Dell Chassis Management Controller Version 3.0 ユーザーガイド

  • こんにちは!Dell シャーシ管理コントローラーファームウェアバージョン3.0ユーザーガイドの内容を理解しています。このドキュメントには、CMCのインストール、設定、Active Directoryとの統合、電源管理、トラブルシューティングなどについて詳細な説明があります。CMCに関するご質問があれば、お気軽にお尋ねください。
  • CMCをActive Directoryと統合するにはどうすればよいですか?
    CMCの電源管理機能にはどのようなものがありますか?
    CMCのトラブルシューティングを行うにはどうすればよいですか?
DellChassisManagementControllerFirmware版本 3.0 指南
注和小心
____________________
本出版物中的信息如有更改,恕不 行通知。
©2010DellInc.所有,翻印必究。
未经 Dell Inc. 书面许可,严禁以任何形式复制这些材料。本文中使用的商标:DellDELL 徽标、FlexAddress
OpenManagePowerEdge PowerConnect Dell Inc.的商标。Microsoft®
Active Directory®
Internet Explorer®Windows®Windows Server®
Windows Vista® Microsoft Corporation 在美国和其他国家/地区的商标
注册商标。Red Hat® Red Hat
Enterprise Linux® Red Hat, Inc. 在美国和其它国家/地区的注册商标。Novell® SUSE® 分别是 Novell Inc. 在美国和其它国家/地区的注册商标和商标。Intel®
Intel Corporation 的注册商标。
UNIX® The Open Group 在美国和其它国家/地区的注册商标。Avocent® Avocent Corporation 的商标。OSCAR® Avocent Corporation 或其子公司的注册商标。
版权 1998-2006 The OpenLDAP FoundationAll rights reserved(版权所有,翻印必究)。无论修改与否,以源代码和二进制的形式重新分发或使用都必须经过 OpenLDAP Public License 的授权许可。此许
可证的副本包括在分发目录顶层中的 LICENSE 文件中,您也可以在 http://www.OpenLDAP.org/license.html 中找到。OpenLDAP The OpenLDAP Foundation 的注册商标。一些单独文件和/或附送软件
包的版权可能归其它方所有,受其它条款的制约。此软件根据 University of Michigan LDAP v3.3 分发版本开发出来。此软件还包含来自公共来源的材料。有关 OpenLDAP 的信息可以从
http://www.openldap.org/ 获得。部分版权 1998-2004 Kurt D.Zeilenga。部分版权 1998-2004 Net Boolean Incorporated。部分版权 2001-2004 IBM CorporationAll rights reserved(版权
所有,翻印必究)。无论修改与否,以源代码和二进制的形式重新分发或使用都必须经过 OpenLDAP Public License 的授权许可。部分版权 1999-2003 Howard Y.H.Chu。部分版权 1999-2003 Symas
Corporation。部分版权 1998-2003 Hallvard B.FurusethAll rights reserved(版权所有,翻印必究)。只要保留此通告,无论修改与否,都允许以源代码和二进制的形式重新分发和使用。在没有得到版权所有者事
先书面许可的情况下,所有者的名称不得用于标记或宣传那些根据本软件开发出来的产品。本软件按"原样"提供,不带任何明示或暗示的保证。部分版权 (c) 1992-1996 Regents of the University of MichiganAll
rights reserved(版权所有,翻印必究)。只要保留此通告并且应有权归属于 Ann Arbor University of Michigan 所有,则允许以源代码和二进制的形式重新分发或使用。在没有得到事先书面许可的情况下,该大学
的名称不得用于标记或宣传那些根据本软件开发出来的产品。本软件按"原样"提供,不带任何明示或暗示的保证。
本说明文件中述及的其它商标和产品名称是指拥有相应商标和产品名称的公司或其制造的产品。Dell Inc. 对其它公司的商标和产品名称不拥有任何所有权。
2010 7
概览
使用 FlexAddress Plus
安装和设置 CMC
使用 CMC 目录服务
配置 CMC 使用命令行控制台
电源管理
使用 RACADM 命令行界面
使用 iKVM 模块
使用 CMC Web 界面
I/O 结构管理
使用 FlexAddress
故障排除和恢复
注: ""表示可以帮助您更好地使用计算机的重要信息。
小心: "小心"表示可能财产损失、人身害甚至死亡。
目录
使用 CMC
DellChassisManagementControllerFirmware版本 3.0 指南
 CMC 用于 Microsoft Active Directory
标准架构 Active Directory 概述
扩展架构概览
配置单一登录
配置 Smart Card 双重验证
使用 CMC 及通用 LDAP
目录服务维护一个公用数据库,在其中存储用于控制网络用户、计算机、打印机等的所有必需信息。如果您的公司使用 Microsoft Active Directory 服务软件或 LDAP 目录服务软件,您可
配置 CMC 根据用户验证使用目录。
CMC 用于 Microsoft Active Directory
Active Directory
您可以通过两种方法使用 ActiveDirectory定义对 CMC 的用户访问:
l 仅使用 Active Directory 组对象的标准架构解决方案。
l 使用由 Dell 定义的 Active Directory 对象的扩展架构解决方案。
准架展架
使用 Active Directory 配置到 CMC 的权限时,必须选择扩展架构或标准架构。
使用标准架构解决方案:
l 无需架构扩展,因为标准架构只使用标准 Active Directory 对象。
l Active Directory 的配置很简单。
使用扩展架构解决方案:
l 所有权限控制对象都在 Active Directory 中。
l 使用不同权限级别配置不同 CMC 上用户访问权限可提供最大灵活性。
准架 Active Directory
使用标准架构进行 Active Directory 集成,需要对 Active Directory CMC 都进行配置。
Active Directory 端,标准组对象用作角色组。具有 CMC 权限的用户是该角色组的成员。
为了授予该用户对特定 CMC 卡的权限,需要在特定 CMC 卡上配置角色组名称及其域名。与扩展架构不同,角色和权限级别定义在各个 CMC 卡上,而不是 Active Directory 中。每个
CMC 中可配置和定义多达五个角色组。 5-41 显示了角色组的权限级别而 8-1 显示了默认角色组设置。
8-1.使用 Active Directory 准架CMC 配置
注: Microsoft Windows 2000 Windows Server 2003 操作系统上支持使用 Active Directory 识别 CMC 用户。只有 Windows 2008 支持基于 IPv6 Active
Directory
8-1.角色组权
有两种方式启用标准架构 Active Directory
l 使用 CMC Web 界面。请参阅"使用标准模式 Active Directory Web 界面配置 CMC"
l RACADM CLI 工具。请参阅"使用标准模式 Active Directory RACADM 配置 CMC"
配置准架 Active Directory 访问 CMC
Active Directory 用户能访问 CMC 之前,需要执行以下步骤配置 Active Directory
1. Active Directory 服务器(域控制器)上,打开 Active Directory 用户和计算机管理单元。
2. 创建组或选择现有组。必须通过 Web 界面或 RACADM CMC 上配置组名和该域的名称。
有关详细信息,请参阅"使用标准模式 Active Directory Web 界面配置 CMC" "使用标准模式 Active Directory RACADM 配置 CMC"
角色
认权
级别
授予的
位掩
1
l CMC 登录用户
l 机箱配置管理员
l 用户配置管理员
l 清除日志管理员
l 机箱控制管理员(电源命令)
l 高级用户
l 服务器管理员
l 检测警报用户
l 调试命令用户
l 结构 A 管理员
