Para proporcionar la mayor flexibilidad en la multitud de entornos de los clientes, Dell proporciona un grupo de propiedades que el usuario puede configurar en función de los resultados deseados. Dell ha ampliado el esquema para incluir las propiedades de asociación, dispositivo y privilegio. La propiedad de asociación se usa para vincular a los usuarios o grupos con un conjunto específico de privilegios para uno o varios dispositivos de RAC. Este modelo ofrece la máxima flexibilidad a un administrador para las distintas combinaciones de usuarios, privilegios y dispositivos de RAC en la red sin agregar demasiada complejidad.
Descripción de objetos de Active Directory
Debe crear al menos un objeto de asociación y un objeto de dispositivo de RAC para cada uno de los RAC físicos de la red que desea integrar con Active Directory para autentificación y autorización. Puede crear la cantidad de objetos de asociación que desee y cada objeto de asociación se puede vincular a los usuarios, grupos de usuarios u objetos de dispositivo de RAC que se quiera. Los usuarios y los objetos de dispositivo de RAC pueden ser miembros de cualquier dominio en la empresa.Sin embargo, cada objeto de asociación puede estar vinculado sólo a un objeto de privilegio (o bien, puede vincular usuarios, grupos de usuarios u objetos de dispositivo de RAC). Esto permite que un administrador pueda controlar qué usuarios tendrán cada tipo de privilegios en los RAC específicos.
El objeto del dispositivo del RAC es el eslabón al firmware de RAC para consultar a Active Directory para la autentificación y autorización. Cuando se agrega un RAC a la red, el administrador debe configurar el RAC y el objeto de dispositivo con el nombre de Active Directory de manera que los usuarios puedan llevar a cabo la autentificación y autorización con Active Directory. El administrador también tendrá que agregar el RAC a al menos un objeto de asociación para que los usuarios se puedan autenticar.
La figura 5-1 muestra que el objeto de asociación ofrece la conexión necesaria para todas las operaciones de autentificación y autorización. Figura 5-1. Configuración típica de los objetos de Active Directory Usted puede crear la cantidad de objetos de asociación que necesite. Sin embargo, debe crear al menos un objeto de asociación y debe tener un objeto de dispositivo de RAC para cada RAC (DRAC 4) en la red que desea integrar con Active Directory para fines de autentificación y autorización con el RAC (DRAC 4). El objeto de asociación tiene capacidad para cualquier cantidad de usuarios y/o grupos, así como de objetos de dispositivo de RAC. Sin embargo, sólo el objeto de asociación tiene un objeto de privilegio por cada objeto de asociación. El objeto de asociación conecta a los "Usuarios" que tienen "Privilegios" en los RAC (DRAC 4s). Además, puede configurar objetos de Active Directory en un solo dominio o en múltiples dominios. Por ejemplo, digamos que usted tiene dos tarjetas DRAC 4 (RAC1 y RAC2) y tres usuarios existentes de Active Directory (usuario1, usuario2 y usuario3). Usted desea dar privilegios de administrador a usuario1 y usuario2 para las dos tarjetas DRAC 4 y quiere dar privilegio de inicio de sesión a usuario3 para la tarjeta RAC2. La figura 5-2 muestra la forma en la que se configuran los objetos de Active Directory en este escenario.
Figura 5-2. Configuración de los objetos de Active Directory en un solo dominio
Para configurar los objetos para el escenario de un solo dominio, realice las siguientes tareas:
1. Cree dos objetos de asociación.
2. Cree dos objetos de dispositivo de RAC -RAC1 y RAC2- para representar las dos tarjetas DRAC 4.
3. Cree dos objetos de privilegio, Priv1 y Priv2, donde el Priv1 tiene todos los privilegios (administrador) y Priv2 tiene privilegios de inicio de sesión.
4. Agrupe usuario1 y usuario2 en el Grupo1.
5. Agregue a Grupo1 como miembro en el objeto de asociación 1 (AO1), Priv1 como objeto de privilegio en AO1, y RAC1, RAC2 como dispositivos RAC en AO1.
6. Agregue al usuario3 como miembro en el objeto de asociación 2 (AO2), Priv2 como objeto de privilegio en AO2, y RAC2 como dispositivos de RAC en AO2.
Consulte "Cómo agregar usuarios y privilegios del DRAC 4 a Active Directory" para ver instrucciones detalladas.
La figura 5-3 muestra cómo se pueden configurar los objetos de Active Directory en varios dominios. En este escenario, usted tiene dos tarjetas DRAC 4 (RAC1 y RAC2) y tres usuarios existentes de Active Directory (usuario1, usuario2 y usuario3). El usuario1 está en el dominio1, y el usuario2 y el usuario3 están en el dominio2. Usted quiere dar privilegios de administrador a usuario1 y usuario2 para las dos tarjetas DRAC 4 y desea dar privilegio de inicio de sesión al usuario3 para la tarjeta RAC2.
Figura 5-3. Configuración de los objetos de Active Directory en varios dominios
Para configurar los objetos en el escenario de varios dominios, realice las siguientes tareas:
1. Asegúrese que la función de bosque de dominio esté en los modos Nativo o Windows 2003.
2. Cree dos objetos de asociación, AO1 (de alcance universal) y AO2, en cualquier dominio. La figura muestra los objetos en el dominio2.
3. Cree dos objetos de dispositivo de RAC -RAC1 y RAC2- para representar las dos tarjetas DRAC 4.
4. Cree dos objetos de privilegio, Priv1 y Priv2, donde Priv1 tiene todos los privilegios (administrador) y Priv2 tiene privilegios de inicio de sesión.
5. Agrupe usuario1 y usuario2 en el Grupo1. El alcance de grupo de Grupo1 debe ser universal. 6. Agregue al Grupo1 como miembros en el objeto de asociación 1 (AO1), Priv1 como objeto de privilegio en AO1, y RAC1, RAC2 como dispositivos RAC en AO1. 7. Agregue al usuario3 como miembro en el objeto de asociación 2 (AO2), Priv2 como objeto de privilegio en AO2, y RAC2 como dispositivos de RAC en AO2.
Configuración de Active Directory para acceder al DRAC 4
Antes de que pueda usar Active Directory para acceder al DRAC 4, debe configurar el software Active Directory y el DRAC 4 llevando a cabo los pasos siguientes en el orden indicado:
1. Amplíe el esquema de Active Directory (consulte "Ampliación del esquema de Active Directory").
2. Extender el complemento para equipos y usuarios de Active Directory (consulte "Instalación de la ampliación de Dell para el complemento de usuarios y equipos de Active Directory").
3. Agregar usuarios del DRAC 4 y sus privilegios a Active Directory (consulte "Cómo agregar usuarios y privilegios del DRAC 4 a Active Directory").
4. Active SSL en cada uno de los controladores de dominio (consulte "Habilitación de SSL en un controlador de dominio").
5. Configure las propiedades de Active Directory de DRAC 4 a través de la interfaz basada en web del DRAC 4 o de la CLI de racadm (consulte "Configuración del DRAC 4 con Active Directory de esquema ampliado y la interfaz basada en web" o "Configuración del DRAC 4 con Active Directory de esquema ampliado y la CLI de racadm").