier affiche le chemin de fichier relatif du certificat que vous téléversez. Vous devez entrer le chemin de fichier absolu, y compris le chemin et le nom de fichier complets et l'extension du fichier.

Les certificats SSL des contrôleurs de domaine doivent être signés par le certificat signé par l'autorité de certification racine. Le certificat signé par l'autorité de certification racine doit être disponible sur la station de gestion accédant à CMC.

3. Cliquez sur Appliquer. Le serveur Web de CMC redémarre automatiquement lorsque vous cliquez sur Appliquer.
   
   
17. Fermez, puis ouvrez une session sur CMC pour terminer la configuration de la fonctionnalité Active Directory CMC.
    
    
18. Sélectionnez Châssis dans l'arborescence du système.
    
    
19. Cliquez sur l'onglet Réseau/Sécurité.
    
    
20. Cliquez sur le sous-onglet Réseau. La page Configuration réseau s'affiche.
    
    
21. Si Utiliser DHCP (pour l'adresse IP du NIC) est sélectionné sous Paramètres réseau, sélectionnez Utiliser DHCP pour obtenir l'adresse du serveur DNS.
    
    

Pour saisir manuellement l'adresse IP du serveur DNS, désélectionnez Utiliser DHCP pour obtenir des adresses de serveur DNS et tapez les adresses IP de serveur DNS principale et alternative.

22. Cliquez sur Appliquer les modifications.
    
    

La configuration de la fonctionnalité Active Directory CMC avec schéma standard est terminée.

Configuration de CMC avec Active Directory avec schéma standard et RACADM

Pour configurer la fonctionnalité Active Directory CMC avec le schéma standard à l'aide de l'interface de ligne de commande RACADM, utilisez les commandes suivantes :

1. Ouvrez une console texte série/Telnet/SSH d'accès à CMC, ouvrez une session et tapez :
   
   

racadm config -g cfgActiveDirectory -o cfgADEnable 1

racadm config -g cfgActiveDirectory -o cfgADType 2

racadm config -g cfgActiveDirectory -o cfgADRacDomain <nom de domaine rac pleinement qualifié>

racadm config -g cfgStandardSchema -i <index> -o cfgSSADRoleGroupName <nom de domaine du groupe de rôles>

racadm config -g cfgStandardSchema -i <index> -o cfgSSADRoleGroupDomain <nom de domaine pleinement qualifié>

racadm config -g cfgStandardSchema -i <index> -o cfgSSADRoleGroupPrivilege <numéro du masque binaire pour des droits d'utilisateur spécifiques>

racadm sslcertupload -t 0x2 -f <certificat CA racine ADS>

racadm sslcertdownload -t 0x1 -f <certificat SSL RAC>

REMARQUE : Pour connaître les valeurs de numéro du masque binaire, consultez le Tableau 3-1 du chapitre des propriétés de la base de données du Guide de  référence Administrateur de Dell Chassis Management Controller.

2. Spécifiez un serveur DNS à l'aide de l'une des options suivantes :
   
   
   • Si DHCP est activé sur CMC et que vous voulez utiliser l'adresse DNS obtenue automatiquement par le serveur DHCP, tapez la commande suivante :
     
     

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1

• Si le protocole DHCP est désactivé sur CMC ou que vous voulez entrer manuellement l'adresse IP DNS, tapez les commandes suivantes :
  
  

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0

racadm config -g cfgLanNetworking -o cfgDNSServer1 <adresse IP de DNS principale>

racadm config -g cfgLanNetworking -o cfgDNSServer2 <adresse IP de DNS secondaire>

Questions les plus fréquentes

Tableau 7-9 répertorie les questions les plus fréquentes et donne des réponses sur l'utilisation d'Active Directory avec CMC.