l 结构 B 管理员
l 结构 C 管理员
0x00000fff
2
l CMC 登录用户
l 清除日志管理员
l 机箱控制管理员(电源命令)
l 服务器管理员
l 检测警报用户
l 结构 A 管理员
l 结构 B 管理员
l 结构 C 管理员
0x000000f9
3
CMC 登录用户
0x00000001
4
没有分配权限
0x00000000
5
没有分配权限
0x00000000
注: 位掩码值只有在用 RACADM 设置标准模式时才使用。
注: 有关用户权限的详情,请参阅 "用户类型"
3. 添加 Active Directory 用户作为 Active Directory 组的成员以访问 CMC
使用准模式 Active Directory Web 界面配置 CMC
1. 登录 CMC Web 界面。
2. 选择系统树中的"Chassis"(机箱)
3. 单击"User Authentication"(用户验证® "Directory Services"(目。显示"Directory Services"(目页。
4. 选择 Microsoft Active Directory(标准架构)旁的单选按钮。"Active Directory Configuration and Management"Active Directory 配置管理)页会出现。
5. "Common Settings"(常见设置)部分:
a. 选择"Enable Active Directory"Active Directory复选框。
b. 键入"Root Domain Name"Root 域名)
c. 键入时间,以秒为单位。超时范围 15300 秒。默认超时时间为 90 秒。
6. 如果要用定向调用搜索域控制器和全局编录,请选择"Search AD Server to search (Optional)"(搜索 AD 器以搜索 []复选框,然后执行以下操作:
a. "Domain Controller"(域控制器)文本字段中,键入安装了 Active Directory 服务的服务器。
b. "Global Catalog"(全局编录文本字段中,键入全局编录在 Active Directory 域控制器上的位置。全局编录提供了搜索 Active Directory 森林的资源。
7. 单击"Apply"用)保存设置。
8. "Standard Schema Settings"准架置)部分,单击"Role Group"(角色。此时将显示"Configure Role Group"(配置角色 页。
9. 键入"Group Name"。组名称可标识与 CMC 卡相关联的 Active Directory 中的角色组。
10. 键入"Group Domain"域)"Group Domain"域)是目录林的完全限定 Root 域名。
11. "Role Group Privileges"(角色组权限)页中,选择组的权限。
如果修改任何权限,现有"Role Group Privilege"(角色组权限)(管理员、高级用户或客用户)会更改为自定义组或相应角色组权限。请参阅5-41
12. 单击"Apply"用)保存角色组设置。
13. 单击"Go Back To Configuration Page"(退回到配置
14. 将域目录林根认证机构签发的认证上载到 CMC。在"Certificate Management"证书管理)部分键入认证的文件路径或浏览至认证文件。单击"Upload"(上按钮传输文
件到 CMC
域控制器的 SSL 认证必须由根认证机构签名认证签名。在访问 CMC management station 上必须提供根认证机构签发的认证。
15. 单击"Apply"用)CMC Web 服务器将在单击"Apply"用)后自动重新启动。
16. 注销,然后登录 CMC 以完成 CMC Active Directory 功能配置。
17. 选择系统树中的"Chassis"(机箱)
18. 单击"Network"选项卡。
19. 单击"Network"子选项卡。显示"Network Configuration"配置)页。
20. 如果在"Network Settings"络设置)下选择了"Use DHCP"(使用 DHCP)(用于 CMC 接口 IP 地址),则选择"Use DHCP to obtain DNS server
address"(使用 DHCP DNS 器地址)
注: 根域名必须是使用 x.y 命名规范的有效域名,其中 x 1256 个字符的 ASCII 字符串,字符之间不带空格,且 y 是有效的域类型,如 comedugovint
milnet org
注: 继续下一步前必须应用设置。如果不应用这些设置,则导航至下一页后会丢失这些输入的设置。
注: "File Path"(文件路值显示上载的证书的相对文件路径。必须键入绝对文件路径,包括全路径和完整文件名及文件扩展名。
要手动输入 DNS 服务器 IP 地址,请取消选中"Use DHCP to obtain DNS server address"(使用 DHCP DNS 器地址)并键入主要和备用 DNS 服务器 IP
址。
21. 单击"Apply Changes"用更改)
CMC 标准模式 Active Directory 功能配置完成。
使用准模式 Active Directory RACADM 配置 CMC
要使用 RACADM CLI 和标准架构 Active Directory 功能配置 CMC,可使用以下命令:
1. 打开到 CMC 的串行/远程登录/SSH 文本控制台,并键入:
racadm config -g cfgActiveDirectory -o cfgADEnable 1
racadm config -g cfgActiveDirectory -o cfgADType 2
racadm config -g cfgActiveDirectory -o cfgADRootDomain <
完全限定的
root
域名
>
racadm config -g cfgStandardSchema -i <索引> -o cfgSSADRoleGroupName <
角色组的常用名
>
racadm config -g cfgStandardSchema -i <索引> -o cfgSSADRoleGroupDomain <
完全限定域名
>
racadm config -g cfgStandardSchema -i <索引> -o cfgSSADRoleGroupPrivilege <针对特定用户权限的位掩码值>
racadm sslcertupload -t 0x2 -f <ADS
CA
证书
>
racadm sslcertdownload -t 0x1 -f <RAC SSL
证书
>
2. 使用以下选项之一指定 DNS 服务器:
l 如果 CMC 上已启用 DHCP 并且您希望使用 DHCP 服务器自动获取的 DNS 地址,则键入以下命令:
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1
l 如果 CMC 上已禁用 DHCP,或想要手工输入 DNS IP 地址,则键入以下命令:
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <
主要
DNS IP
地址
>
racadm config -g cfgLanNetworking -o cfgDNSServer2 <次要 DNS IP 地址>
展架
有两种方式在 Active Directory 中启用扩展架构:
l 使用 CMC Web 界面。有关说明,请参阅 "使用扩展架构 Active Directory Web 界面配置 CMC"
l 使用 RACADM CLI 工具。有关说明,请参阅 "使用扩展架构 Active Directory RACADM 配置 CMC"
Active Directory
Active Directory 数据是属性和类的分布式数据库。Active Directory 架构包含确定可添加或包含在数据库中的数据类型的规则。
数据库中存储的类的一个示例就是用户类。用户类属性包括用户的名字、姓氏、电话号码等。
您可以通过添加自己独特的属性和类扩展 Active Directory 数据库以解决特定环境下的需求。Dell 扩展了该架构,包括必要的更改以支持远程管理验证和授权。
每个添加到现有 Active Directory 架构的属性或类都必须定义唯一的 ID。为在整个行业中保持唯一的 IDMicrosoft 维护着 Active Directory 对象标识符 (OID) 的数据库。为在
Microsoft Active Directory 中扩展架构,Dell Dell 特定的属性和类建立了唯一的 OID、唯一的名称扩展名和唯一链接的属性 ID
Dell 扩展名:dell
Dell 基础 OID 1.2.840.113556.1.8000.1280
RAC LinkID 范围:120702079
注: 对于位掩码数字值,请参阅
Dell Chassis Management Controller Administrator Reference Guide.
