Dell Chassis Management Controller Version 3.0 ユーザーガイド

DellChassisManagementControllerFirmware版本 3.0 用户指南

注和小心

____________________

本出版物中的信息如有更改，恕不另行通知。

未经 Dell Inc. 书面许可，严禁以任何形式复制这些材料。本文中使用的商标：Dell™、DELL 徽标、FlexAddress™

、

OpenManage™、PowerEdge™ 和 PowerConnect™ 是 Dell Inc.的商标。Microsoft®、

Active Directory®

、

Internet Explorer®、Windows®、Windows Server®

和

Windows Vista® 是 Microsoft Corporation 在美国和其他国家/地区的商标

或

注册商标。Red Hat® 和 Red Hat

Enterprise Linux® 是 Red Hat, Inc. 在美国和其它国家/地区的注册商标。Novell® 和 SUSE® 分别是 Novell Inc. 在美国和其它国家/地区的注册商标和商标。Intel®

是 Intel Corporation 的注册商标。

UNIX® 是 The Open Group 在美国和其它国家/地区的注册商标。Avocent® 是 Avocent Corporation 的商标。OSCAR® 是 Avocent Corporation 或其子公司的注册商标。

可证的副本包括在分发目录顶层中的 LICENSE 文件中，您也可以在 http://www.OpenLDAP.org/license.html 中找到。OpenLDAP 是 The OpenLDAP Foundation 的注册商标。一些单独文件和/或附送软件

包的版权可能归其它方所有，受其它条款的制约。此软件根据 University of Michigan LDAP v3.3 分发版本开发出来。此软件还包含来自公共来源的材料。有关 OpenLDAP 的信息可以从

所有，翻印必究）。无论修改与否，以源代码和二进制的形式重新分发或使用都必须经过 OpenLDAP Public License 的授权许可。部分版权 1999-2003 Howard Y.H.Chu。部分版权 1999-2003 Symas

的名称不得用于标记或宣传那些根据本软件开发出来的产品。本软件按"原样"提供，不带任何明示或暗示的保证。

本说明文件中述及的其它商标和产品名称是指拥有相应商标和产品名称的公司或其制造的产品。Dell Inc. 对其它公司的商标和产品名称不拥有任何所有权。

2010 年 7 月

概览

使用 FlexAddress Plus

安装和设置 CMC

使用 CMC 目录服务

配置 CMC 使用命令行控制台

电源管理

使用 RACADM 命令行界面

使用 iKVM 模块

使用 CMC Web 界面

I/O 结构管理

使用 FlexAddress

故障排除和恢复

注： "注"表示可以帮助您更好地使用计算机的重要信息。

小心： "小心"表示可能会导致财产损失、人身伤害甚至死亡。

 使用 CMC 目录服务

DellChassisManagementControllerFirmware版本 3.0 用户指南

将 CMC 用于 Microsoft Active Directory

标准架构 Active Directory 概述

扩展架构概览

配置单一登录

配置 Smart Card 双重验证

使用 CMC 及通用 LDAP

目录服务维护一个公用数据库，在其中存储用于控制网络用户、计算机、打印机等的所有必需信息。如果您的公司使用 Microsoft Active Directory 服务软件或 LDAP 目录服务软件，您可

配置 CMC 根据用户验证使用目录。

将 CMC 用于 Microsoft Active Directory



Active Directory 架构扩展

您可以通过两种方法使用 ActiveDirectory定义对 CMC 的用户访问：

l 仅使用 Active Directory 组对象的标准架构解决方案。

l 使用由 Dell 定义的 Active Directory 对象的扩展架构解决方案。



标准架构与扩展架构

使用 Active Directory 配置到 CMC 的权限时，必须选择扩展架构或标准架构。

使用标准架构解决方案：

l 无需架构扩展，因为标准架构只使用标准 Active Directory 对象。

l Active Directory 的配置很简单。

使用扩展架构解决方案：

l 所有权限控制对象都在 Active Directory 中。

l 使用不同权限级别配置不同 CMC 上用户访问权限可提供最大灵活性。

标准架构 Active Directory 概述

使用标准架构进行 Active Directory 集成，需要对 Active Directory 和 CMC 都进行配置。

在 Active Directory 端，标准组对象用作角色组。具有 CMC 权限的用户是该角色组的成员。

为了授予该用户对特定 CMC 卡的权限，需要在特定 CMC 卡上配置角色组名称及其域名。与扩展架构不同，角色和权限级别定义在各个 CMC 卡上，而不是 Active Directory 中。每个

CMC 中可配置和定义多达五个角色组。表 5-41 显示了角色组的权限级别而表 8-1 显示了默认角色组设置。

图 8-1.使用 Active Directory 和标准架构进行 CMC 配置

注：在 Microsoft Windows 2000 和 Windows Server 2003 操作系统上支持使用 Active Directory 识别 CMC 用户。只有 Windows 2008 支持基于 IPv6 的 Active

Directory。

表 8-1.默认角色组权限

有两种方式启用标准架构 Active Directory：

l 使用 CMC Web 界面。请参阅"使用标准模式 Active Directory 和 Web 界面配置 CMC"。

l 用 RACADM CLI 工具。请参阅"使用标准模式 Active Directory 和 RACADM 配置 CMC"。



配置标准架构 Active Directory 访问 CMC

Active Directory 用户能访问 CMC 之前，需要执行以下步骤配置 Active Directory：



1. 在 Active Directory 服务器（域控制器）上，打开 Active Directory 用户和计算机管理单元。



2. 创建组或选择现有组。必须通过 Web 界面或 RACADM 在 CMC 上配置组名和该域的名称。

有关详细信息，请参阅"使用标准模式 Active Directory 和 Web 界面配置 CMC" 或 "使用标准模式 Active Directory 和 RACADM 配置 CMC"。



角色组



默认权

限

级别



授予的权限



位掩码

1

无

l CMC 登录用户

l 机箱配置管理员

l 用户配置管理员

l 清除日志管理员

l 机箱控制管理员（电源命令）

l 高级用户

l 服务器管理员

l 检测警报用户

l 调试命令用户

l 结构 A 管理员

l 结构 B 管理员

l 结构 C 管理员

0x00000fff

2

无

l CMC 登录用户

l 清除日志管理员

l 机箱控制管理员（电源命令）

l 服务器管理员

l 检测警报用户

l 结构 A 管理员

l 结构 B 管理员

l 结构 C 管理员

0x000000f9

3

无

CMC 登录用户

0x00000001

4

无

没有分配权限

0x00000000

5

无

没有分配权限

0x00000000

注：位掩码值只有在用 RACADM 设置标准模式时才使用。

注：有关用户权限的详情，请参阅 "用户类型"。



3. 添加 Active Directory 用户作为 Active Directory 组的成员以访问 CMC。



使用标准模式 Active Directory 和 Web 界面配置 CMC



1. 登录 CMC Web 界面。



2. 选择系统树中的"Chassis"（机箱）。



3. 单击"User Authentication"（用户验证）® "Directory Services"（目录服务）。显示"Directory Services"（目录服务）页。



4. 选择 Microsoft Active Directory（标准架构）旁的单选按钮。"Active Directory Configuration and Management"（Active Directory 配置与管理）页会出现。



