Tabla de contenido
Prácticas recomendadas para el esquema extendido
El esquema extendido utiliza objetos de asociación de Dell para unirse a iDRAC y el permiso. Esto le permite a usted usar iDRAC en función
de los permisos otorgados en general. El valor predeterminado de la lista de control de acceso (ACL) de los objetos de asociación de Dell
permite a los administradores autónomos y de dominio administrar los permisos y el alcance de los objetos de iDRAC.
De manera predeterminada, los objetos de asociación de Dell no heredan todos los permisos de los objetos principales de Active Directory.
Si activa la herencia para el objeto de asociación de Dell, los permisos heredados para ese objeto de asociación se otorgarán a los usuarios y
grupos seleccionados. Esto puede ocasionar que se proporcionen privilegios imprevistos a la iDRAC.
Para utilizar el esquema extendido manera segura, Dell recomienda no activar la herencia en objetos de asociación de Dell dentro de la
implementación del esquema extendido.
Extensiones de esquema de Active Directory
Los datos de Active Directory son una base de datos distribuida de atributos y clases. El esquema de Active Directory incluye las reglas que
determinan los tipos de datos que se pueden agregar o incluir en la base de datos. La clase de usuario es un ejemplo de una clase que se
almacena en la base de datos. Algunos ejemplos de atributos de clase de usuario pueden incluir el nombre, el apellido, el número de teléfono
y otros datos del usuario. Puede ampliar la base de datos de Active Directory al agregar sus propios y exclusivos atributos y clases para
requisitos específicos. Dell ha extendido el esquema para incluir los cambios necesarios para admitir la autorización y la autenticación de
administración remota mediante Active Directory.
Cada atributo o clase que se agrega a un esquema existente de Active Directory debe definirse con una Id. única. Para mantener Id. únicas
en todo el sector, Microsoft mantiene una base de datos de identificadores de objetos de Active Directory (OID) para que cuando las
empresas agreguen extensiones al esquema, puedan tener la garantía de que serán únicas y no entrarán en conflicto entre sí. Para extender
el esquema en Active Directory de Microsoft, Dell recibe OID únicos, extensiones de nombre únicas e Id. de atributo con vínculo únicas para
los atributos y las clases que se agregan al servicio de directorio:
•
La extensión es: dell.
•
El OID de base es: 1.2.840.113556.1.8000.1280.
•
El rango de Id. de vínculo de RAC es: 12070 to 12079.
Descripción general sobre las extensiones de esquema de iDRAC
Dell ha extendido el esquema para incluir una propiedad Association (Asociación), Device (Dispositivo) y Privilege (Privilegio). La propiedad
Association (Asociación) se utiliza para vincular usuarios o grupos con un conjunto específico de privilegios para uno o varios dispositivos
iDRAC. Este modelo le proporciona a un administrador la flexibilidad máxima sobre las distintas combinaciones de usuarios, privilegios de
iDRAC y dispositivos iDRAC en la red sin mucha complexidad.
Para cada dispositivo iDRAC físico en la red que desee integrar con Active Directory para la autenticación y autorización, cree al menos un
objeto de asociación y un objeto de dispositivo iDRAC. Puede crear varios objetos de asociación y cada uno de ellos se puede vincular con
varios usuarios, grupos de usuarios u objetos de dispositivo iDRAC, según sea necesario. Los usuarios y los grupos de usuarios de iDRAC
pueden ser miembros de cualquier dominio en la empresa.
No obstante, cada objeto de asociación puede vincularse (o puede vincular usuarios, grupos de usuarios u objetos de dispositivo iDRAC)
con un solo objeto de privilegio. En este ejemplo, se le permite al administrador controlar los privilegios de cada usuario en dispositivos
iDRAC específicos.
El objeto de dispositivo iDRAC es el vínculo al firmware de iDRAC para consultar Active Directory para la autenticación y la autorización.
Cuando iDRAC se agrega a la red, el administrador debe configurar iDRAC y su objeto de dispositivo con su nombre de Active Directory
para que los usuarios puedan realizar la autenticación y la autorización con Active Directory. Asimismo, el administrador debe agregar iDRAC
al menos a un objeto de asociación para que se autentiquen los usuarios.
158
Configuración de cuentas de usuario y privilegios
Tabla de contenido
Solución de problemas
