Users Guide
Les meilleures pratiques pour le schéma étendu
Le schéma étendu utilise les objets Association de Dell pour joindre iDRAC et des permissions. Cela vous permet d’utiliser iDRAC
en fonction des permissions globales accordées. La liste ACL par défaut des contrôles d’accès des objets Association de Dell
permet aux administrateurs Self et Domain de gérer les permissions et la portée des objets iDRAC.
Par défaut, les objets Association de Dell n’héritent pas de toutes les permissions des objets Active Directory parents. Si vous
activez l’héritage pour l’objet Association de Dell, les permissions héritées de cet objet Association sont accordées aux
utilisateurs et aux groupes sélectionnés. Cela peut entraîner l’octroi à iDRAC de privilèges non prévus.
Pour utiliser le schéma étendu en toute sécurité, Dell recommande de ne pas activer l’héritage sur les objets Association de Dell
dans le cadre de l’implémentation du schéma étendu.
Extensions de schéma Active Directory
Les données Active Directory sont une base de données distribuée d'attributs et de classes. Le schéma Active Directory
contient les règles qui déterminent le type de données pouvant être ajouté ou inclus dans la base de données. La classe
Utilisateur est un exemple de classe stockée dans la base de données. Certains exemples d'attributs de classe peuvent inclure le
nom, le prénom, le numéro de téléphone etc. de l'utilisateur. Vous pouvez étendre la base de données Active Directory en
ajoutant vos propres attributs et classes uniques en fonction de vos besoins. Dell a étendu le schéma pour inclure les
modifications nécessaires pour prendre en charge l'authentification et l'autorisation de la gestion à distance à l'aide d'Active
Directory.
Chaque attribut ou classe ajouté à un schéma Active Directory existant doit être défini avec un ID unique. Pour gérer les ID
uniques dans le secteur, Microsoft gère une base de données d'identificateurs d'objet Active Directory pour que, lorsque les
entreprises ajoutent des extensions au schéma, ces extensions soient réputées uniques et n'entrent pas en conflit. Pour étendre
le schéma dans Active Directory Microsoft, Dell a reçu des identificateurs d'objet uniques, des extensions de nom uniques et des
ID d'attribut liés de manière unique pour les attributs et les classes ajoutés au service d'annuaire :
● L'extension est : dell
● L'identificateur d'objet base est 1.2.840.113556.1.8000.1280
● La plage des ID de liens RAC est 12070 to 12079
Présentation des extensions de schéma d'iDRAC
Dell a étendu le schéma pour inclure les propriétés Association, Périphérique et Privilège. La propriété Association permet de lier
des utilisateurs ou des groupes avec un groupe de privilèges à un ou plusieurs périphériques iDRAC. Ce modèle fournit à
l'administrateur une souplesse optimale sur les diverses combinaisons d'utilisateurs, de privilèges iDRAC et de périphériques
iDRAC sur le réseau sans trop de difficulté.
Pour chaque périphérique iDRAC physique du réseau que vous voulez intégrer à Active Directory pour l'authentification et
l'autorisation, créez au moins un objet Association et un objet Périphérique iDRAC. Vous pouvez créer plusieurs objets
Association qui peuvent être liés chacun à un nombre illimité d'utilisateurs, de groupes d'utilisateurs ou objets Périphérique
iDRAC. Les utilisateurs et les groupes d'utilisateurs iDRAC peuvent être membres de n'importe quel domaine de l'entreprise.
Cependant, chaque objet Association peut être lié (ou peut lier des utilisateurs, des groupes d'utilisateurs ou des objets
Périphérique iDRAC) à un seul objet Privilège. Cet exemple permet à l'administrateur de contrôler chacun des privilèges de
l'utilisateur sur des périphériques iDRAC donnés.
L'objet Périphérique iDRAC est le lien au micrologiciel iDRAC pour interroger Active Directory pour l'authentification et
l'autorisation. Lorsqu'iDRAC est ajouté au réseau, l'administrateur doit configurer iDRAC et son objet Périphérique avec son nom
Active Directory pour que les utilisateurs puissent exécuter l'authentification et l'autorisation avec Active Directory. En outre,
l'administrateur doit ajouter iDRAC à au moins un objet Association pour que les utilisateurs puissent s'authentifier.
L'illustration suivante montre que l'objet Association fournit la connexion nécessaire à l'authentification et l'autorisation.
146
Configuration des comptes et des privilèges des utilisateurs