的数据库属性一章中的表 3-1
RAC
Dell 提供了一组可以配置的属性。Dell 扩展架构包括关联、设备和权限属性。
关联属性可将具有一组特定权限的用户或组与一个或多个 RAC 设备链接起来。这种模式给管理员提供了极大的灵活性,可以对网络上的用户、RAC 权限和 RAC 设备进行各种组合而无需增
加太多的复杂性。
Active Directory
当要与 Active Directory 集成以进行验证和授权的网络上有两个 CMC 时,必须为其中每个 CMC 创建至少一个"关联"对象和一个 RAC"设备"对象。可以创建多个"关联"对象,每个"
"对象都可以链接到任意多个用户、用户组或 RAC"设备"对象。用户和 RAC 设备对象可以是企业任何域中的成员。
不过,每个"关联"对象只能链接(或者可能链接用户、用户组或 RAC"设备"对象)到一个"权限"对象。此示例允许管理员控制特定 CMC 上的每个用户权限。
RAC 设备对象就是到 RAC 固件的链接,用于查询 Active Directory 以进行验证和授权。将 RAC 添加到网络后,管理员必须使用 Active Directory 名称配置 RAC 及其设备对象,以便
用户可以使用 Active Directory 执行验证和授权。管理员还必须将 RAC 添加到至少一个"关联"对象以使用户能够验证。
8-2 说明关联对象提供了进行所有验证和授权所需的连接。
可以根据需要创建任意数量的关联对象。然而,必须创建至少一个关联对象,对于网络上每一个想与 Active Directory 集成的 RAC (CMC) 来说,则必须有一个 RAC 设备对象。
8-2.ActiveDirectory象的典型
关联对象允许任意数量的用户和/或组以及 RAC 设备对象。然而,每个关联对象只有一个权限对象。"关联"对象连接那些对 RAC (CMC) 具有"权限""用户"
此外,可以在一个域或多个域中配置 Active Directory 对象。例如,已有两个 CMCRAC1 RAC2)和三个 Active Directory 现有用户(用户 1、用户 2 和 用户 3)。想要授予用
1 和用户 2 对两个 CMC 的管理员权限并授予用户 3 RAC2 卡的登录权限。 8-3 显示了如何在此情况下设置 Active Directory 对象。
添加来自不同域的通用组时,请创建一个具有通用范围的关联对象。Dell Schema Extender 公用程序创建的默认关联对象是域本地组,不能与来自其它域的通用组一起使用。
8-3.在一域中Active Directory
注: RAC 权限对象适用于 DRAC 4DRAC 5 CMC
要为单域情况配置对象:
1. 创建两个关联对象。
2. 创建两个 RAC"设备"对象(RAC1 RAC2)用以代表两个 CMC
3. 创建两个权限对象(权限 1 和权限 2),其中权限 1 具有所有权限(管理员),而权限 2 仅具有登录权限。
4. 将用户 1 和用户 2 归到组 1
5. 将组 1 添加为关联对象 1 (A01) 的成员,权限 1 作为 A01 的权限对象,而 RAC1 RAC2 作为 A01 中的 RAC 设备。
6. 将用户 3 添加为关联对象 2 (A02) 的成员,权限 2 作为 A02 的权限对象,而 RAC2 作为 A02 中的 RAC 设备。
有关详细指导,请参阅 " CMC 用户和权限添加到 Active Directory"
8-4 提供多个域中 Active Directory 对象的示例。在这种情况下,已有两个 CMCRAC1 RAC2)和三个 Active Directory 现有用户(用户 1、用户 2 和用户 3)。用户 1
于域 1 中,用户 2 和用户 3 位于域 2 中。在此情况下,配置用户 1 和用户 2 具有对两个 CMC 的管理员权限,配置用户 3 具有对 RAC2 卡的登录权限。
8-4.在多域中Active Directory
要为多域情况配置对象:
1. 确保域目录林功能处在本机或 Windows 2003 模式。
2. 在任意域中创建两个"关联"对象:A01(范围是 Universal)和 A02
8-4 显示域 2 中的对象。
3. 创建两个 RAC"设备"对象(RAC1 RAC2)用以代表两个 CMC
4. 创建两个权限对象(权限 1 和权限 2),其中权限 1 具有所有权限(管理员),而权限 2 仅具有登录权限。
5. 将用户 1 和用户 2 归到组 1。组 1 的组范围必须是通用。
6. 将组 1 添加为关联对象 1 (A01) 的成员,权限 1 作为 A01 的权限对象,而 RAC1 RAC2 作为 A01 中的 RAC 设备。
7. 将用户 3 添加为关联对象 2 (A02) 的成员,权限 2 作为 A02 的权限对象,而 RAC2 作为 A02 中的 RAC 设备。
配置展架 Active Directory 访问 CMC
使用 Active Directory 访问 CMC 之前,应配置 Active Directory 软件和 CMC
1. 扩展 Active Directory 架构(请参阅"扩展 Active Directory 架构")。
2. 扩展 Active Directory 用户和计算机管理单元(请参阅 "安装 Dell Active Directory 用户和计算机管理单元的扩展")。
3. iDRAC 用户及其权限添加到 Active Directory(请参阅 " CMC 用户和权限添加到 Active Directory")。
4. 在各个域控制器上启用 SSL
5. 使用 CMC Web 界面或 RACADM 配置 CMC Active Directory 属性(请参阅 "使用扩展架构 Active Directory Web 界面配置 CMC" "使用扩展架构 Active Directory
RACADM 配置 CMC")。
Active Directory
扩展 Active Directory 架构将会在 Active Directory 架构中添加一个 Dell 组织单元、架构类和属性以及示例权限和关联对象。扩展架构前,必须在域目录林的"架构主机灵活单主机操作
(FSMO) 角色所有者"上具有架构管理权限。
可以使用以下方法之一扩展架构:
l Dell Schema Extender 公用程序
l LDIF 脚本文件
如果使用 LDIF 脚本,将不会把 Dell 组织单元添加到架构。
LDIF 文件和 Dell Schema Extender 分别位于 Dell Systems Management Tools and Documentation DVD 的以下目录中:
l <DVD 驱动>:\SYSMGMT\ManagementStation\support\
OMActiveDirectory_Tools\<>\LDIF Files
l <DVD 驱动>:\SYSMGMT\ManagementStation\support\
OMActiveDirectory_ Tools\<>\Schema Extender
要使用 LDIF 文件,请参阅 LDIF_Files 目录中自述文件中的说明。有关使用 Dell Schema Extender 扩展 Active Directory 架构的说明,请参阅 "使用 Dell Schema Extender"
可以从任意位置复制并运行 Schema Extender LDIF 文件。
使用 Dell Schema Extender
Dell Schema Extender 使用 SchemaExtenderOem.ini 文件。要确保 Dell Schema Extender 公用程序运行正常,请勿修改该文件的名称。
1. "Welcome"迎)屏幕中单击"Next"(下一
2. 阅读并了解警告,单击"Next"(下一
3. 选择"Use Current Log In Credentials"(使用前登据)或输入具有架构管理员权限的用户名和密码。
4. 单击"Next"(下一运行 Dell Schema Extender
5. 单击"Finish"(完成)
架构将会扩展。要验证架构扩展,请使用 Microsoft 管理控制台 (MMC) Active Directory 架构管理单元验证以下内容是否存在:
l 请参阅 8-2 8-7
l 属性 — 请参阅 8-8