5. 在"Common Settings"（常见设置）部分：

a. 选择"Enable Active Directory"（启用 Active Directory）复选框。

b. 键入"Root Domain Name"（Root 域名）。

c. 键入超时时间，以秒为单位。超时范围 15–300 秒。默认超时时间为 90 秒。



6. 如果要用定向调用搜索域控制器和全局编录，请选择"Search AD Server to search (Optional)"（搜索 AD 服务器以搜索 [可选]）复选框，然后执行以下操作：

a. 在"Domain Controller"（域控制器）文本字段中，键入安装了 Active Directory 服务的服务器。

b. 在"Global Catalog"（全局编录）文本字段中，键入全局编录在 Active Directory 域控制器上的位置。全局编录提供了搜索 Active Directory 森林的资源。



7. 单击"Apply"（应用）保存设置。



8. 在"Standard Schema Settings"（标准架构设置）部分，单击"Role Group"（角色组）。此时将显示"Configure Role Group"（配置角色组）页。



9. 键入"Group Name"（组名称）。组名称可标识与 CMC 卡相关联的 Active Directory 中的角色组。



10. 键入"Group Domain"（组域）。"Group Domain"（组域）是目录林的完全限定 Root 域名。



11. 在"Role Group Privileges"（角色组权限）页中，选择组的权限。

如果修改任何权限，现有"Role Group Privilege"（角色组权限）（管理员、高级用户或客用户）会更改为自定义组或相应角色组权限。请参阅表 5-41。



12. 单击"Apply"（应用）保存角色组设置。



13. 单击"Go Back To Configuration Page"（退回到配置页）。



14. 将域目录林根认证机构签发的认证上载到 CMC。在"Certificate Management"（证书管理）部分键入认证的文件路径或浏览至认证文件。单击"Upload"（上载）按钮传输文

件到 CMC。

域控制器的 SSL 认证必须由根认证机构签名认证签名。在访问 CMC 的 management station 上必须提供根认证机构签发的认证。



15. 单击"Apply"（应用）。CMC Web 服务器将在单击"Apply"（应用）后自动重新启动。



16. 注销，然后登录 CMC 以完成 CMC Active Directory 功能配置。



17. 选择系统树中的"Chassis"（机箱）。



18. 单击"Network"（网络）选项卡。



19. 单击"Network"（网络）子选项卡。显示"Network Configuration"（网络配置）页。



20. 如果在"Network Settings"（网络设置）下选择了"Use DHCP"（使用 DHCP）（用于 CMC 网络接口 IP 地址），则选择"Use DHCP to obtain DNS server

address"（使用 DHCP 获取 DNS 服务器地址）。

注：根域名必须是使用 x.y 命名规范的有效域名，其中 x 是 1–256 个字符的 ASCII 字符串，字符之间不带空格，且 y 是有效的域类型，如 com、edu、gov、int、

mil、net 或 org。

注：继续下一步前必须应用设置。如果不应用这些设置，则导航至下一页后会丢失这些输入的设置。

注： "File Path"（文件路径）值显示上载的证书的相对文件路径。必须键入绝对文件路径，包括全路径和完整文件名及文件扩展名。

要手动输入 DNS 服务器 IP 地址，请取消选中"Use DHCP to obtain DNS server address"（使用 DHCP 获取 DNS 服务器地址）并键入主要和备用 DNS 服务器 IP 地

址。



21. 单击"Apply Changes"（应用更改）。

CMC 标准模式 Active Directory 功能配置完成。



使用标准模式 Active Directory 和 RACADM 配置 CMC

要使用 RACADM CLI 和标准架构 Active Directory 功能配置 CMC，可使用以下命令：



1. 打开到 CMC 的串行/远程登录/SSH 文本控制台，并键入：

racadm config -g cfgActiveDirectory -o cfgADEnable 1

racadm config -g cfgActiveDirectory -o cfgADType 2

racadm config -g cfgActiveDirectory -o cfgADRootDomain <

完全限定的

root

域名

>

racadm config -g cfgStandardSchema -i <索引> -o cfgSSADRoleGroupName <

角色组的常用名

>

racadm config -g cfgStandardSchema -i <索引> -o cfgSSADRoleGroupDomain <

完全限定域名

>

racadm config -g cfgStandardSchema -i <索引> -o cfgSSADRoleGroupPrivilege <针对特定用户权限的位掩码值>

racadm sslcertupload -t 0x2 -f <ADS

根

CA

证书

>

racadm sslcertdownload -t 0x1 -f <RAC SSL

证书

>



2. 使用以下选项之一指定 DNS 服务器：

l 如果 CMC 上已启用 DHCP 并且您希望使用 DHCP 服务器自动获取的 DNS 地址，则键入以下命令：

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1

l 如果 CMC 上已禁用 DHCP，或想要手工输入 DNS IP 地址，则键入以下命令：

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0

racadm config -g cfgLanNetworking -o cfgDNSServer1 <

主要

DNS IP

地址

>

racadm config -g cfgLanNetworking -o cfgDNSServer2 <次要 DNS IP 地址>

扩展架构概览

有两种方式在 Active Directory 中启用扩展架构：

l 使用 CMC Web 界面。有关说明，请参阅 "使用扩展架构 Active Directory 和 Web 界面配置 CMC"。

l 使用 RACADM CLI 工具。有关说明，请参阅 "使用扩展架构 Active Directory 和 RACADM 配置 CMC"。



Active Directory 架构扩展

Active Directory 数据是属性和类的分布式数据库。Active Directory 架构包含确定可添加或包含在数据库中的数据类型的规则。

数据库中存储的类的一个示例就是用户类。用户类属性包括用户的名字、姓氏、电话号码等。

您可以通过添加自己独特的属性和类扩展 Active Directory 数据库以解决特定环境下的需求。Dell 扩展了该架构，包括必要的更改以支持远程管理验证和授权。

每个添加到现有 Active Directory 架构的属性或类都必须定义唯一的 ID。为在整个行业中保持唯一的 ID，Microsoft 维护着 Active Directory 对象标识符 (OID) 的数据库。为在

Microsoft 的 Active Directory 中扩展架构，Dell 为 Dell 特定的属性和类建立了唯一的 OID、唯一的名称扩展名和唯一链接的属性 ID：

Dell 扩展名：dell

Dell 基础 OID ：1.2.840.113556.1.8000.1280

RAC LinkID 范围：12070–2079



注：对于位掩码数字值，请参阅

《

Dell Chassis Management Controller Administrator Reference Guide.