Tableau 7-9. Utilisation de CMC avec Active Directory : questions les plus fréquentes 

Configuration de la connexion directe

Microsoft^® Windows^® 2000, Windows XP, Windows Server^® 2003, Windows Vista^® et Windows Server 2008 peuvent utiliser Kerberos, un protocole d'authentification réseau, comme méthode d'authentification permettant aux utilisateurs qui se sont connectés au domaine de se connecter automatiquement ou directement à des applications ultérieures telles qu'Exchange.

Dès la version 2.10, CMC peut utiliser Kerberos pour prendre en charge deux types supplémentaires de mécanismes d'ouverture de session : la connexion directe et l'ouverture de session par carte à puce. Pour l'ouverture de session par connexion directe, CMC utilise les informations d'identification du système client, qui sont mises en mémoire cache par le système d'exploitation lorsque vous ouvrez une session avec un compte Active Directory^® valide.

REMARQUE : La sélection d'une méthode d'ouverture de session ne définit pas les attributs de règles par rapport à d'autres interfaces d'ouverture de session, par exemple SSH. Vous devez également définir d'autres attributs de règles pour les autres interfaces d'ouverture de session. Si vous souhaitez désactiver toutes les autres interfaces d'ouverture de session, naviguez vers la page Services et désactivez toutes (ou certaines) interfaces d'ouverture de session.

Configuration système requise

Pour utiliser l'authentification Kerberos, votre réseau doit inclure les éléments suivants :

• Serveur DNS
  
  
• Serveur Microsoft Active Directory^®
  
  

REMARQUE : REMARQUE : Si vous utilisez Active Directory sous Windows 2003, assurez-vous que les derniers service pack et les derniers correctifs sont bien installés sur le système client. Si vous utilisez Active Directory sous Windows 2008, vérifiez que vous avez bien installé SP1 avec les correctifs suivants : Windows6.0-KB951191-x86.msu pour l'utilitaire KTPASS. Sans ce correctif, l'utilitaire génère des fichiers keytab erronés. Windows6.0-KB957072-x86.msu pour utiliser les transactions GSS_API et SSL pendant une liaison LDAP.

• Centre de distribution de clés Kerberos (fourni avec le logiciel du serveur Active Directory Server)
  
  
• Serveur DHCP (recommandé)
  
  
• La zone inverse du serveur DNS doit comporter une entrée pour le serveur Active Directory et CMC
  
  

Systèmes clients

• Pour l'ouverture de session par carte à puce uniquement, Microsoft Visual C++ 2005 redistribuable doit être installé sur le système client. Pour plus d'informations, voir www.microsoft.com/downloads/details.aspx?FamilyID=32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en
  
  
• Pour la connexion directe et l'ouverture de session par carte à puce, le système client doit faire partie du domaine Active Directory et du royaume Kerberos.
  
  

CMC

• CMC doit comporter la version 2.10 du micrologiciel ou une version ultérieure
  
  
• Chaque CMC doit posséder un compte Active Directory
  
  
• CMC doit faire partie du domaine Active Directory et du royaume Kerberos 
  
  

Configuration des paramètres

Configuration requise

• Le royaume Kerberos et le centre de distribution de clés (KDC) pour Active Directory (AD) ont été configurés (ksetup).
  
  
• Une infrastructure NTP et DNS robuste pour éviter des problèmes relatifs à la dérive d'horloge et à la recherche inverse
  
  
• Le groupe de rôles CMC avec schéma standard avec membres autorisés
  
  

Configuration d'Active Directory

Dans la boîte de dialogue Propriétés CMC sous la section des options Comptes, configurez les paramètres suivants :

• Le compte est fiable pour la délégation : actuellement, CMC n'utilise pas les informations d'identification transférées qui sont créées lorsque cette option est sélectionnée. Vous pouvez ou non sélectionner cette option selon les besoins des autres services.
  
  
• Le compte est sensible et ne peut pas être délégué : vous pouvez ou non sélectionner cette option selon les besoins des autres services.
  