请参阅 Microsoft 说明文件详细了解如何在 MMC 中启用和使用 Active Directory 架构管理单元。
8-2.添加到 Active Directory
8-3.dellRacDevice
8-4.dellAssociationObject
8-5.dellRAC4Privileges
8-6.dellPrivileges
8-7.dellProduct
分配的标识 (OID)
dellRacDevice
1.2.840.113556.1.8000.1280.1.1.1.1
dellAssociationObject
1.2.840.113556.1.8000.1280.1.1.1.2
dellRACPrivileges
1.2.840.113556.1.8000.1280.1.1.1.3
dellPrivileges
1.2.840.113556.1.8000.1280.1.1.1.4
dellProduct
1.2.840.113556.1.8000.1280.1.1.1.5
OID
1.2.840.113556.1.8000.1280.1.1.1.1
说明
表示 Dell RAC 设备。RAC 设备必须在 Active Directory 中配置为 dellRacDevice。这种配置使 CMC 能够向 Active Directory 发送轻量级目录访问协议 (LDAP) 查询。
类的类型
结构类
超类
dellProduct
属性
dellSchemaVersion
dellRacType
OID
1.2.840.113556.1.8000.1280.1.1.1.2
说明
表示 Dell 关联对象。关联对象提供用户和设备之间的连接。
类的类型
结构类
超类
属性
dellProductMembers
dellPrivilegeMember
OID
1.2.840.113556.1.8000.1280.1.1.1.3
说明
定义 CMC 设备的授权权利(权限)。
类的类型
辅助类
超类
属性
dellIsLoginUser
dellIsCardConfigAdmin
dellIsUserConfigAdmin
dellIsLogClearAdmin
dellIsServerResetUser
dellIsTestAlertUser
dellIsDebugCommandAdmin
dellPermissionMask1
dellPermissionMask2
OID
1.2.840.113556.1.8000.1280.1.1.1.4
说明
Dell 权限(授权权利)的容器类。
类的类型
结构类
超类
用户
属性
dellRAC4Privileges
OID
1.2.840.113556.1.8000.1280.1.1.1.5
8-8.添加到 Active Directory 性的列表
说明
所有 Dell 产品派生所依据的主类。
类的类型
结构类
超类
计算机
属性
dellAssociationMembers
分配的 OID/标识
性:dellPrivilegeMember
明:属于此属性的 dellPrivilege 对象的列表。
OID1.2.840.113556.1.8000.1280.1.1.2.1
可分辨名 (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)
FALSE
性:dellProductMembers
明:属于此角色的 dellRacDevices 对象的列表。此属性是指向 dellAssociationMembers 后退链接的前进链接。
ID: 12070
OID1.2.840.113556.1.8000.1280.1.1.2.2
可分辨名 (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)
FALSE
性:dellIsCardConfigAdmin
明:如果用户具有设备的卡配置权限,则为 TRUE
OID 1.2.840.113556.1.8000.1280.1.1.2.4
布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)
TRUE
性:dellIsLoginUser
明:如果用户具有设备的登录权限,则为 TRUE
OID1.2.840.113556.1.8000.1280.1.1.2.3
布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)
TRUE
性:dellIsCardConfigAdmin
明:如果用户具有设备的卡配置权限,则为 TRUE
OID 1.2.840.113556.1.8000.1280.1.1.2.4
布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)
TRUE
性:dellIsUserConfigAdmin
明:如果用户具有设备的用户配置管理员权限,则为 TRUE
OID1.2.840.113556.1.8000.1280.1.1.2.5
布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)
TRUE
性:delIsLogClearAdmin
明:如果用户具有设备的清除日志管理员权限,则为 TRUE
OID1.2.840.113556.1.8000.1280.1.1.2.6
布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)
TRUE
性:dellIsServerResetUser
明:如果用户具有设备的服务器重设权限,则为 TRUE
OID1.2.840.113556.1.8000.1280.1.1.2.7
布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)
TRUE
性:dellIsTestAlertUser
明:如果用户具有设备的检测警报用户权限,则为 TRUE
OID1.2.840.113556.1.8000.1280.1.1.2.10
布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)
TRUE
性:dellIsDebugCommandAdmin
Dell Active Directory 算机管理元的
扩展 Active Directory 中的模式时,还必须扩展 Active Directory 用户和计算机管理单元,以使管理员能够管理 RAC (CMC) 设备、用户和用户组、RAC 关联和 RAC 权限。
使用 Dell Systems Management Tools and Documentation DVD 安装系统管理软件时,可以通过在安装过程中选择"Dell Extension to the Active Directory User's and
Computers Snap-In"(到 Active Directory 算机管理元的 Dell 展)选项来扩展管理单元。请参阅
Dell OpenManage Software Quick Installation Guide
一步了解如何安装系统管理软件。
有关 Active Directory 用户和计算机管理单元的详情,请参阅 Microsoft 说明文件。
Administrator Pack
必须在管理 Active Directory CMC 对象的每个系统上安装 Administrator Pack。如果不安装 Administrator Pack,将无法在容器中查看 Dell RAC 对象。
Active Directory 算机管理
要打开 Active Directory 用户和计算机管理单元:
1. 如果登录到域控制器,则单击"Start"始)®"Admin Tools"(管理工具)®"Active Directory Users and Computers"Active Directory 算机)
如果没有登录到域控制器上,则必须在本地系统上安装相应的 Microsoft Administrator Pack。要安装此 Administrator Pack,单击"Start"始)® "Run"行),键
MMC 并按 <Enter>
Microsoft 管理控制台 (MMC) 显示。