》

的数据库属性一章中的表 3-1。



RAC 架构扩展概览

Dell 提供了一组可以配置的属性。Dell 扩展架构包括关联、设备和权限属性。

关联属性可将具有一组特定权限的用户或组与一个或多个 RAC 设备链接起来。这种模式给管理员提供了极大的灵活性，可以对网络上的用户、RAC 权限和 RAC 设备进行各种组合而无需增

加太多的复杂性。



Active Directory 对象概览

当要与 Active Directory 集成以进行验证和授权的网络上有两个 CMC 时，必须为其中每个 CMC 创建至少一个"关联"对象和一个 RAC"设备"对象。可以创建多个"关联"对象，每个"关

联"对象都可以链接到任意多个用户、用户组或 RAC"设备"对象。用户和 RAC 设备对象可以是企业任何域中的成员。

不过，每个"关联"对象只能链接（或者可能链接用户、用户组或 RAC"设备"对象）到一个"权限"对象。此示例允许管理员控制特定 CMC 上的每个用户权限。

RAC 设备对象就是到 RAC 固件的链接，用于查询 Active Directory 以进行验证和授权。将 RAC 添加到网络后，管理员必须使用 Active Directory 名称配置 RAC 及其设备对象，以便

用户可以使用 Active Directory 执行验证和授权。管理员还必须将 RAC 添加到至少一个"关联"对象以使用户能够验证。

图 8-2 说明关联对象提供了进行所有验证和授权所需的连接。

可以根据需要创建任意数量的关联对象。然而，必须创建至少一个关联对象，对于网络上每一个想与 Active Directory 集成的 RAC (CMC) 来说，则必须有一个 RAC 设备对象。

图 8-2.ActiveDirectory对象的典型设置

关联对象允许任意数量的用户和/或组以及 RAC 设备对象。然而，每个关联对象只有一个权限对象。"关联"对象连接那些对 RAC (CMC) 具有"权限"的"用户"。

此外，可以在一个域或多个域中配置 Active Directory 对象。例如，已有两个 CMC（RAC1 和 RAC2）和三个 Active Directory 现有用户（用户 1、用户 2 和用户 3）。想要授予用

户 1 和用户 2 对两个 CMC 的管理员权限并授予用户 3 对 RAC2 卡的登录权限。图 8-3 显示了如何在此情况下设置 Active Directory 对象。

添加来自不同域的通用组时，请创建一个具有通用范围的关联对象。Dell Schema Extender 公用程序创建的默认关联对象是域本地组，不能与来自其它域的通用组一起使用。

图 8-3.在一个域中设置 Active Directory 对象

注： RAC 权限对象适用于 DRAC 4、DRAC 5 和 CMC。

要为单域情况配置对象：



1. 创建两个关联对象。



2. 创建两个 RAC"设备"对象（RAC1 和 RAC2）用以代表两个 CMC。



3. 创建两个权限对象（权限 1 和权限 2），其中权限 1 具有所有权限（管理员），而权限 2 仅具有登录权限。



4. 将用户 1 和用户 2 归到组 1。



5. 将组 1 添加为关联对象 1 (A01) 的成员，权限 1 作为 A01 的权限对象，而 RAC1 和 RAC2 作为 A01 中的 RAC 设备。



6. 将用户 3 添加为关联对象 2 (A02) 的成员，权限 2 作为 A02 的权限对象，而 RAC2 作为 A02 中的 RAC 设备。

有关详细指导，请参阅 "将 CMC 用户和权限添加到 Active Directory"。

图 8-4 提供多个域中 Active Directory 对象的示例。在这种情况下，已有两个 CMC（RAC1 和 RAC2）和三个 Active Directory 现有用户（用户 1、用户 2 和用户 3）。用户 1 位

于域 1 中，用户 2 和用户 3 位于域 2 中。在此情况下，配置用户 1 和用户 2 具有对两个 CMC 的管理员权限，配置用户 3 具有对 RAC2 卡的登录权限。

图 8-4.在多个域中设置 Active Directory 对象

要为多域情况配置对象：



1. 确保域目录林功能处在本机或 Windows 2003 模式。



2. 在任意域中创建两个"关联"对象：A01（范围是 Universal）和 A02。

图 8-4 显示域 2 中的对象。



3. 创建两个 RAC"设备"对象（RAC1 和 RAC2）用以代表两个 CMC。



4. 创建两个权限对象（权限 1 和权限 2），其中权限 1 具有所有权限（管理员），而权限 2 仅具有登录权限。 
 
  
5. 将用户 1 和用户 2 归到组 1。组 1 的组范围必须是通用。 
 
  
6. 将组 1 添加为关联对象 1 (A01) 的成员，权限 1 作为 A01 的权限对象，而 RAC1 和 RAC2 作为 A01 中的 RAC 设备。 
 
  
7. 将用户 3 添加为关联对象 2 (A02) 的成员，权限 2 作为 A02 的权限对象，而 RAC2 作为 A02 中的 RAC 设备。 
 
 
配置扩展架构 Active Directory 访问 CMC 
使用 Active Directory 访问 CMC 之前，应配置 Active Directory 软件和 CMC： 
 
1. 扩展 Active Directory 架构（请参阅"扩展 Active Directory 架构"）。 
 
  
2. 扩展 Active Directory 用户和计算机管理单元（请参阅 "安装 Dell 对 Active Directory 用户和计算机管理单元的扩展"）。 
 
  
3. 将 iDRAC 用户及其权限添加到 Active Directory（请参阅 "将 CMC 用户和权限添加到 Active Directory"）。 
 
  
4. 在各个域控制器上启用 SSL。 
 
  
5. 使用 CMC Web 界面或 RACADM 配置 CMC Active Directory 属性（请参阅 "使用扩展架构 Active Directory 和 Web 界面配置 CMC" 或 "使用扩展架构 Active Directory 
和 RACADM 配置 CMC"）。 
 
 
扩展 Active Directory 架构 
扩展 Active Directory 架构将会在 Active Directory 架构中添加一个 Dell 组织单元、架构类和属性以及示例权限和关联对象。扩展架构前，必须在域目录林的"架构主机灵活单主机操作 
(FSMO) 角色所有者"上具有架构管理权限。 
可以使用以下方法之一扩展架构：  
l Dell Schema Extender 公用程序 
 
l LDIF 脚本文件 
 
如果使用 LDIF 脚本，将不会把 Dell 组织单元添加到架构。 
LDIF 文件和 Dell Schema Extender 分别位于 Dell Systems Management Tools and Documentation DVD 的以下目录中： 
l <DVD 驱动器>:\SYSMGMT\ManagementStation\support\ 
OMActiveDirectory_Tools\<安装类型>\LDIF Files 
 
l <DVD 驱动器>:\SYSMGMT\ManagementStation\support\ 
OMActiveDirectory_ Tools\<安装类型>\Schema Extender 
 
要使用 LDIF 文件，请参阅 LDIF_Files 目录中自述文件中的说明。有关使用 Dell Schema Extender 扩展 Active Directory 架构的说明，请参阅 "使用 Dell Schema Extender"。 
可以从任意位置复制并运行 Schema Extender 或 LDIF 文件。 
 
使用 Dell Schema Extender 
Dell Schema Extender 使用 SchemaExtenderOem.ini 文件。要确保 Dell Schema Extender 公用程序运行正常，请勿修改该文件的名称。 
 