  
• Types de cryptage DES de l'utilisateur Kerberos pour le compte : sélectionnez cette option.
  
  
• Ne pas demander la pré-authentification Kerberos : ne sélectionnez pas cette option.
  
  

Exécuter l'utilitaire ktpass (partie de Microsoft Windows) sur le contrôleur de domaine (serveur Active Directory) sur lequel vous souhaitez mapper CMC à un compte utilisateur dans Active Directory. Par exemple,

C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:\krbkeytab

REMARQUE : cmcname.domainname.com doit être en minuscules comme requis par RFC et le nom du ROYAUME (@REALM_NAME) doit être en majuscules. CMC prend en outre en charge le type de cryptographie DES-CBC-MD5 pour l'authentification Kerberos.

Cette procédure génère un fichier keytab que vous devez téléverser sur CMC.

REMARQUE : Le fichier keytab contient une clé de cryptage et doit être conservé en lieu sûr. Pour plus d'informations sur l'utilitaire ktpass, consultez le site Web de Microsoft à l'adresse : technet2.microsoft.com/windowsserver/en/library/64042138-9a5a-4981-84e9- d576a8db0d051033.mspx?mfr=true.

Configuration du module CMC

REMARQUE : Les étapes de configuration décrites dans cette section s'appliquent uniquement à l'accès Web CMC.

Configurez CMC pour qu'il utilise le(s) groupe(s) de rôles avec schéma standard configuré(s) dans Active Directory. Pour plus d'informations, voir « Configuration du schéma standard d'Active Directory pour accéder à votre CMC ».

Téléversement du fichier keytab Kerberos

Le fichier keytab Kerberos sert d'informations d'authentification de nom d'utilisateur et de mot de passe CMC auprès du centre de données Kerberos (KDC), qui à son tour autorise l'accès à Active Directory. Chaque CMC du royaume Kerberos doit être enregistré auprès d'Active Directory et doit comporter un fichier keytab unique.

Pour téléverser le fichier keytab :

1. Naviguez vers Accès distant→ onglet Configuration→ sous-onglet Active Directory.
   
   
2. Sélectionnez Téléverser le fichier keytab Kerberos, puis cliquez sur Suivant.
   
   
3. Sur la page Téléversement du fichier keytab Kerberos, naviguez vers le dossier dans lequel vous avez enregistré le fichier keytab, puis cliquez sur Appliquer
   
   

Lorsque le téléversement est terminé, une zone de message apparaît, indiquant la réussite ou l'échec du téléversement.

4. Lorsque le téléversement du fichier keytab a été correctement effectué, cliquez sur Revenir au menu principal d'Active Directory.
   
   

Activation de la connexion directe

1. Naviguez vers l'onglet Sécurité réseau de Chassis Management Controller→ sous-onglet Active Directory et sélectionnez Configurer Active Directory.
   
   
2. Sur la page Configuration et gestion d'Active Directory, sélectionnez :
   
   
   • Connexion directe : cette option vous permet d'ouvrir une session sur CMC à l'aide des informations d'identification mises en mémoire cache obtenues lorsque vous ouvrez une session sur Active Directory.
     
     

REMARQUE : Toutes les interfaces hors bande de la ligne de commande, y compris Secure Shell (SSH), Telnet, série et la RACADM distante, restent inchangées pour cette option.

3. Défilez vers le bas de la page et cliquez sur Appliquer.
   
   

Vous pouvez tester Active Directory avec l'authentification Kerberos en utilisant la fonctionnalité de test des commandes de l'interface de ligne de commande.

Entrez :

testfeature -f adkrb -u <utilisateur>@<domaine>

où utilisateur correspond à un compte d'utilisateur Active Directory valide.

La réussite d'une commande indique que CMC est en mesure d'acquérir des informations d'identification Kerberos et d'accéder au compte Active Directory de l'utilisateur. En cas d'échec de la commande, résolvez l'erreur et répétez la commande. Pour plus d'informations, voir le Guide de référence de l'administrateur de Chassis Management Controller à l'adresse support.dell.com/manuals.