2. "Console 1"(控制台 1窗口中,单击"File"(文件)(如果是运行 Windows 2000 的系统,则单击"Console"(控制台))。
3. 单击"Add/Remove Snap-in"(添加/除管理 元)
4. 选择"Active Directory Users and Computers"Active Directory 算机)管理单元并单击"Add"(添加)
5. 单击"Close"关闭并单击"OK"定)
明:如果用户具有设备的调试命令管理员权限,则为 TRUE
OID1.2.840.113556.1.8000.1280.1.1.2.11
布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)
TRUE
性:dellSchemaVersion
明:当前架构版本用于更新架构。
OID1.2.840.113556.1.8000.1280.1.1.2.12
大小写忽略字符串 (LDAPTYPE_CASEIGNORESTRING
1.2.840.113556.1.4.905)
TRUE
性:dellRacType
明:此属性是 dellRacDevice 对象的当前 Rac 类型和到 dellAssociationObjectMembers 前进链接的后退链接。
OID1.2.840.113556.1.8000.1280.1.1.2.13
大小写忽略字符串 (LDAPTYPE_CASEIGNORESTRING
1.2.840.113556.1.4.905)
TRUE
性:dellAssociationMembers
明:属于此产品的 dellAssociationObjectMembers 的列表。此属性是到 dellProductMembers 链接属性的后退链接。
链接 ID12071
OID1.2.840.113556.1.8000.1280.1.1.2.14
可分辨名称 (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)
FALSE
性:dellPermissionsMask1
OID1.2.840.113556.1.8000.1280.1.6.2.1 整数 (LDAPTYPE_INTEGER)
性:dellPermissionsMask2
OID1.2.840.113556.1.8000.1280.1.6.2.2 整数 (LDAPTYPE_INTEGER)
CMC 限添加到 Active Directory
使用 Dell 扩展的 Active Directory 用户和计算机管理单元,使您能够通过创建 RAC、关联和权限对象添加 CMC 用户和权限。要添加各种对象类型,请:
1. 创建 RAC 设备对象。
2. 创建权限对象。
3. 创建关联对象。
4. 将对象添加到关联对象。
RAC 设备对
1. MMC "Console Root"(控制台根目窗口中,右键单击一个容器。
2. 选择"New"(新建)® "Dell RAC Object"Dell RAC 象)
系统将显示"New Object"(新建 象)窗口。
3. 为新对象键入名称。该名称必须与准备在 "使用扩展架构 Active Directory Web 界面配置 CMC" 步骤 8a 中键入的 CMC 名称相同。
4. 选择"RAC Device Object"RAC 设备对象)
5. 单击"OK"定)
1. "Console Root"(控制台根目(MMC) 窗口中,右键单击一个容器。
2. 选择"New"(新建)® "Dell RAC Object"Dell RAC 象)
系统将显示"New Object"(新建 象)窗口。
3. 为新对象键入名称。
4. 选择"Privilege Object"象)
5. 单击"OK"定)
6. 右键单击创建的权限对象并选择"Properties"性)
7. 单击"RAC Privileges"RAC 限)选项卡并选择要让用户拥有的权限。有关 CMC 用户权限的详情,请参阅 "用户类型"
关联对
关联对象从组派生而来,必须包含组类型。关联范围为关联对象指定安全组类型。创建关联对象时,请选择适用于要添加对象的类型的关联范围。
例如,如果选择"Universal"(通用),则关联对象仅当 Active Directory 域以本机模式或更高模式运行时才可用。
1. "Console Root"(控制台根目(MMC) 窗口中,右键单击一个容器。
2. 选择"New"(新建)® "Dell RAC Object"Dell RAC 象)
这将打开"New Object"(新建 象)窗口。
3. 为新对象键入名称。
4. 选择"Association Object"关联对象)
注: 权限对象必须和相关关联对象创建在同一个域中。
5. 选择"Association Object"关联对象)的范围。
6. 单击"OK"定)
象添加到关联对
使用关联对 窗口,可以关联用户或用户组、权限对象和 RAC 设备或 RAC 设备组。如果系统运行 Windows 2000 模式或更高模式,请使用通用组以跨越用户或 RAC 对象的域。
可以添加用户组和 RAC 设备组。创建 Dell 相关的组和非 Dell 相关的组的过程相同。
添加用或用户组
1. 右键单击"Association Object"关联对象)并选择"Properties"性)
2. 选择"Users"(用选项卡并单击"Add"(添加)
3. 键入用户或用户组名称并单击"OK"定)
单击"Privilege Object"象)选项卡将权限对象添加到验证 RAC 设备时定义用户或用户组权限的关联。只能将一个权限对象添加到关联对象。
添加
1. 选择"Privileges Object"象)选项卡并单击"Add"(添加)
2. 键入权限对象名称并单击"OK"定)
单击"Products"品)选项卡将一个或多个 RAC 设备添加到关联。关联设备指定连接到网络的 RAC 设备,这些设备对于所定义的用户或用户组可用。可以将多个 RAC 设备添加到关
联对象。
添加 RAC 设备RAC 设备组
要添加 RAC 设备或 RAC 设备组:
1. 选择"Products"品)选项卡并单击"Add"(添加)
2. 键入 RAC 设备或 RAC 设备组名称并单击"OK"定)
3. "Properties"性)窗口中,单击"Apply"用),并单击"OK"定)
使用展架 Active Directory Web 界面配置 CMC
1. 登录 CMC Web 界面。
2. 选择系统树中的"Chassis"(机箱)
3. 单击"User Authentication"(用户验证® "Directory Services"(目
随即显示"Directory Services"(目页面。
4. 选择 Microsoft Active Directory展架
5. "Common Settings"(常见设置)部分:
a. 确认选中"Enable Active Directory"Active Directory复选框。
b. 键入"Root Domain Name"Root 域名)
注: 根域名必须是使用 x.y 命名惯例的有效域名,其中,x 是一个 1256 个字符的 ASCII 字符串,字符之间不含空格,y 是一种有效类型的域,例如 comedu
govintmilnet org
c. 键入时间,以秒为单位。配置范 15300秒。90
6. 选项如果要用定向调用搜索域控制器和全局编录,请选择"Search AD Server to search (Optional)"(搜索 AD 器以搜索 []复选框,然后:
a. "Domain Controller"(域控制器)文本字段中,键入安装了 Active Directory 服务的服务器。
b. "Global Catalog"(全局编录文本字段中,键入全局编录在 Active Directory 域控制器上的位置。全局编录提供了搜索 Active Directory 森林的资源。
7. "Extended Schema Settings"展架置)部分:
a. 键入"CMC Device Name"CMC 设备CMC Active Directory 中的 CMC 卡进行唯一识别。CMC 必须与在域控制器中创建的新的 CMC 对象的
常用名称相同。CMC 必须是 1256 个字符的 ASCII 字符串,字符之间没有空格。