1. 在"Welcome"（欢迎）屏幕中单击"Next"（下一步）。 
 
  
2. 阅读并了解警告，单击"Next"（下一步）。 
 
  
3. 选择"Use Current Log In Credentials"（使用当前登录凭据）或输入具有架构管理员权限的用户名和密码。 
 
  
4. 单击"Next"（下一步）运行 Dell Schema Extender。 
 
  
5. 单击"Finish"（完成）。 
 
架构将会扩展。要验证架构扩展，请使用 Microsoft 管理控制台 (MMC) 和 Active Directory 架构管理单元验证以下内容是否存在： 
l 类 — 请参阅 表 8-2 到 表 8-7 
 
l 属性 — 请参阅 表 8-8 
 

请参阅 Microsoft 说明文件详细了解如何在 MMC 中启用和使用 Active Directory 架构管理单元。

表 8-2.添加到 Active Directory 架构的类的类定义

表 8-3.dellRacDevice类

表 8-4.dellAssociationObject类

表 8-5.dellRAC4Privileges类

表 8-6.dellPrivileges类

表 8-7.dellProduct类



类名称



分配的对象标识号 (OID)

dellRacDevice

1.2.840.113556.1.8000.1280.1.1.1.1

dellAssociationObject

1.2.840.113556.1.8000.1280.1.1.1.2

dellRACPrivileges

1.2.840.113556.1.8000.1280.1.1.1.3

dellPrivileges

1.2.840.113556.1.8000.1280.1.1.1.4

dellProduct

1.2.840.113556.1.8000.1280.1.1.1.5

OID

1.2.840.113556.1.8000.1280.1.1.1.1

说明

表示 Dell RAC 设备。RAC 设备必须在 Active Directory 中配置为 dellRacDevice。这种配置使 CMC 能够向 Active Directory 发送轻量级目录访问协议 (LDAP) 查询。

类的类型

结构类

超类

dellProduct

属性

dellSchemaVersion

dellRacType

OID

1.2.840.113556.1.8000.1280.1.1.1.2

说明

表示 Dell 关联对象。关联对象提供用户和设备之间的连接。

类的类型

结构类

超类

组

属性

dellProductMembers

dellPrivilegeMember

OID

1.2.840.113556.1.8000.1280.1.1.1.3

说明

定义 CMC 设备的授权权利（权限）。

类的类型

辅助类

超类

无

属性

dellIsLoginUser

dellIsCardConfigAdmin

dellIsUserConfigAdmin

dellIsLogClearAdmin

dellIsServerResetUser

dellIsTestAlertUser

dellIsDebugCommandAdmin

dellPermissionMask1

dellPermissionMask2

OID

1.2.840.113556.1.8000.1280.1.1.1.4

说明

Dell 权限（授权权利）的容器类。

类的类型

结构类

超类

用户

属性

dellRAC4Privileges

OID

1.2.840.113556.1.8000.1280.1.1.1.5

表 8-8.添加到 Active Directory 架构的属性的列表

说明

所有 Dell 产品派生所依据的主类。

类的类型

结构类

超类

计算机

属性

dellAssociationMembers



分配的 OID/语法对象标识符



单值

属性：dellPrivilegeMember

说明：属于此属性的 dellPrivilege 对象的列表。



OID：1.2.840.113556.1.8000.1280.1.1.2.1

可分辨名称： (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSE

属性：dellProductMembers

说明：属于此角色的 dellRacDevices 对象的列表。此属性是指向 dellAssociationMembers 后退链接的前进链接。

链接 ID: 12070



OID：1.2.840.113556.1.8000.1280.1.1.2.2

可分辨名称： (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSE

属性：dellIsCardConfigAdmin

说明：如果用户具有设备的卡配置权限，则为 TRUE。

OID： 1.2.840.113556.1.8000.1280.1.1.2.4

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

属性：dellIsLoginUser

说明：如果用户具有设备的登录权限，则为 TRUE。



OID：1.2.840.113556.1.8000.1280.1.1.2.3

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

属性：dellIsCardConfigAdmin

说明：如果用户具有设备的卡配置权限，则为 TRUE。



OID： 1.2.840.113556.1.8000.1280.1.1.2.4

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

属性：dellIsUserConfigAdmin

说明：如果用户具有设备的用户配置管理员权限，则为 TRUE。



OID：1.2.840.113556.1.8000.1280.1.1.2.5

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

属性：delIsLogClearAdmin

说明：如果用户具有设备的清除日志管理员权限，则为 TRUE。



OID：1.2.840.113556.1.8000.1280.1.1.2.6

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

属性：dellIsServerResetUser

说明：如果用户具有设备的服务器重设权限，则为 TRUE。

OID：1.2.840.113556.1.8000.1280.1.1.2.7

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

属性：dellIsTestAlertUser

说明：如果用户具有设备的检测警报用户权限，则为 TRUE。

OID：1.2.840.113556.1.8000.1280.1.1.2.10

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

属性：dellIsDebugCommandAdmin



安装 Dell 对 Active Directory 用户和计算机管理单元的扩展

扩展 Active Directory 中的模式时，还必须扩展 Active Directory 用户和计算机管理单元，以使管理员能够管理 RAC (CMC) 设备、用户和用户组、RAC 关联和 RAC 权限。

使用 Dell Systems Management Tools and Documentation DVD 安装系统管理软件时，可以通过在安装过程中选择"Dell Extension to the Active Directory User's and

Computers Snap-In"（到 Active Directory 用户和计算机管理单元的 Dell 扩展）选项来扩展管理单元。请参阅

《

Dell OpenManage Software Quick Installation Guide

》

进

一步了解如何安装系统管理软件。

有关 Active Directory 用户和计算机管理单元的详情，请参阅 Microsoft 说明文件。



安装 Administrator Pack

必须在管理 Active Directory CMC 对象的每个系统上安装 Administrator Pack。如果不安装 Administrator Pack，将无法在容器中查看 Dell RAC 对象。



打开 Active Directory 用户和计算机管理单元

要打开 Active Directory 用户和计算机管理单元：



1. 如果登录到域控制器，则单击"Start"（开始）®"Admin Tools"（管理工具）®"Active Directory Users and Computers"（Active Directory 用户和计算机）。

如果没有登录到域控制器上，则必须在本地系统上安装相应的 Microsoft Administrator Pack。要安装此 Administrator Pack，单击"Start"（开始）® "Run"（运行），键

入 MMC 并按 <Enter>。

Microsoft 管理控制台 (MMC) 显示。



2. 在"Console 1"（控制台 1）窗口中，单击"File"（文件）（如果是运行 Windows 2000 的系统，则单击"Console"（控制台））。



3. 单击"Add/Remove Snap-in"（添加/删除管理单元）。



4. 选择"Active Directory Users and Computers"（Active Directory 用户和计算机）管理单元并单击"Add"（添加）。



5. 单击"Close"（关闭）并单击"OK"（确定）。



说明：如果用户具有设备的调试命令管理员权限，则为 TRUE。

OID：1.2.840.113556.1.8000.1280.1.1.2.11

布尔值 (LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

属性：dellSchemaVersion

说明：当前架构版本用于更新架构。

OID：1.2.840.113556.1.8000.1280.1.1.2.12

大小写忽略字符串 (LDAPTYPE_CASEIGNORESTRING

1.2.840.113556.1.4.905)

TRUE

属性：dellRacType

说明：此属性是 dellRacDevice 对象的当前 Rac 类型和到 dellAssociationObjectMembers 前进链接的后退链接。



OID：1.2.840.113556.1.8000.1280.1.1.2.13

大小写忽略字符串 (LDAPTYPE_CASEIGNORESTRING

1.2.840.113556.1.4.905)

TRUE

属性：dellAssociationMembers

说明：属于此产品的 dellAssociationObjectMembers 的列表。此属性是到 dellProductMembers 链接属性的后退链接。

链接 ID：12071



OID：1.2.840.113556.1.8000.1280.1.1.2.14

可分辨名称 (LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSE

属性：dellPermissionsMask1



OID：1.2.840.113556.1.8000.1280.1.6.2.1 整数 (LDAPTYPE_INTEGER)