Configuration du navigateur pour l'ouverture de session par connexion directe

La connexion directe est prise en charge par les versions 6.0 et ultérieures d'Internet Explorer et par les versions 3.0 et ultérieures de Firefox.

REMARQUE : Les instructions suivantes s'appliquent uniquement si CMC utilise la connexion directe avec l'authentification Kerberos.

Internet Explorer

1. Dans Internet Explorer, sélectionnez Outils→ Options Internet.
   
   
2. Dans l'onglet Sécurité, sous Cliquez sur une zone pour afficher ou modifier les paramètres de sécurité, sélectionnez Intranet local.
   
   
3. Cliquez sur Sites.
   
   

La boîte de dialogue Intranet local s'affiche.

4. Cliquez sur Avancé.
   
   

La boîte de dialogue Intranet local s'affiche.

5. Dans Ajouter ce site Web à la zone, saisissez le nom de CMC et le domaine auquel il appartient, puis cliquez sur Ajouter.
   
   

REMARQUE : Vous pouvez utiliser un caractère générique (*) pour spécifier tous les périphériques/utilisateurs de ce domaine.

Mozilla Firefox

1. Dans Firefox, saisissez about:config dans la barre d'adresses.
   
   

REMARQUE : Si le navigateur affiche l'avertissement This might void your warranty (Ceci risque d'annuler votre garantie), cliquez sur Je ferai attention, promis !.

2. Dans la zone de texte Filtre, tapez negotiate.
   
   

Le navigateur affiche une liste des noms des préférences qui contiennent le terme negotiate uniquement.

3. Dans la liste, double-cliquez sur network.negotiate-auth.trusted-uris.
   
   
4. Dans la boîte de dialogue Saisir une valeur de chaîne, saisissez le nom de domaine CMC et cliquez sur OK.
   
   

Ouverture d'une session sur CMC avec la connexion directe

REMARQUE : Vous ne pouvez pas utiliser l'adresse IP pour ouvrir une session avec la connexion directe ou par carte à puce. Kerberos valide vos informations d'identification par rapport au nom de domaine pleinement qualifié (FQDN).

1. Ouvrez une session sur le système client avec votre compte réseau.
   
   
2. Accédez à la page Web CMC via
   
   

https://<nom_cmc.nom-domaine>

Par exemple, cmc-6G2WXF1.cmcad.lab

où cmc-6G2WXF1 correspond à nom_cmc

cmcad.lab à nom-domaine.

REMARQUE : Si vous avez changé le numéro de port HTTPS par défaut (port 80), accédez à la page Web CMC via <nom_cmc.nom-domaine:<numéro de port>, où nom_cmc correspond au nom d'hôte CMC de CMC, nom- domaine au nom du domaine et numéro de port au numéro de port HTTPS.

La page Connexion directe CMC s'affiche.

3. Cliquez sur Connexion.
   
   

CMC vous ouvre une session à l'aide des informations d'identification Kerberos qui ont été mises en mémoire cache par votre navigateur lorsque vous avez ouvert une session avec votre compte Active Directory valide. En cas d'échec de l'ouverture de session, le navigateur est redirigé vers la page d'ouverture de session CMC normale.

REMARQUE : Si vous n'avez pas ouvert de session sur le domaine Active Directory et que vous utilisez un navigateur autre qu'Internet Explorer, l'ouverture de session échoue et le navigateur affiche uniquement une page vide.

