Users Guide
Prácticas recomendadas para el esquema extendido
El esquema extendido utiliza objetos de asociación de Dell para conectar la iDRAC y los permisos. Esto le permite usar la iDRAC
en función de los permisos generales otorgados. La lista de control de acceso (ACL) predeterminada de los objetos de asociación
de Dell les permite a los administradores propios y de dominio administrar los permisos y el alcance de los objetos de la iDRAC.
De manera predeterminada, los objetos de asociación de Dell no heredan todos los permisos de los objetos de Active Directory
principales. Si habilita la herencia para el objeto de asociación de Dell, los permisos heredados para ese objeto de asociación se
otorgarán a los usuarios y grupos seleccionados. Esto puede provocar el otorgamiento no intencional de privilegios a la iDRAC.
Para utilizar el esquema extendido manera segura, Dell recomienda no activar la herencia en objetos de asociación de Dell dentro
de la implementación del esquema extendido.
Extensiones de esquema de Active Directory
Los datos de Active Directory son una base de datos distribuida de atributos y clases. El esquema de Active Directory incluye las
reglas que determinan el tipo de datos que se pueden agregar o incluir en la base de datos. La clase de usuario es un ejemplo de
una clase que se almacena en la base de datos. Algunos ejemplos de los atributos de la clase del usuario pueden incluir el
nombre, el apellido, el número de teléfono, etc. Es posible ampliar la base de datos de Active Directory añadiendo atributos y
clases propios y exclusivos para cumplir requisitos específicos. Dell ha extendido el esquema para incluir los cambios necesarios y
admitir la autorización y la autenticación de la administración remota mediante Active Directory.
Cada atributo o clase que se agrega a un esquema existente de Active Directory debe definirse con una identificación exclusiva.
Para mantener identificaciones exclusivas en todo el sector, Microsoft mantiene una base de datos de identificadores de objetos
de Active Directory (OID) de modo que, cuando las empresas agregan extensiones al esquema, pueden tener la garantía de que
serán exclusivos y no entrarán en conflicto entre sí. Para extender el esquema en Microsoft Active Directory, Dell recibe OID
exclusivos, extensiones de nombre exclusivas e identificaciones de atributos con vínculos exclusivos para los atributos y las
clases que se agregan al servicio de directorio:
● La extensión es: dell
● El OID básico es: 1.2.840.113556.1.8000.1280
● El intervalo de LinkID de RAC es: 12070 to 12079
Descripción general sobre las extensiones de esquema de iDRAC
Dell ha extendido el esquema para incluir propiedades Association (Asociación), Device (Dispositivo) y Privilege (Privilegio). La
propiedad Association (Asociación) se utiliza para vincular usuarios o grupos con un conjunto específico de privilegios para uno o
varios dispositivos iDRAC. Este modelo le proporciona a un administrador la flexibilidad máxima sobre las distintas combinaciones
de usuarios, privilegios de iDRAC y dispositivos iDRAC en la red sin mucha complejidad.
Para cada dispositivo iDRAC físico en la red que desee integrar con Active Directory para la autenticación y autorización, cree
por lo menos un objeto de asociación y un objeto de dispositivo iDRAC. Puede crear varios objetos de asociación y cada uno de
ellos se puede vincular a varios usuarios, grupos de usuarios u objetos de dispositivo iDRAC, según sea necesario. Los usuarios y
los grupos de usuarios de la iDRAC pueden ser miembros de cualquier dominio en la empresa.
No obstante, cada objeto de asociación se puede vincular (o puede vincular usuarios, grupos de usuarios u objetos de dispositivo
iDRAC) a un solo objeto de privilegio. Este ejemplo permite al administrador controlar los privilegios de cada usuario sobre
dispositivos iDRAC específicos.
El objeto del dispositivo iDRAC es el vínculo al firmware de iDRAC para consultar Active Directory para la autenticación y la
autorización. Cuando la iDRAC se agrega a la red, el administrador debe configurar la iDRAC y su objeto de dispositivo con su
nombre de Active Directory, de modo que los usuarios puedan realizar la autenticación y autorización con Active Directory.
Además, el administrador debe agregar la iDRAC a por menos a un objeto de asociación para que se autentiquen los usuarios.
En la figura siguiente se muestra que el objeto de asociación proporciona la conexión necesaria para la autentificación y la
autorización.
Configuración de cuentas de usuario y privilegios
147