属性：dellPermissionsMask2



OID：1.2.840.113556.1.8000.1280.1.6.2.2 整数 (LDAPTYPE_INTEGER)

将 CMC 用户和权限添加到 Active Directory

使用 Dell 扩展的 Active Directory 用户和计算机管理单元，使您能够通过创建 RAC、关联和权限对象添加 CMC 用户和权限。要添加各种对象类型，请：



1. 创建 RAC 设备对象。



2. 创建权限对象。



3. 创建关联对象。



4. 将对象添加到关联对象。



创建 RAC 设备对象



1. 在 MMC 的"Console Root"（控制台根目录）窗口中，右键单击一个容器。



2. 选择"New"（新建）® "Dell RAC Object"（Dell RAC 对象）。

系统将显示"New Object"（新建对象）窗口。



3. 为新对象键入名称。该名称必须与准备在 "使用扩展架构 Active Directory 和 Web 界面配置 CMC" 步骤 8a 中键入的 CMC 名称相同。



4. 选择"RAC Device Object"（RAC 设备对象）。



5. 单击"OK"（确定）。



创建权限对象



1. 在"Console Root"（控制台根目录）(MMC) 窗口中，右键单击一个容器。



2. 选择"New"（新建）® "Dell RAC Object"（Dell RAC 对象）。

系统将显示"New Object"（新建对象）窗口。



3. 为新对象键入名称。



4. 选择"Privilege Object"（权限对象）。



5. 单击"OK"（确定）。



6. 右键单击创建的权限对象并选择"Properties"（属性）。



7. 单击"RAC Privileges"（RAC 权限）选项卡并选择要让用户拥有的权限。有关 CMC 用户权限的详情，请参阅 "用户类型"。



创建关联对象

关联对象从组派生而来，必须包含组类型。关联范围为关联对象指定安全组类型。创建关联对象时，请选择适用于要添加对象的类型的关联范围。

例如，如果选择"Universal"（通用），则关联对象仅当 Active Directory 域以本机模式或更高模式运行时才可用。



1. 在"Console Root"（控制台根目录）(MMC) 窗口中，右键单击一个容器。



2. 选择"New"（新建）® "Dell RAC Object"（Dell RAC 对象）。

这将打开"New Object"（新建对象）窗口。



3. 为新对象键入名称。



4. 选择"Association Object"（关联对象）。

注：权限对象必须和相关关联对象创建在同一个域中。



5. 选择"Association Object"（关联对象）的范围。



6. 单击"OK"（确定）。



将对象添加到关联对象

使用关联对象属性窗口，可以关联用户或用户组、权限对象和 RAC 设备或 RAC 设备组。如果系统运行 Windows 2000 模式或更高模式，请使用通用组以跨越用户或 RAC 对象的域。

可以添加用户组和 RAC 设备组。创建 Dell 相关的组和非 Dell 相关的组的过程相同。



添加用户或用户组



1. 右键单击"Association Object"（关联对象）并选择"Properties"（属性）。



2. 选择"Users"（用户）选项卡并单击"Add"（添加）。



3. 键入用户或用户组名称并单击"OK"（确定）。

单击"Privilege Object"（权限对象）选项卡将权限对象添加到验证 RAC 设备时定义用户或用户组权限的关联。只能将一个权限对象添加到关联对象。



添加权限



1. 选择"Privileges Object"（权限对象）选项卡并单击"Add"（添加）。



2. 键入权限对象名称并单击"OK"（确定）。

单击"Products"（产品）选项卡将一个或多个 RAC 设备添加到关联。关联设备指定连接到网络的 RAC 设备，这些设备对于所定义的用户或用户组可用。可以将多个 RAC 设备添加到关

联对象。



添加 RAC 设备或 RAC 设备组

要添加 RAC 设备或 RAC 设备组：



1. 选择"Products"（产品）选项卡并单击"Add"（添加）。



2. 键入 RAC 设备或 RAC 设备组名称并单击"OK"（确定）。



3. 在"Properties"（属性）窗口中，单击"Apply"（应用），并单击"OK"（确定）。



使用扩展架构 Active Directory 和 Web 界面配置 CMC



1. 登录 CMC Web 界面。



2. 选择系统树中的"Chassis"（机箱）。



3. 单击"User Authentication"（用户验证）® "Directory Services"（目录服务）。

随即显示"Directory Services"（目录服务）页面。



4. 选择 Microsoft Active Directory（扩展架构）。



5. 在"Common Settings"（常见设置）部分：

a. 确认选中"Enable Active Directory"（启用 Active Directory）复选框。

b. 键入"Root Domain Name"（Root 域名）。

注：根域名必须是使用 x.y 命名惯例的有效域名，其中，x 是一个 1–256 个字符的 ASCII 字符串，字符之间不含空格，y 是一种有效类型的域，例如 com、edu、

gov、int、mil、net 或 org。

c. 键入超时时间，以秒为单位。配置范围： 15–300秒。默认：90 秒



6. 可选项：如果要用定向调用搜索域控制器和全局编录，请选择"Search AD Server to search (Optional)"（搜索 AD 服务器以搜索 [可选]）复选框，然后：

a. 在"Domain Controller"（域控制器）文本字段中，键入安装了 Active Directory 服务的服务器。

b. 在"Global Catalog"（全局编录）文本字段中，键入全局编录在 Active Directory 域控制器上的位置。全局编录提供了搜索 Active Directory 森林的资源。



7. 在"Extended Schema Settings"（扩展架构设置）部分：

a. 键入"CMC Device Name"（CMC 设备名称）。CMC 名称对 Active Directory 中的 CMC 卡进行唯一识别。CMC 名称必须与在域控制器中创建的新的 CMC 对象的

常用名称相同。CMC 名称必须是 1–256 个字符的 ASCII 字符串，字符之间没有空格。

b. 键入"CMC Domain Name"（CMC 域名）（例如：cmc.com）。CMC 域名是 Active Directory CMC 对象所在域的 DNS 名称（字符串）。名称必须是由 x.y 组成的

有效域名，其中 x 是 1-256 个字符的 ASCII 字符串，字符之间没有空格，而 y 是有效域类型，如 com、edu、gov、int、mil、net 或 org。



8. 单击"Apply"（应用）保存设置。



9. 在"Manage Certificates"（管理证书）部分于文本字段中输入证书的文件路径或单击"Browse"（浏览）选择证书文件。单击"Upload"（上载）按钮传输文件到 CMC。

默认情况下要求 SSL 证书验证。cfgActiveDirectory RACADM 组中和 GUI 内有新设置，可禁用证书检查。

但禁用证书检查风险很高。

若要打开 SSL 证书验证（默认）：

racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 1

若要关闭 SSL 证书验证：

racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 0

域控制器 SSL 认证必须由根认证机构签名。在访问 CMC 的 management station 上必须提供根认证机构签发的认证。



10. 单击"Apply"（应用）。CMC Web 服务器将在您单击"Apply"（应用）后自动重新启动。



11. 登录到 CMC Web 界面。



12. 从系统树中选择"Chassis"（机箱），单击"Network"（网络）选项卡，然后单击"Network"（网络）子选项卡。随即显示"Network Configuration"（网络配置）页面。