Configuration de l'authentification bifactorielle par carte à puce

Les schémas d'authentification standard utilisent le nom d'utilisateur et le mot de passe pour authentifier les utilisateurs. Pour sa part, l'authentification bifactorielle offre un niveau de sécurité supérieur en demandant aux utilisateurs d'avoir un mot de passe ou un code PIN et une carte physique comprenant une clé privée ou un certificat numérique. Kerberos, un protocole d'authentification réseau, utilise ce mécanisme d'authentification bifactorielle qui permet aux systèmes de prouver leur authenticité. Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008 utilisent Kerberos comme méthode d'authentification préférée. Dès la version 2.10, CMC peut utiliser Kerberos pour prendre en charge l'ouverture de session par carte à puce.

REMARQUE : La sélection d'une méthode d'ouverture de session ne définit pas les attributs de règles par rapport à d'autres interfaces d'ouverture de session, par exemple SSH. Vous devez également définir d'autres attributs de règles pour les autres interfaces d'ouverture de session. Si vous souhaitez désactiver toutes les autres interfaces d'ouverture de session, naviguez vers la page Services et désactivez toutes (ou certaines) interfaces d'ouverture de session.

Configuration système requise

Les « Configuration système requise » pour la carte à puce sont les mêmes que pour la connexion directe.

Configuration des paramètres

Les « Configuration requise » pour la carte à puce sont les mêmes que pour la connexion directe.

Configuration d'Active Directory

1. Configurez le royaume Kerberos et le centre de distribution de clés (KDC) pour Active Directory, s'ils ne sont pas déjà configurés (ksetup).
   
   

REMARQUE : Mettez en place une infrastructure NTP et DNS robuste pour éviter des problèmes relatifs à la dérive d'horloge et à la recherche inverse.

2. Créez des utilisateurs Active Directory pour chaque CMC, configurés pour utiliser le cryptage DES Kerberos, mais non la préauthentification.
   
   
3. Enregistrez les utilisateurs CMC auprès du centre de distribution de clés avec Ktpass (ceci génère également une clé pour le téléversement sur CMC).
   
   

Configuration du module CMC

REMARQUE : Les étapes de configuration décrites dans cette section s'appliquent uniquement à l'accès Web CMC.

Configurez CMC pour qu'il utilise le(s) groupe(s) de rôles avec schéma standard configuré(s) dans Active Directory. Pour plus d'informations, voir « Configuration du schéma standard d'Active Directory pour accéder à votre CMC ».

Téléversement du fichier keytab Kerberos

Le fichier keytab Kerberos sert d'informations d'authentification de nom d'utilisateur et de mot de passe CMC auprès du centre de données Kerberos (KDC), qui à son tour autorise l'accès à Active Directory. Chaque CMC du royaume Kerberos doit être enregistré auprès d'Active Directory et doit comporter un fichier keytab unique.

Pour téléverser le fichier keytab :

1. Naviguez vers Accès distant→ onglet Configuration→ sous-onglet Active Directory.
   
   
2. Sélectionnez Téléverser le fichier keytab Kerberos, puis cliquez sur Suivant.
   
   
3. Sur la page Téléversement du fichier keytab Kerberos, naviguez vers le dossier dans lequel vous avez enregistré le fichier keytab, puis cliquez sur Appliquer
   
   

Lorsque le téléversement est terminé, une zone de message apparaît, indiquant la réussite ou l'échec du téléversement.

4. Lorsque le téléversement du fichier keytab a été correctement effectué, cliquez sur Revenir au menu principal d'Active Directory.
   
   

Activation de l'authentification par carte à puce

1. Naviguez vers l'onglet Sécurité réseau de Chassis Management Controller→ sous-onglet Active Directory et sélectionnez Configurer Active Directory.
   
   
2. Sur la page Configuration et gestion d'Active Directory, sélectionnez :
   
   
   • Carte à puce : cette option nécessite d'insérer une carte à puce dans le lecteur et de saisir le code PIN.
     
     

REMARQUE : Toutes les interfaces hors bande de la ligne de commande, y compris Secure Shell (SSH), Telnet, série et RACADM distant, restent inchangées pour cette option

3. Défilez vers le bas de la page et cliquez sur Appliquer.
   
   

Vous pouvez tester Active Directory avec l'authentification Kerberos en utilisant la fonctionnalité de test des commandes de l'interface de ligne de commande.