b. 键入"CMC Domain Name"CMC 域名)(例如:cmc.com)。CMC 域名Active Directory CMC 对象所在域的 DNS 名称(字符串)。名称必须是由 x.y 组成的
有效域名,其中 x 1-256 个字符的 ASCII 字符串,字符之间没有空格,而 y 是有效域类型,如 comedugovintmilnet org
8. 单击"Apply"用)保存设置。
9. "Manage Certificates"(管理证书部分于文本字段中输入证书的文件路径或单击"Browse"浏览选择证书文件。单击"Upload"(上按钮传输文件到 CMC
默认情况下要求 SSL 证书验证。cfgActiveDirectory RACADM 组中和 GUI 内有新设置,可禁用证书检查。
但禁用证书检查风险很高。
若要打开 SSL 证书验证(默认):
racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 1
若要关闭 SSL 证书验证:
racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 0
域控制器 SSL 认证必须由根认证机构签名。在访问 CMC management station 上必须提供根认证机构签发的认证。
10. 单击"Apply"用)CMC Web 服务器将在您单击"Apply"用)后自动重新启动。
11. 登录到 CMC Web 界面。
12. 从系统树中选择"Chassis"(机箱),单击"Network"选项卡,然后单击"Network"子选项卡。随即显示"Network Configuration"配置)页面。
13. 如果启用(选中)"Use DHCP (for CMC Network Interface IP Address)"(使用 DHCP [针对 CMC 接口 IP 地址],请进行以下操作之一:
l 选择"Use DHCP to Obtain DNS Server Addresses"(使用 DHCP DNS 器地址)使 DHCP 服务器自动获取 DNS 服务器地址,或
l 不选中"Use DHCP to Obtain DNS Server Addresses"使用 DHCP DNS 器地址)复选框,然后在提供的字段中键入主和备用 DNS 服务器 IP
址,手工配置 DNS 服务器 IP 地址。
14. 单击"Apply Changes"用更改)
CMC 扩展模式 Active Directory 功能配置完成。
使用展架 Active Directory RACADM 配置 CMC
使用以下命令以通过 RACADM CLI 工具而不是 Web 界面配置 CMC Active Directory 的扩展架构。
1. 打开到 CMC 的串行/远程登录/SSH 文本控制台,登录并键入:
racadm config -g cfgActiveDirectory -o cfgADEnable 1
racadm config -g cfgActiveDirectory -o cfgADType 1
racadm config -g cfgActiveDirectory -o cfgADRacDomain <
完全限定的
CMC
域名
>
注: IP 地址设置为 0.0.0.0 时,将禁止 CMC 搜索服务器。
注: 可以指定一列域控制器或全局编录服务器,并用逗号分隔。CMC 允许指定多达三个 IP 地址或主机名。
注: 如果未针对所有域和应用程序正确配置域控制器或全局编录服务器,可能导致在现有应用程序/域运行过程中产生无法预料的结果。
注: 在继续下一步,导航至另一页之前,必须先应用这些设置。如果不应用这些设置,则导航至下一页时会丢失这些输入的设置。
注: "File Path"(文件路值显示上载的证书的相对文件路径。必须键入绝对文件路径,包括全路径和完整文件名及文件扩展名。
racadm config -g cfgActiveDirectory -o cfgADRootDomain <
完全限定的
root
域名
>
racadm config -g cfgActiveDirectory -o cfgADRacName <CMC
常用名
>
racadm sslcertupload -t 0x2 -f <ADS
CA
认证
-r
racadm sslcertdownload -t 0x1 -f <CMC SSL
认证
>
选项如果想指定 LDAP 或全局编录服务器,而不是使用由 DNS 服务器返回的服务器来搜索用户名,则键入以下命令启用"Specify Server"(指定服器)选项:
racadm config -g cfgActiveDirectory -o cfgADSpecifyServerEnable 1
启用"Specify Server"(指定服器)选项后,可使用服务器的 IP 地址或完全限定的域名 (FQDN) 指定 LDAP 服务器和全局编录。FQDN 包含服务器的主机名和域名。
要指定 LDAP 服务器,键入:
racadm config -g cfgActiveDirectory -o cfgADDomainController <AD 域控制器 IP 地址>
要指定全局编目服务器,键入:
racadm config -g cfgActiveDirectory -o cfgADGlobalCatalog <AD 全局编录 IP 地址>
2. 使用以下选项之一指定 DNS 服务器:
l 如果 CMC 上已启用 DHCP 并且您希望使用 DHCP 服务器自动获取的 DNS 地址,则键入以下命令:
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1
l 如果 CMC 上已禁用 DHCP,或如果已启用 DHCP 但想要手工指定 DNS IP 地址,则键入以下命令:
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <
主要
DNS IP
地址
>
racadm config -g cfgLanNetworking -o cfgDNSServer2 <
次要
DNS IP
地址
>
扩展架构功能配置完成。
见问题
8-9. CMC 用于 Active Directory:常见问题
注: 只能通过远程 RACADM 使用此命令。有关远程 RACADM 的详细信息,请参阅 "远程访问 RACADM"
注: 当使用"Specify Server"(指定服 器)选项时,认证机构签名认证中的主机名与指定服务器的名称不匹配。如果您是 CMC 管理员,这样尤为有用,因为可以让您
输入主机名和 IP 地址。
注: IP 地址设置为 0.0.0.0 时,将禁止 CMC 搜索服务器。
注: 可以用逗号分隔来指定一列 LDAP 或全局编目服务器。CMC 允许指定多达三个 IP 地址或主机名。
注: 所有域和应用程序的一个或多个 LDAP 未正确配置可能导致现有应用程序/域运作时,产生无法预料的结果。
问题
解答
我能否使用 Active Directory 跨越多个树登录 CMC
是。CMC Active Directory 查询算法支持单个目录林中的多个树。
使用 Active Directory 登录到 CMC 的操作是否可以在混合模式下进行(也就是说,目录
林中的域控制器运行着不同的操作系统,比如 Microsoft Windows 2000 Windows
Server 2003)?
是。在混合模式中,CMC 查询过程使用的所有对象(比如用户、RAC 设备对象和关联对象)
都必须处于同一域中。
如果处于混合模式,Dell 扩展的 Active Directory 用户和计算机管理单元将会检查模式并限
制用户以跨多个域创建对象。
配合使用 CMC Active Directory 是否支持多个域环境?
是。域目录林功能级别必须处在本机 (Native) Windows 2003 模式。此外,关联对
象、RAC 用户对象和 RAC 设备对象(包括关联对象)的组都必须是通用组。
这些 Dell 扩展的对象(Dell 关联对象、Dell RAC 设备和 Dell 权限对象)是否可以位于不
同的域?
关联对象和权限对象必须位于相同的域。Dell 扩展的 Active Directory 用户和计算机管理单
元强制您在相同的域中创建这两个对象。其它对象可以位于不同的域。
域控制器 SSL 配置是否有任何限制?