13. 如果启用（选中）"Use DHCP (for CMC Network Interface IP Address)"（使用 DHCP [针对 CMC 网络接口 IP 地址]），请进行以下操作之一：

l 选择"Use DHCP to Obtain DNS Server Addresses"（使用 DHCP 获取 DNS 服务器地址）使 DHCP 服务器自动获取 DNS 服务器地址，或

l 不选中"Use DHCP to Obtain DNS Server Addresses"（使用 DHCP 获取 DNS 服务器地址）复选框，然后在提供的字段中键入主和备用 DNS 服务器 IP 地

址，手工配置 DNS 服务器 IP 地址。



14. 单击"Apply Changes"（应用更改）。

CMC 扩展模式 Active Directory 功能配置完成。



使用扩展架构 Active Directory 和 RACADM 配置 CMC

使用以下命令以通过 RACADM CLI 工具而不是 Web 界面配置 CMC Active Directory 的扩展架构。



1. 打开到 CMC 的串行/远程登录/SSH 文本控制台，登录并键入：

racadm config -g cfgActiveDirectory -o cfgADEnable 1

racadm config -g cfgActiveDirectory -o cfgADType 1

racadm config -g cfgActiveDirectory -o cfgADRacDomain <

完全限定的

CMC

域名

>

注：将 IP 地址设置为 0.0.0.0 时，将禁止 CMC 搜索服务器。

注：可以指定一列域控制器或全局编录服务器，并用逗号分隔。CMC 允许指定多达三个 IP 地址或主机名。

注：如果未针对所有域和应用程序正确配置域控制器或全局编录服务器，可能导致在现有应用程序/域运行过程中产生无法预料的结果。

注：在继续下一步，导航至另一页之前，必须先应用这些设置。如果不应用这些设置，则导航至下一页时会丢失这些输入的设置。

注： "File Path"（文件路径）值显示上载的证书的相对文件路径。必须键入绝对文件路径，包括全路径和完整文件名及文件扩展名。

racadm config -g cfgActiveDirectory -o cfgADRootDomain <

完全限定的

root

域名

>

racadm config -g cfgActiveDirectory -o cfgADRacName <CMC

常用名

>

racadm sslcertupload -t 0x2 -f <ADS

根

CA

认证

-r

racadm sslcertdownload -t 0x1 -f <CMC SSL

认证

>

可选项：如果想指定 LDAP 或全局编录服务器，而不是使用由 DNS 服务器返回的服务器来搜索用户名，则键入以下命令启用"Specify Server"（指定服务器）选项：

racadm config -g cfgActiveDirectory -o cfgADSpecifyServerEnable 1

启用"Specify Server"（指定服务器）选项后，可使用服务器的 IP 地址或完全限定的域名 (FQDN) 指定 LDAP 服务器和全局编录。FQDN 包含服务器的主机名和域名。

要指定 LDAP 服务器，键入：

racadm config -g cfgActiveDirectory -o cfgADDomainController <AD 域控制器 IP 地址>

要指定全局编目服务器，键入：

racadm config -g cfgActiveDirectory -o cfgADGlobalCatalog <AD 全局编录 IP 地址>



2. 使用以下选项之一指定 DNS 服务器：

l 如果 CMC 上已启用 DHCP 并且您希望使用 DHCP 服务器自动获取的 DNS 地址，则键入以下命令：

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1

l 如果 CMC 上已禁用 DHCP，或如果已启用 DHCP 但想要手工指定 DNS IP 地址，则键入以下命令：

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0

racadm config -g cfgLanNetworking -o cfgDNSServer1 <

主要

DNS IP

地址

>

racadm config -g cfgLanNetworking -o cfgDNSServer2 <

次要

DNS IP

地址

>

扩展架构功能配置完成。



常见问题

表 8-9.将 CMC 用于 Active Directory：常见问题

注：只能通过远程 RACADM 使用此命令。有关远程 RACADM 的详细信息，请参阅 "远程访问 RACADM"。

注：当使用"Specify Server"（指定服务器）选项时，认证机构签名认证中的主机名与指定服务器的名称不匹配。如果您是 CMC 管理员，这样尤为有用，因为可以让您

输入主机名和 IP 地址。

注：将 IP 地址设置为 0.0.0.0 时，将禁止 CMC 搜索服务器。

注：可以用逗号分隔来指定一列 LDAP 或全局编目服务器。CMC 允许指定多达三个 IP 地址或主机名。

注：所有域和应用程序的一个或多个 LDAP 未正确配置可能导致现有应用程序/域运作时，产生无法预料的结果。



问题



解答

我能否使用 Active Directory 跨越多个树登录 CMC？

是。CMC 的 Active Directory 查询算法支持单个目录林中的多个树。

使用 Active Directory 登录到 CMC 的操作是否可以在混合模式下进行（也就是说，目录

林中的域控制器运行着不同的操作系统，比如 Microsoft Windows 2000 或 Windows

Server 2003）？

是。在混合模式中，CMC 查询过程使用的所有对象（比如用户、RAC 设备对象和关联对象）

都必须处于同一域中。

如果处于混合模式，Dell 扩展的 Active Directory 用户和计算机管理单元将会检查模式并限

制用户以跨多个域创建对象。

配合使用 CMC 和 Active Directory 是否支持多个域环境？

是。域目录林功能级别必须处在本机 (Native) 或 Windows 2003 模式。此外，关联对

象、RAC 用户对象和 RAC 设备对象（包括关联对象）的组都必须是通用组。

这些 Dell 扩展的对象（Dell 关联对象、Dell RAC 设备和 Dell 权限对象）是否可以位于不

同的域？

关联对象和权限对象必须位于相同的域。Dell 扩展的 Active Directory 用户和计算机管理单

元强制您在相同的域中创建这两个对象。其它对象可以位于不同的域。

域控制器 SSL 配置是否有任何限制？

是。目录林中用于 Active Directory 服务器的所有 SSL 认证都必须由相同的根认证机构签

发的认证签名，因为 CMC 只允许上载一个可信认证机构签发的 SSL 认证。

我创建并上载了一个新 RAC 证书，然而现在 Web 界面不启动。

如果使用 Microsoft Certificate Services 生成 RAC 认证，则您可能在创建认证时不小心

选择了"User Certificate"（用户认证），而不是"Web Certificate"（ Web 认证）。

要进行恢复，请生成 CSR，然后从 Microsoft Certificate Services 创建新的 Web 证书

并使用以下 RACADM 命令进行上载：

配置单一登录

Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008 可以使用网络验证协议 Kerberos 作为验证方法，使已经登录

到域的用户可以自动或单一登录到 Exchange 等随后的应用程序。

从 CMC 版本 2.10 开始，CMC 可以使用 Kerberos 支持其它两种类型的登录机制 — 单一登录和 Smart Card 登录。对于单一登录，CMC 使用客户端系统的证书，您使用有效的

