Users Guide
Optimale Verfahren für das erweiterte Schema
Das erweiterte Schema verwendet Dell-Zuordnungsobjekte, um iDRAC und Berechtigung beizutreten. Dies ermöglicht Ihnen die
Verwendung von iDRAC basierend auf den umfassend zugewiesenen Berechtigungen. Die standardmäßige
Zugriffssteuerungsliste (ACL) von Dell-Zuordnungsobjekten ermöglicht Self- als auch Domänenadministratoren die Verwaltung
der Berechtigungen und die Reichweite der iDRAC-Objekte.
Standardmäßig erben die Dell-Zuordnungsobjekte nicht alle Berechtigungen aus den übergeordneten Active-Directory-Objekten.
Wenn Sie Vererbung für das Dell-Zuordnungsobjekt aktivieren, werden die geerbten Berechtigungen für dieses
Zuordnungsobjekt für die ausgewählten Benutzer und Gruppen gewährt. Dies kann zu unabsichtlichen Berechtigungen führen,
die iDRAC zur Verfügung gestellt werden.
Um das erweiterte Schema sicher zu verwenden, empfiehlt Dell, dass Sie die Vererbung von Dell-Zuordnungsobjekten innerhalb
der erweiterten Schemaimplementierung nicht aktivieren.
Active Directory-Schemaerweiterungen
Bei den Active Directory-Daten handelt es sich um eine verteilte Datenbank von Attributen und Klassen. Das Active Directory-
Schema enthält die Regeln, die den Typ der Daten bestimmen, die der Datenbank hinzugefügt werden können bzw. darin
gespeichert werden. Die Benutzerklasse ist ein Beispiel einer Klasse, die in der Datenbank gespeichert wird. Beispielhafte
Attribute der Benutzerklasse sind der Vorname, der Nachname bzw. die Telefonnummer des Benutzers. Sie können die Active
Directory-Datenbank erweitern, indem Sie Ihre eigenen eindeutigen Attribute und Klassen für besondere Anforderungen
hinzufügen. Dell hat das Schema um die erforderlichen Änderungen zur Unterstützung von Remote-Management-
Authentifizierung und -Autorisierung erweitert.
Jedes Attribut bzw. jede Klasse, das/die zu einem vorhandenen Active Directory-Schema hinzugefügt wird, muss mit einer
eindeutigen ID definiert werden. Um branchenweit eindeutige IDs zu gewährleisten, unterhält Microsoft eine Datenbank von
Active Directory-Objektbezeichnern (OIDs). Wenn also Unternehmen das Schema erweitern, sind diese Erweiterungen eindeutig
und ergeben keine Konflikte. Um das Schema im Active Directory von Microsoft zu erweitern, hat Dell eindeutige OIDs
(Namenserweiterungen) und eindeutig verlinkte Attribut-IDs für die Attribute und Klassen erhalten, die dem Verzeichnisdienst
hinzugefügt werden.
● Erweiterung ist: dell
● Basis-OID lautet: 1.2.840.113556.1.8000.1280
● Der RAC-LinkID-Bereich ist: 12070 to 12079
Übersicht über die iDRAC-Schemaerweiterungen
Dell hat das Schema um Zuordnungs-, Geräte- und Berechtigungseigenschaften erweitert. Die Zuordnungseigenschaft wird zur
Verknüpfung der Benutzer oder Gruppen mit einem spezifischen Satz an Berechtigungen für ein oder mehrere iDRAC-Geräte
verwendet. Dieses Modell ist unkompliziert und gibt dem Administrator höchste Flexibilität bei der Verwaltung verschiedener
Benutzergruppen, iDRAC-Berechtigungen und iDRAC-Geräten im Netzwerk.
Für jedes iDRAC des Netzwerkes, das Sie zur Authentifizierung und Autorisierung in Active Directory integrieren möchten,
müssen Sie mindestens ein Zuordnungsobjekt und ein iDRAC-Geräteobjekt erstellen. Sie können mehrere Zuordnungsobjekte
erstellen, wobei jedes Zuordnungsobjekt nach Bedarf mit beliebig vielen Benutzern, Benutzergruppen, oder iDRAC-
Geräteobjekten verbunden werden kann. Die Benutzer und iDRAC-Benutzergruppen können Mitglieder beliebiger Domänen im
Unternehmen sein.
Jedes Zuordnungsobjekt darf jedoch nur mit einem Berechtigungsobjekt verbunden werden (bzw. jedes Zuordnungsobjekt kann
Benutzer, Benutzergruppen oder iDRAC-Geräteobjekte nur mit einem Berechtigungsobjekt verbinden). Dies ermöglicht dem
Administrator, die Berechtigungen jedes Benutzers über spezielle iDRAC-Geräte zu steuern.
Das iDRAC-Geräteobjekt ist die Verknüpfung zur iDRAC-Firmware für die Abfrage des Active Directory auf Authentifizierung
und Autorisierung. Wenn ein iDRAC dem Netzwerk hinzugefügt wird, muss der Administrator den iDRAC und sein Geräteobjekt
mit seinem Active Directory-Namen so konfigurieren, dass Benutzer Authentifizierung und Genehmigung bei Active Directory
ausführen können. Der Administrator muss außerdem iDRAC mindestens einem Zuordnungsobjekt hinzufügen, damit Benutzer
Authentifizierungen vornehmen können.
Die folgende Abbildung zeigt, dass das Zuordnungsobjekt die Verbindung bereitstellt, die für die gesamte Authentifizierung und
Genehmigung erforderlich ist.
148
Benutzerkonten und Berechtigungen konfigurieren