Entrez :

testfeature -f adkrb -u <utilisateur>@<domaine>

où utilisateur correspond à un compte d'utilisateur Active Directory valide.

La réussite d'une commande indique que CMC est en mesure d'acquérir des informations d'identification Kerberos et d'accéder au compte Active Directory de l'utilisateur. En cas d'échec de la commande, résolvez l'erreur et répétez la commande. Pour plus d'informations, voir le Guide de référence de l'administrateur de Chassis Management Controller.

Configuration du navigateur pour l'ouverture de session par carte à puce

Mozilla Firefox

CMC 2.10 ne prend pas en charge l'ouverture de session par carte à puce via le navigateur Firefox.

Internet Explorer

Assurez-vous que le navigateur Internet est bien configuré pour télécharger des plug-in Active-X.

Ouverture de session sur CMC avec la carte à puce

REMARQUE : Vous ne pouvez pas utiliser l'adresse IP pour ouvrir une session avec la connexion directe ou par carte à puce. Kerberos valide vos informations d'identification par rapport au nom de domaine pleinement qualifié (FQDN).

1. Ouvrez une session sur le système client avec votre compte réseau.
   
   
2. Accédez à la page Web de CMC via
   
   

https://<nom_cmc.nom-domaine>

Par exemple, cmc-6G2WXF1.cmcad.lab

où cmc-6G2WXF1 correspond à nom_cmc

cmcad.lab à nom-domaine.

REMARQUE : Si vous avez changé le numéro de port HTTPS par défaut (port 80), accédez à la page Web CMC via <nom_cmc.nom-domaine>:<numéro de port>, où nom_cmc correspond au nom d'hôte CMC de CMC, nom- domaine au nom du domaine et numéro de port au numéro de port HTTPS.

La page Connexion directe CMC apparaît et vous invite à insérer la carte à puce.

3. Insérez la carte à puce dans le lecteur et cliquez sur OK.
   
   

La boîte de dialogue contextuelle Code PIN s'affiche.

4. Saisissez le code NIP, puis cliquez sur OK.
   
   

Résolution des problèmes liés à l'ouverture de session par carte à puce

Les astuces suivantes vous permettent de déboguer une carte à puce inaccessible :

Le plug-in ActiveX est incapable de détecter le lecteur de cartes à puce

Vérifiez que la carte à puce est bien prise en charge sur le système d'exploitation Microsoft Windows. Windows prend en charge un nombre limité de fournisseurs de services cryptographiques (CSP) de cartes à puce.

Astuce : En règle générale, pour vérifier si les CSP de carte à puce sont présentes sur un client donné, insérez la carte à puce dans le lecteur lorsque l'écran d'ouverture de session de Windows apparaît (Ctrl-Alt-Suppr) et vérifiez si Windows détecte bien la carte à puce et affiche la boîte de dialogue Code PIN.

Code PIN de la carte à puce incorrect

Vérifiez si la carte à puce a été bloquée suite à un nombre trop élevé de tentatives avec un code PIN incorrect. Dans ces cas, l'émetteur de la carte à puce dans l'entreprise peut vous aider à obtenir une nouvelle carte à puce.

Impossible d'ouvrir une session sur CMC en tant qu'utilisateur Active Directory

Si vous ne parvenez pas à ouvrir une session sur CMC en tant qu'utilisateur Active Directory, essayez d'ouvrir une session sur CMC sans activer l'ouverture de session par carte à puce. Vous avez également la possibilité de désactiver l'ouverture de session par carte à puce via la RACADM locale à l'aide des commandes suivantes :

racadm config -g cfgActiveDirectory -o cfgADSCLEnable 0

racadm config -g cfgActiveDirectory -o cfgADSSOEnable 0

Retour à la page du sommaire