Active Directory 帐户登录之后操作系统就会高速缓存这些凭据。



系统要求

要使用 Kerberos 验证方法，网络必须包括：

l DNS 服务器

l Microsoft Active Directory 服务器

l Kerberos Key Distribution Center（与 Active Directory Server 软件一起打包）

l DHCP 服务器（推荐）

l DNS 服务器反向区域必须有 Active Directory 服务器和 CMC 的条目



客户端系统

l 对于仅通过 Smart Card 登录，客户端系统必须有 Microsoft Visual C++ 2005 Redistributable。有关详情，请参阅

www.microsoft.com/downloads/details.aspx?FamilyID=32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en

l 对于单一登录和 Smart Card 登录，客户端系统必须是 Active Directory 域和 Kerberos 领域的一部分。



CMC

l CMC 必须有固件版本 2.10 或更高版本

l 每个 CMC 都必须有 Active Directory 帐户

l CMC 必须是 Active Directory 域和 Kerberos Realm 的一部分



配置设置



前提条件

racadm sslcsrgen [-g]

[-f {filename (文件名称)}]

racadm sslcertupload -t 1 -f {web_sslcert}

如果不能使用 Active Directory 验证方法登录到 CMC，应该怎么办？我如何排除这个问

题？

1. 确保在登录期间使用正确的用户域名，而不是 NetBIOS 名称。

2. 如果具有本地 CMC 用户帐户，请使用本地凭据登录 CMC。

登录后，执行以下步骤：

a. 确保已选中 CMC Active Directory 配置页上的"Enable Active

Directory"（启用 Active Directory）复选框。

b. 确保 CMC 联网配置页上的 DNS 设置正确。

c. 确保已从 Active Directory 根认证机构签发的认证将 Active Directory 认证上载

到 CMC。

d. 检查域控制器 SSL 证书以确保没有过期。

e. 确保 CMC 名称、Root 域名和 CMC 域名与 Active Directory 环境配置匹配。

f. 确保 CMC 密码最多有 127 个字符。虽然 CMC 可以支持多达 256 个字符的密

码，但 Active Directory 只支持最大长度为 127 个字符的密码。

注：选择登录方法不会设置与诸如 SSH 等其它登录界面相关的策略属性。您还必须设置其它登录界面的其它策略属性。如果您要禁用所有其它登录界面，请导航

至"Services"（服务）页并禁用所有（或某些）登录界面。

注：如果您使用 Windows 2003 上的 Active Directory，应确保客户端系统上安装了最新的 Service Pack 和增补软件。如果您使用 Windows 2008 上的 Active

Directory，应确保安装了 SP1 和以下热补丁：

用于 KTPASS 公用程序的 Windows6.0-KB951191-x86.msu。如果没有此增补软件，该公用程序会生成

错误

Keytab 文件。

Windows6.0-KB957072-x86.msu，用作在 LDAP 绑定过程中使用 GSS_API 和 SSL 事务处理。

l 已经设置了 Active Directory (AD) 的 Kerberos 领域和 Key Distribution Center (KDC) (ksetup)

l 强健的 NTP 和 DNS 基础设施以避免时钟漂移和反向查询出现问题

l 具有授权成员的 CMC 标准模式角色组



配置 Active Directory

在"CMC Properties"（CMC 属性）对话框的"Accounts"（帐户）选项部分下面，配置以下设置：

l "Account is trusted for delegation"（帐户可以委派其它帐户） — 在选择此选项时，当前 CMC 不使用创建的已转发凭据。能否选择此选项视其它服务要求而定。

l "Account is sensitive and cannot be delegated"（敏感帐户，不能被委派）— 能否选择此选项视其它服务要求而定。

l "User Kerberos DES encryption types for the account"（帐户的用户 Kerberos DES 加密类型）— 选择此选项。

l "Do not require Kerberos preauthentication"（不要求 Kerberos 预验证） — 不选择此选项。

在用来将 CMC 映射到 Active Directory 中的用户帐户的域控制器上，运行 ktpass 公用程序（Microsoft Windows 的一部分）。例如：

C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out

c:\krbkeytab

此过程会生成一个 Keytab 文件，必须将该文件上载到 CMC。



配置 CMC

将 CMC 配置为使用在 Active Directory 中设置的标准模式角色组。有关详情，请参阅"配置标准架构 Active Directory 访问 CMC"。



上载 Kerberos Keytab 文件

Kerberos Keytab 文件用作 CMC 对于 Kerberos Data Center (KDC) 的用户名和密码凭据，KDC 又允许访问 Active Directory。Kerberos 领域中的每个 CMC 都必须在 Active

Directory 注册，而且必须有唯一的 Keytab 文件。

要上载 Keytab 文件：



1. 导航至"User Authentication"（用户验证）选项卡® "Directory Services"（目录服务）子选项卡。确保选择 Microsoft Active Directory 标准或扩展架构。否则选

择首选项并单击"Apply"（应用）。



2. 单击"Kerberos Keytab Upload"（Kerberos Keytab 上载）部分中的"Browse"（浏览），导航至保存 Keytab 文件的文件夹并单击"Upload"（上载）。

上载完成后，将显示一个信息框，说明上载成功或失败。



启用单一登录



1. 单击"Chassis Management Controller Network Security"（机箱管理控制器网络安全）选项卡® Active Directory® "Configure Active Directory"（配置

Active Directory）。

随即显示"Active Directory Configuration and Management"（Active Directory 配置与管理）页。



2. 在"Active Directory Configuration and Management"（Active Directory 配置和管理）页上，选择：

l "Single Sign-On"（单一登录）— 此选项使您能够使用登录 Active Directory 时获得的高速缓存的凭据登录 CMC。



3. 滚动到页面底部，然后单击"Apply"（应用）。

您可以使用 CLI 命令 test feature 检测使用 Kerberos 验证的 Active Directory。

键入：

注： RFC 要求 cmcname.domainname.com 必须小写，而 REALM 名称 @REALM_NAME 必须大写。此外，CMC 支持 Kerberos 验证的 DES-CBC-MD5 类型的加密。

注： Keytab 包含加密密钥，因此必须保管好。有关 ktpass 公用程序的详情，请参阅 Microsoft 网站：

technet2.microsoft.com/windowsserver/en/library/64042138-9a5a-4981-84e9-d576a8db0d051033.mspx?mfr=true。

注：本节中介绍的配置步骤仅适用于 CMC 的 Web 访问。

注：对于此选项，所有命令行带外接口，包括 Secure Shell (SSH)、远程登录、串行和远程 RACADM 都保持不变。

testfeature -f adkrb -u <

用户

>@<

域

>

其中用户是有效的 Active Directory 用户帐户。

命令成功表示 CMC 能够获得 Kerberos 凭据和访问用户的 Active Directory 帐户。如果命令不成功，则解决错误并重复该命令。有关详情，请参阅 support.dell.com/manuals 上

的

《

Chassis Management Controller Administrator Reference Guide

》

。



配置浏览器以使用单一登录

Internet Explorer 版本 6.0 和更高版本及 Firefox 版本 3.0 和更高版本支持单一登录。



Internet Explorer



1. 在 Internet Explorer 中，选择"Tools"（工具）®"Internet Options"（Internet 选项）。



2. 在"Security"（安全）选项卡的"Select a zone to view or change security settings"（选择要查看或更改安全设置的区域）下面，选择"Local Intranet"（本地

Intranet）。



3. 单击"Sites"（站点）。

此时将显示"Local Intranet"（本地 Intranet）对话框。



4. 单击"Advanced"（高级）。

此时将显示"Local Intranet Advance Settings"（本地 Intranet 高级设置）对话框。



5. 在"Add this site to the zone"（将该网站添加到区域）中，键入 CMC 的名称和它所属的域，然后单击"Add"（添加）。



Mozilla Firefox



1. 在 Firefox 中的"Address"（地址）栏中键入 about:config。



2. 在"Filter"（过滤器）文本框中，键入 negotiate。

浏览器将显示首选项名称的列表，这些名称必须包含单词 negotiate。



3. 在该列表中，双击 network.negotiate-auth.trusted-uris。



4. 在"Enter string value"（输入字符串的值）对话框中，键入 CMC 的域名并单击"OK"（确定）。



使用单一登录来登录到 CMC



1. 使用网络帐户登录客户端系统。



2. 使用以下方式访问 CMC Web 页面

https://<CMC

名称

.

