Users Guide
• Wenn die Zertikatsüberprüfung aktiviert ist, muss der vollständig qualizierte Domänenname (FQDN) oder die IP-Adresse,
die Sie in diesem Feld angeben, mit dem Feld „Servername“ oder „Alternativer Servername“ Ihres Domänen-Controller-
Zertikats übereinstimmen.
• Um die Zertikatvalidierung während eines SSL-Handshake zu deaktivieren, verwenden Sie den folgenden Befehl:
racadm set iDRAC.ActiveDirectory.CertValidationEnable 0
In diesem Fall brauchen Sie kein CA-Zertikat zu laden.
• Um die Zertikatvalidierung während eines SSL-Handshake (optional) durchzusetzen, verwenden Sie den folgenden Befehl:
racadm set iDRAC.ActiveDirectory.CertValidationEnable 1
In diesem Fall müssen Sie mit dem folgenden RACADM-Befehl das CA-Zertikat hochladen:
racadm sslcertupload -t 0x2 -f <ADS root CA certificate>
ANMERKUNG: Wenn die Zertikatvalidierung aktiviert ist, geben Sie die Adressen des Domain Controller Server
und von FQDN des globalen Katalogs an. Stellen Sie sicher, dass DNS unterÜbersicht → iDRAC-Einstellungen →
Netzwerk ordnungsgemäß konguriert ist.
Die Verwendung des folgenden RACADM-Befehls kann optional sein.
racadm sslcertdownload -t 0x1 -f <RAC SSL certificate>
2. Wenn DHCP auf dem iDRAC aktiviert ist und Sie den vom DHCP-Server bereitgestellten DNS verwenden möchten, geben Sie
folgenden Befehl ein:
racadm set iDRAC.IPv4.DNSFromDHCP 1
3. Wenn DHCP auf dem iDRAC deaktiviert ist oder Sie die DNS IP-Adresse manuell eingeben möchten, geben Sie den folgenden
RACADM-Befehl ein:
racadm set iDRAC.IPv4.DNSFromDHCP 0
racadm set iDRAC.IPv4.DNSFromDHCP.DNS1 <primary DNS IP address>
racadm set iDRAC.IPv4.DNSFromDHCP.DNS2 <secondary DNS IP address>
4. Wenn Sie eine Liste von Benutzerdomänen kongurieren möchten, sodass für die Anmeldung an der Webschnittstelle nur der
Benutzername eingegeben werden muss, verwenden Sie den folgenden Befehl:
racadm set iDRAC.UserDomain.<index>.Name <fully qualified domain name or IP Address of
the domain controller>
Sie können bis zu 40 Benutzerdomänen mit Indexzahlen zwischen 1 und 40 kongurieren.
Übersicht über Active Directory mit erweitertem Schema
Für die Verwendung der Lösung mit dem erweiterten Schema benötigen Sie die Active Directory-Schema-Erweiterung.
Optimale Verfahren für das erweiterte Schema
Das erweiterte Schema verwendet Dell-Zuordnungsobjekte, um iDRAC und Berechtigung beizutreten. Dies ermöglicht Ihnen die
Verwendung von iDRAC basierend auf den umfassend zugewiesenen Berechtigungen. Die standardmäßige Zugrissteuerungsliste
(ACL) von Dell-Zuordnungsobjekten ermöglicht Self- als auch Domänenadministratoren die Verwaltung der Berechtigungen und die
Reichweite der iDRAC-Objekte.
Standardmäßig erben die Dell-Zuordnungsobjekte nicht alle Berechtigungen aus den übergeordneten Active-Directory-Objekten.
Wenn Sie Vererbung für das Dell-Zuordnungsobjekt aktivieren, werden die geerbten Berechtigungen für dieses Zuordnungsobjekt für
die ausgewählten Benutzer und Gruppen gewährt. Dies kann zu unabsichtlichen Berechtigungen führen, die iDRAC zur Verfügung
gestellt werden.
Um das erweiterte Schema sicher zu verwenden, empehlt Dell, dass Sie die Vererbung von Dell-Zuordnungsobjekten innerhalb der
erweiterten Schemaimplementierung nicht aktivieren.
Active Directory-Schemaerweiterungen
Bei den Active Directory-Daten handelt es sich um eine verteilte Datenbank von Attributen und Klassen. Das Active Directory-
Schema enthält die Regeln, die den Typ der Daten bestimmen, die der Datenbank hinzugefügt werden können bzw. darin gespeichert
werden. Die Benutzerklasse ist ein Beispiel einer Klasse, die in der Datenbank gespeichert wird. Beispielhafte Attribute der
Benutzerklasse sind der Vorname, der Nachname bzw. die Telefonnummer des Benutzers. Sie können die Active Directory-
Datenbank erweitern, indem Sie Ihre eigenen eindeutigen Attribute und Klassen für besondere Anforderungen hinzufügen. Dell hat
145