Users Guide
Si desea desactivar la validación de certificados durante el protocolo de enlace con SSL, ejecute el siguiente comando RACADM:
• Mediante el comando config: racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 0
En este caso, no es necesario cargar el certificado de la autoridad de certificados (CA).
Para aplicar la validación de certificado durante el protocolo de enlace SSL (opcional):
• Mediante el comando config: racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 1
En este caso, también debe cargar el certificado de CA con el siguiente comando de RACADM:
racadm sslcertupload -t 0x2 -f <ADS root CA certificate>
NOTA: Si está activada la validación de certificados, especifique las direcciones de servidor de controladora de dominio y
el FQDN del catálogo global. Asegúrese de que la DNS esté configurada correctamente.
Descripción general del esquema extendido de Active
Directory
El uso del esquema extendido requiere la extensión del esquema de Active Directory.
Extensiones de esquema de Active Directory
Los datos de Active Directory son una base de datos distribuida de atributos y clases. El esquema de Active Directory incluye las reglas
que determinan los tipos de datos que se pueden agregar o incluir en la base de datos. Un ejemplo de una clase que se almacena en la base
de datos es la clase usuario. Algunos ejemplos de atributos de clase de usuario son el nombre, el apellido, el número de teléfono y otros
datos del usuario.
Puede ampliar la base de datos de Active Directory añadiendo sus propios atributos y clases exclusivos para requisitos específicos. Dell ha
extendido el esquema para incluir los cambios necesarios y admitir la autorización y la autentificación de la administración remota mediante
Active Directory.
Cada atributo o clase que se agrega a un esquema existente de Active Directory debe definirse con una identificación única. Para
mantener las ID únicas en todo el sector, Microsoft mantiene una base de datos de identificadores de objetos de Active Directory (OID)
para que cuando las empresas agreguen extensiones al esquema, puedan tener la garantía de que serán únicos y no entrarán en conflicto
entre sí. Para extender el esquema en Microsoft Active Directory, Dell recibió OID únicos, extensiones de nombre únicas e ID de atributos
con vínculos únicos para los atributos y las clases que se agregan al servicio de directorio.
• Extensión de Dell: dell
• OID de base de Dell: 1.2.840.113556.1.8000.1280
• Rango de LinkID del RAC: 12070 a 12079
Descripción general sobre las extensiones de esquema
Dell ha extendido el esquema para incluir una propiedad Asociación, Dispositivo y Privilegio. La propiedad Asociación se utiliza para vincular
a los usuarios o grupos con un conjunto específico de privilegios para uno o varios dispositivos de RAC. Este modelo proporciona a un
administrador la flexibilidad máxima sobre las distintas combinaciones de usuarios, privilegios de RAC y dispositivos de RAC en la red sin
demasiada complexidad.
Si existen dos CMC en la red que desea integrar a Active Directory para fines de autentificación y autorización, es necesario crear al
menos un objeto de asociación y un objeto de dispositivo de RAC para cada CMC. Es posible crear varios objetos de asociación y cada
objeto de asociación puede ser vinculado a cuantos usuarios, grupos de usuarios u objetos de dispositivo de RAC sea necesario. Los
usuarios y objetos de dispositivo de RAC pueden ser miembros de cualquier dominio en la empresa.
Sin embargo, cada objeto de asociación se puede vincular (o puede vincular usuarios, grupos de usuarios u objetos de dispositivo de RAC)
a un solo objeto de privilegio. Este ejemplo permite que el administrador controle los privilegios de cada usuario en CMC específicas.
El objeto del dispositivo de RAC es el vínculo al firmware de RAC para consultar a Active Directory con fines de autenticación y
autorización. Cuando se agrega un RAC a la red, el administrador debe configurar el RAC y su objeto de dispositivo con su nombre de
Active Directory, de modo que los usuarios puedan realizar la autenticación y la autorización con Active Directory. Además, el
administrador debe agregar el RAC a por lo menos un objeto de asociación para que los usuarios puedan autenticar.
NOTA: El objeto de privilegio de RAC se aplica al CMC.
Es posible crear el número de objetos de asociación que sea necesario. Sin embargo, se debe crear al menos un objeto de asociación y se
debe tener un objeto de dispositivo de RAC para cada RAC (CMC) en la red que se desee integrar con Active Directory.
134
Configuración de cuentas de usuario y privilegios