是。目录林中用于 Active Directory 服务器的所有 SSL 认证都必须由相同的根认证机构签
发的认证签名,因为 CMC 只允许上载一个可信认证机构签发的 SSL 认证。
我创建并上载了一个新 RAC 证书,然而现在 Web 界面不启动。
如果使用 Microsoft Certificate Services 生成 RAC 认证,则您可能在创建认证时不小心
选择了"User Certificate"(用户认证 ,而不是"Web Certificate" Web 认证
要进行恢复,请生成 CSR,然后从 Microsoft Certificate Services 创建新的 Web 证书
并使用以下 RACADM 命令进行上载:
配置一登
Microsoft Windows 2000Windows XPWindows Server 2003Windows Vista Windows Server 2008 可以使用网络验证协议 Kerberos 作为验证方法,使已经登录
到域的用户可以自动或单一登录到 Exchange 等随后的应用程序。
CMC 版本 2.10 开始,CMC 可以使用 Kerberos 支持其它两种类型的登录机制 — 单一登录和 Smart Card 登录。对于单一登录,CMC 使用客户端系统的证书,您使用有效的
Active Directory 帐户登录之后操作系统就会高速缓存这些凭据。
要求
要使用 Kerberos 验证方法,网络必须包括:
l DNS 服务器
l Microsoft Active Directory 服务器
l Kerberos Key Distribution Center(与 Active Directory Server 软件一起打包)
l DHCP 服务器(推荐)
l DNS 服务器反向区域必须有 Active Directory 服务器和 CMC 的条目
端系
l 对于仅通过 Smart Card 登录,客户端系统必须有 Microsoft Visual C++ 2005 Redistributable。有关详情,请参阅
www.microsoft.com/downloads/details.aspx?FamilyID=32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en
l 对于单一登录和 Smart Card 登录,客户端系统必须是 Active Directory 域和 Kerberos 领域的一部分。
CMC
l CMC 必须有固件版本 2.10 或更高版本
l 每个 CMC 都必须有 Active Directory 帐户
l CMC 必须是 Active Directory 域和 Kerberos Realm 的一部分
配置
前提
racadm sslcsrgen [-g]
[-f {filename (文件名称)}]
racadm sslcertupload -t 1 -f {web_sslcert}
如果不能使用 Active Directory 验证方法登录到 CMC,应该怎么办?我如何排除这个问
题?
1. 确保在登录期间使用正确的用户域名,而不是 NetBIOS 名称。
2. 如果具有本地 CMC 用户帐户,请使用本地凭据登录 CMC
登录后,执行以下步骤:
a. 确保已选中 CMC Active Directory 配置页上的"Enable Active
Directory"Active Directory复选框。
b. 确保 CMC 联网配置页上的 DNS 设置正确。
c. 确保已从 Active Directory 根认证机构签发的认证将 Active Directory 认证上载
CMC
d. 检查域控制器 SSL 证书以确保没有过期。
e. 确保 CMC Root 域名CMC 域名 Active Directory 环境配置匹配。
f. 确保 CMC 密码最多有 127 个字符。虽然 CMC 可以支持多达 256 个字符的密
码,但 Active Directory 只支持最大长度为 127 个字符的密码。
注: 选择登录方法不会设置与诸如 SSH 等其它登录界面相关的策略属性。您还必须设置其它登录界面的其它策略属性。如果您要禁用所有其它登录界面,请导航
"Services"(服页并禁用所有(或某些)登录界面。
注: 如果您使用 Windows 2003 上的 Active Directory,应确保客户端系统上安装了最新的 Service Pack 和增补软件。如果您使用 Windows 2008 上的 Active
Directory,应确保安装了 SP1 和以下热补丁:
用于 KTPASS 公用程序的 Windows6.0-KB951191-x86.msu。如果没有此增补软件,该公用程序会生成
错误
Keytab 文件。
Windows6.0-KB957072-x86.msu,用作在 LDAP 绑定过程中使用 GSS_API SSL 事务处理。
l 已经设置了 Active Directory (AD) Kerberos 领域和 Key Distribution Center (KDC) (ksetup)
l 强健的 NTP DNS 基础设施以避免时钟漂移和反向查询出现问题
l 具有授权成员的 CMC 标准模式角色组
配置 Active Directory
"CMC Properties"CMC 性)对话框的"Accounts"帐户选项部分下面,配置以下设置:
l "Account is trusted for delegation"帐户可以委派其 帐户 在选择此选项时,当前 CMC 不使用创建的已转发凭据。能否选择此选项视其它服务要求而定。
l "Account is sensitive and cannot be delegated"(敏感帐户,不能被委派) 能否选择此选项视其它服务要求而定。
l "User Kerberos DES encryption types for the account"帐户的用 Kerberos DES 加密型) 选择此选项。
l "Do not require Kerberos preauthentication"(不要求 Kerberos 预验证 不选择此选项。
在用来将 CMC 映射到 Active Directory 中的用户帐户的域控制器上,运行 ktpass 公用程序(Microsoft Windows 的一部分)。例如:
C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out
c:\krbkeytab
此过程会生成一个 Keytab 文件,必须将该文件上载到 CMC
配置 CMC
CMC 配置为使用在 Active Directory 中设置的标准模式角色组。有关详情,请参阅"配置标准架构 Active Directory 访问 CMC"
Kerberos Keytab 文件
Kerberos Keytab 文件用作 CMC 对于 Kerberos Data Center (KDC) 的用户名和密码凭据,KDC 又允许访问 Active DirectoryKerberos 领域中的每个 CMC 都必须在 Active
Directory 注册,而且必须有唯一的 Keytab 文件。
要上载 Keytab 文件:
1. 导航至"User Authentication"(用户验证选项卡® "Directory Services"(目子选项卡。确保选择 Microsoft Active Directory 展架。否则选
择首选项并单击"Apply"用)
2. 单击"Kerberos Keytab Upload"Kerberos Keytab 部分中的"Browse"浏览,导航至保存 Keytab 文件的文件夹并单击"Upload"(上
上载完成后,将显示一个信息框,说明上载成功或失败。
一登
1. 单击"Chassis Management Controller Network Security"(机箱管理控制器安全)选项卡® Active Directory® "Configure Active Directory"(配置
Active Directory
随即显示"Active Directory Configuration and Management"Active Directory 配置管理)页。
2. "Active Directory Configuration and Management"Active Directory 配置和管理)页上,选择:
l "Single Sign-On"(单一登录)— 此选项使您能够使用登录 Active Directory 时获得的高速缓存的凭据登录 CMC
3. 滚动到页面底部,然后单击"Apply"用)
您可以使用 CLI 命令 test feature 检测使用 Kerberos 验证的 Active Directory
键入:
注: RFC 要求 cmcname.domainname.com 必须小写,而 REALM 名称 @REALM_NAME 必须大写。此外,CMC 支持 Kerberos 验证的 DES-CBC-MD5 类型的加密。
注: Keytab 包含加密密钥,因此必须保管好。有关 ktpass 公用程序的详情,请参阅 Microsoft 网站:
technet2.microsoft.com/windowsserver/en/library/64042138-9a5a-4981-84e9-d576a8db0d051033.mspx?mfr=true
注: 本节中介绍的配置步骤仅适用于 CMC Web 访问。
注: 对于此选项,所有命令行带外接口,包括 Secure Shell (SSH)、远程登录、串行和远程 RACADM 都保持不变。
testfeature -f adkrb -u <
用户
>@<
>
其中用户是有效的 Active Directory 用户帐户。
命令成功表示 CMC 能够获得 Kerberos 凭据和访问用户的 Active Directory 帐户。如果命令不成功,则解决错误并重复该命令。有关详情,请参阅 support.dell.com/manuals
Chassis Management Controller Administrator Reference Guide
配置浏览器以使用一登
Internet Explorer 版本 6.0 和更高版本及 Firefox 版本 3.0 和更高版本支持单一登录。
Internet Explorer
1. Internet Explorer 中,选择"Tools"(工具)®"Internet Options"Internet 选项
2. "Security"(安全)选项卡的"Select a zone to view or change security settings"选择看或更改安全 置的 域)下面,选择"Local Intranet"(本地
Intranet
3. 单击"Sites"(站
此时将显示"Local Intranet"(本地 Intranet对话框。
4. 单击"Advanced"(高
此时将显示"Local Intranet Advance Settings"(本地 Intranet 级设置)对话框。
5. "Add this site to the zone"站添加到域)中,键入 CMC 的名称和它所属的域,然后单击"Add"(添加)
Mozilla Firefox
1. Firefox 中的"Address"(地址)栏中键入 about:config
2. "Filter"过滤器)文本框中,键入 negotiate
浏览器将显示首选项名称的列表,这些名称必须包含单词 negotiate
3. 在该列表中,双击 network.negotiate-auth.trusted-uris
4. "Enter string value"入字符串的对话框中,键入 CMC 的域名并单击"OK"定)
使用一登CMC
1. 使用网络帐户登录客户端系统。
2. 使用以下方式访问 CMC Web 页面
https://<CMC
.