域名

>

例如，cmc-6G2WXF1.cmcad.lab

其中，cmc-6G2WXF1 是 CMC 名称

cmcad.lab 是域名。

注：仅当 CMC 结合使用单一登录和 Kerberos 验证时，以下说明才适用。

注：您可以使用通配符 (*) 指定该域中的所有设备/用户。

注：如果浏览器显示"This might void your warranty"（这样可能会失去质保）警告，单击"I'll be careful. I promise"（我保证会小

心）。

注：您不能使用 IP 地址进行单一登录或 Smart Card 登录。Kerberos 根据完全限定域名 (FQDN) 验证凭据。

将显示CMC"Single Sign-On"（单一登录）页。



3. 单击"Login"（登录）。

CMC 会使用在您使用有效 Active Directory 帐户登录时浏览器高速缓存的 Kerberos 凭据来使您登录。如果登录失败，浏览器将重定向至正常的 CMC 登录页。

配置 Smart Card 双重验证

传统的验证模式使用用户名和密码来验证用户。而双重验证则提供了更高的安全性，要求用户具有密码或 PIN 以及含有私人密钥和数字证书的实物卡。Kerberos 是一种使用此双重验证机

制的网络验证协议，使系统可以证明其真实性。Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008 将 Kerberos

用作首选的验证方法。从 CMC 版本 2.10 开始，CMC 可以使用 Kerberos 支持 Smart Card 登录。



系统要求

Smart Card 的 "系统要求" 与单一登录相同。



配置设置

Smart Card 的 "前提条件" 与单一登录相同。



配置 Active Directory



1. 如果 Active Directory 的 Kerberos 领域和 Key Distribution Center (KDC) 尚未配置，则进行设置 (ksetup)。



2. 为每个 CMC 创建 Active Directory 用户，配置为使用 Kerberos DES 加密，而不是预验证。



3. 使用 Ktpass 在 Key Distribution Center 注册 CMC 用户（这也会将一个密钥上载到 CMC）。



配置 CMC

将 CMC 配置为使用在 Active Directory 中设置的标准模式角色组。有关详情，请参阅"配置标准架构 Active Directory 访问 CMC"。



上载 Kerberos Keytab 文件

Kerberos Keytab 文件用作 CMC 对于 Kerberos Data Center (KDC) 的用户名和密码凭据，KDC 又允许访问 Active Directory。Kerberos 领域中的每个 CMC 都必须在 Active

Directory 注册，而且必须有唯一的 Keytab 文件。

要上载 Keytab 文件：



1. 导航至"User Authentication"（用户验证）选项卡® "Directory Services"（目录服务）子选项卡。确保选择 Microsoft Active Directory 标准或扩展架构。否则选

择首选项并单击"Apply"（应用）。



2. 单击"Kerberos Keytab Upload"（Kerberos Keytab 上载）部分中的"Browse"（浏览），导航至保存 Keytab 文件的文件夹并单击"Upload"（上载）。

上载完成后，将显示一个信息框，说明上载成功或失败。



注：如果您更改了默认 HTTPS 端口号（端口 80），则使用 <CMC

名称

.

域名

>:<

端口号

> 访问 CMC Web 页面，其中 CMC

名称

是 CMC 的 CMC 主机名，

域名

是

域名，

端口号

是 HTTPS 端口号。

注：如果您没有登录到 Active Directory 域，而且使用的是除 Internet Explorer 以外的浏览器，则登录将失败，而且浏览器仅显示空白页。

注：选择登录方法不会设置与诸如 SSH 等其它登录界面相关的策略属性。您还必须设置其它登录界面的其它策略属性。如果您要禁用所有其它登录界面，请导航

至"Services"（服务）页并禁用所有（或某些）登录界面。

注：确保具有强健的 NTP 和 DNS 基础设施，以避免时钟漂移和反向查询出现问题。

注：本节中介绍的配置步骤仅适用于 CMC 的 Web 访问。

启用 Smart Card 验证



1. 导航至"User Authentication"（用户验证）选项卡® "Directory Services"（目录服务）子选项卡。确保选择 Microsoft Active Directory 标准或扩展架构。



2. 在"Common Settings"（常见设置）部分中选择：

l Smart Card — 此选项要求将 Smart Card 插入阅读器并输入 PIN 码。



3. 滚动到页面底部，然后单击"Apply"（应用）。

您可以使用 CLI 命令 testfeature 检测使用 Kerberos 验证的 Active Directory。

键入：

testfeature -f adkrb -u <

用户

>@<

域

>

其中用户是有效的 Active Directory 用户帐户。

命令成功表示 CMC 能够获得 Kerberos 凭据和访问用户的 Active Directory 帐户。如果命令不成功，则解决错误并重复该命令。有关详情，请参阅 RACADM 命令 testfeature 文档。



配置浏览器以使用 Smart Card 登录



Mozilla Firefox

CMC 2.10 不支持通过 Firefox 浏览器进行 Smart Card 登录。



Internet Explorer

确保 Internet 浏览器配置为下载 Active-X 插件。



使用 Smart Card 登录 CMC



1. 使用网络帐户登录客户端系统。



2. 使用以下方式访问 CMC Web 页面。

https://<CMC

名称

.

域名

>

例如，cmc-6G2WXF1.cmcad.lab

其中，cmc-6G2WXF1 是 CMC 名称

cmcad.lab 是域名。

将显示 CMC "Single Sign-On"（单一登录）页，提示插入 Smart Card。



3. 将 Smart Card 插入阅读器并单击"OK"（确定）。

将显示 PIN 弹出对话框。



4. 另外，可选择会话超时。这是登录后可保持无活动状态的时间。默认值为 Web 服务会话空闲超时。有关详情，请参阅"配置服务"。



5. 输入 PIN，并单击"OK"（确定）。



注：对于此选项，所有命令行带外接口，包括 Secure Shell (SSH)、远程登录、串行和远程 RACADM 都保持不变。

注：您不能使用 IP 地址进行单一登录或 Smart Card 登录。Kerberos 根据完全限定域名 (FQDN) 验证凭据。

注：如果您更改默认 HTTPS 端口号（端口 80），则使用 <cmcname.domain-name>:<port number> 访问 CMC Web 页面，其中 cmcname 是 CMC 的

CMC 主机名，domain-name 是域名，port number 是 HTTPS 端口号。

ページが読み込まれています...

Dell Chassis Management Controller Version 3.0 ユーザーガイド

Dell Chassis Management Controller Version 3.0 ユーザーガイド

関連論文