Users Guide
cfgADRacName <RAC common name> racadm config -g cfgActiveDirectory -o
cfgADRacDomain <fully qualified rac domain name> racadm config -g
cfgActiveDirectory -o cfgADDomainController1 <fully qualified domain name or IP
Address of the domain controller> racadm config -g cfgActiveDirectory -o
cfgADDomainController2 <fully qualified domain name or IP Address of the domain
controller> racadm config -g cfgActiveDirectory -o cfgADDomainController3
<fully qualified domain name or IP Address of the domain controller>
注: 您必须至少配置三个地址中的一个。CMC 逐一尝试连接到每个配置的地址,直到成功建立连接。使用
扩展架构时,这些是此 CMC 设备所在位置域控制器的 FQDN 或 IP 地址。
要在握手过程中禁用证书验证,请执行以下命令(可选):
racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 0
注: 在此情况下,您无需上载 CA 证书。
在 SSL 握手过程中强制执行证书验证(可选):
racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 1
在此情况下,您必须上载 CA 证书:
racadm sslcertupload -t 0x2 -f < ADS root CA certificate >
注: 如果证书验证已启用,请指定域控制器服务器地址和 FQDN。确保 DNS 已正确配置。
以下 RACADM 命令可选:
racadm sslcertdownload -t 0x1 -f <RAC SSL certificate>
配置通用 LDAP 用户
CMC 提供通用解决方案来支持基于轻量级目录访问协议 (LDAP) 的验证。此功能不需要在目录服务上进行任何
架构扩展。
CMC 管理员现在可在 CMC 中集成 LDAP 服务器用户登录。此集成要求同时在 LDAP 和 CMC 服务器上配置。在
LDAP 服务器上,标准组对象用作角色组。具有 CMC 权限的用户将成为该角色组的成员。权限仍存储在 CMC
中用于验证,工作方式与具有 Active Directory 支持的标准架构设置类似。
若要支持 LDAP 用户访问特定的 CMC 卡,则必须在特定的 CMC 卡上配置角色组名称及其域名。每个 CMC 可配
置最多 5 个角色组。用户可选择添加到目录服务内的多个组。如果用户是多个组的成员,则其获得所有所属组
的权限。
有关角色组权限级别和默认角色组设置的信息,请参阅用户类型。
配置通用 LDAP 目录以访问 CMC
CMC 的通用 LDAP 实现在授予用户访问权限时分两阶段 - 先是用户验证,然后是用户授权。
LDAP 用户验证
一些目录服务器要求在特定 LDAP 服务器上进行任何搜索前完成绑定。
要验证用户,请执行以下操作:
1. 可以选择绑定到目录服务。默认为匿名绑定。
2. 根据用户登录搜索用户。默认属性为 uid。如果找到一个以上的对象,则该过程返回错误。
3. 解除绑定并以用户的 DN 和密码执行绑定。如果系统无法进行绑定,则登录将会失败。
4. 如果这些步骤成功完成,则用户通过验证。
114