域名
>
例如,cmc-6G2WXF1.cmcad.lab
其中,cmc-6G2WXF1 CMC 名称
cmcad.lab 是域名。
注: 仅当 CMC 结合使用单一登录和 Kerberos 验证时,以下说明才适用。
注: 您可以使用通配符 (*) 指定该域中的所有设备/用户。
注: 如果浏览器显示"This might void your warranty"这样可能失去保)警告,单击"I'll be careful. I promise"(我保
心)
注: 您不能使用 IP 地址进行单一登录或 Smart Card 登录。Kerberos 根据完全限定域名 (FQDN) 验证凭据。
将显示CMC"Single Sign-On"(单 一登 页。
3. 单击"Login"(登
CMC 会使用在您使用有效 Active Directory 帐户登录时浏览器高速缓存的 Kerberos 凭据来使您登录。如果登录失败,浏览器将重定向至正常的 CMC 登录页。
配置 Smart Card 验证
传统的验证模式使用用户名和密码来验证用户。而双重验证则提供了更高的安全性,要求用户具有密码或 PIN 以及含有私人密钥和数字证书的实物卡。Kerberos 是一种使用此双重验证机
制的网络验证协议,使系统可以证明其真实性。Microsoft Windows 2000Windows XPWindows Server 2003Windows Vista Windows Server 2008 Kerberos
用作首选的验证方法。从 CMC 版本 2.10 开始,CMC 可以使用 Kerberos 支持 Smart Card 登录。
要求
Smart Card "系统要求" 与单一登录相同。
配置
Smart Card "前提条件" 与单一登录相同。
配置 Active Directory
1. 如果 Active Directory Kerberos 领域和 Key Distribution Center (KDC) 尚未配置,则进行设置 (ksetup)
2. 为每个 CMC 创建 Active Directory 用户,配置为使用 Kerberos DES 加密,而不是预验证。
3. 使用 Ktpass Key Distribution Center 注册 CMC 用户(这也会将一个密钥上载到 CMC)。
配置 CMC
CMC 配置为使用在 Active Directory 中设置的标准模式角色组。有关详情,请参阅"配置标准架构 Active Directory 访问 CMC"
Kerberos Keytab 文件
Kerberos Keytab 文件用作 CMC 对于 Kerberos Data Center (KDC) 的用户名和密码凭据,KDC 又允许访问 Active DirectoryKerberos 领域中的每个 CMC 都必须在 Active
Directory 注册,而且必须有唯一的 Keytab 文件。
要上载 Keytab 文件:
1. 导航至"User Authentication"(用户验证选项卡® "Directory Services"(目子选项卡。确保选择 Microsoft Active Directory 展架。否则选
择首选项并单击"Apply"用)
2. 单击"Kerberos Keytab Upload"Kerberos Keytab 部分中的"Browse"浏览,导航至保存 Keytab 文件的文件夹并单击"Upload"(上载)。
上载完成后,将显示一个信息框,说明上载成功或失败。
注: 如果您更改了默认 HTTPS 端口号(端口 80),则使用 <CMC
.
域名
>:<
端口
> 访问 CMC Web 页面,其中 CMC
CMC CMC 主机名,
域名
域名,
端口
HTTPS 端口号。
注: 如果您没有登录到 Active Directory 域,而且使用的是除 Internet Explorer 以外的浏览器,则登录将失败,而且浏览器仅显示空白页。
注: 选择登录方法不会设置与诸如 SSH 等其它登录界面相关的策略属性。您还必须设置其它登录界面的其它策略属性。如果您要禁用所有其它登录界面,请导航
"Services"(服页并禁用所有(或某些)登录界面。
注: 确保具有强健的 NTP DNS 基础设施,以避免时钟漂移和反向查询出现问题。
注: 本节中介绍的配置步骤仅适用于 CMC Web 访问。
Smart Card 验证
1. 导航至"User Authentication"(用户验证选项卡® "Directory Services"(目子选项卡。确保选择 Microsoft Active Directory 展架
2. "Common Settings"(常见设置)部分中选择:
l Smart Card 此选项要求将 Smart Card 插入阅读器并输入 PIN 码。
3. 滚动到页面底部,然后单击"Apply"用)
您可以使用 CLI 命令 testfeature 检测使用 Kerberos 验证的 Active Directory
键入:
testfeature -f adkrb -u <
用户
>@<
>
其中用户是有效的 Active Directory 用户帐户。
命令成功表示 CMC 能够获得 Kerberos 凭据和访问用户的 Active Directory 帐户。如果命令不成功,则解决错误并重复该命令。有关详情,请参阅 RACADM 命令 testfeature 文档。
配置浏览器以使用 Smart Card
Mozilla Firefox
CMC 2.10 不支持通过 Firefox 浏览器进行 Smart Card 登录。
Internet Explorer
确保 Internet 浏览器配置为下载 Active-X 插件。
使用 Smart Card CMC
1. 使用网络帐户登录客户端系统。
2. 使用以下方式访问 CMC Web 页面。
https://<CMC
.
域名
>
例如,cmc-6G2WXF1.cmcad.lab
其中,cmc-6G2WXF1 CMC 名称
cmcad.lab 是域名。
将显示 CMC "Single Sign-On"一登页,提示插入 Smart Card
3. Smart Card 插入阅读器并单击"OK"定)
将显示 PIN 对话框。
4. 另外,可选择会话超时。这是登录后可保持无活动状态的时间。默认值为 Web 服务会话空闲超时。有关详情,请参阅"配置服务"
5. 输入 PIN,并单击"OK"定)
注: 对于此选项,所有命令行带外接口,包括 Secure Shell (SSH)、远程登录、串行和远程 RACADM 都保持不变。
注: 您不能使用 IP 地址进行单一登录或 Smart Card 登录。Kerberos 根据完全限定域名 (FQDN) 验证凭据。
注: 如果您更改默认 HTTPS 端口号(端口 80),则使用 <cmcname.domain-name>:<port number> 访问 CMC Web 页面,其中 cmcname CMC
CMC 主机名,domain-name 是域名,port number HTTPS 端口号。
/