Configuration d'Active Directory

Langue :

Les administrateurs système peuvent éventuellement configurer Oracle ILOM pour authentifier les utilisateurs par le biais du service Active Directory de Microsoft Windows, mais également définir des niveaux d'autorisation pour l'utilisation des fonctionnalités d'Oracle ILOM. Ce service repose sur un modèle de requête client-serveur qui authentifie les utilisateurs Active Directory grâce au mot de passe qui leur est attribué.

La propriété d'état du service Active Directory est désactivée par défaut dans Oracle ILOM. Pour activer le service Active Directory et configurer Oracle ILOM en tant que client Active Directory, reportez-vous aux tableaux suivants :

Table 18 Activation de l'authentification Active Directory
Table 19 Téléchargement ou suppression d'un fichier de certificat Active Directory
Table 20 Configuration facultative de groupes Active Directory
Table 21 Configuration des domaines utilisateur Active Directory
Table 22 Configuration facultative de serveurs Active Directory de remplacement
Table 23 Modification facultative des requêtes au localisateur DNS
Table 24 Instructions de dépannage de l'authentification Active Directory

Table 18 Activation de l'authentification Active Directory

Cible configurable de l'interface utilisateur :

CLI : /SP|CMM/clients/activedirectory
Web : ILOM Administration > User Management > Active Directory > Settings
Rôle utilisateur : User Management (u) (requis pour toutes les modifications de propriété)
Condition requise : le serveur Active Directory doit être paramétré avec des utilisateurs ou des groupes d'utilisateurs avant de configurer Oracle ILOM en tant que client Active Directory.

Propriété

Valeur par défaut

Description

State

(state=)

Disabled

Disabled |Enabled

Pour configurer Oracle ILOM en tant que client Active Directory, définissez la propriété State sur Enabled.

Lorsque la propriété State est activée et que la propriété Strict Certificate Mode est désactivée, Oracle ILOM fournit, par le biais d'un canal sécurisé, des validations du certificat de service Active Directory au moment de l'authentification des utilisateurs.

Lorsque les propriétés State et Strict Certificate Mode sont toutes deux activées, Oracle ILOM vérifie entièrement, par le biais d'un canal sécurisé, le certificat de service Active Directory à la recherche de signatures numériques au moment de l'authentification des utilisateurs.

Syntaxe de la CLI pour l'état :

set /SP|CMM/clients/activedirectory/ state=disabled|enabled

Roles

(defaultrole=)

None (server authorization)

Administrator |Operator |Advanced |None (server authorization)

Pour définir les fonctionnalités d'Oracle ILOM accessibles aux utilisateurs authentifiés Active Directory, définissez la propriété Role par défaut sur l'une des quatre valeurs acceptées : Administrator (a|u|c|r|o), Operator (c|r|o), Advanced (a|u|c|r|o|s) ou None (server authorization).

Lorsque la propriété Role par défaut est définie sur un rôle Oracle ILOM, les niveaux d'autorisation pour l'utilisation des fonctionnalités d'Oracle ILOM sont dictés par les privilèges accordés par le rôle configuré. Pour une description des privilèges attribués, reportez-vous aux rubriques concernant les rôles et les profils utilisateur répertoriées dans la section Informations connexes ci-dessous.

Lorsque la propriété Role est définie sur None (server authorization) et qu'Oracle ILOM est configuré pour utiliser les groupes Active Directory, les niveaux d'autorisation pour l'utilisation des fonctionnalités d'Oracle ILOM sont dictés par le groupe Active Directory. Pour plus d'informations sur la configuration, reportez-vous à la section concernant les groupes Active Directory répertoriée dans la section Informations connexes ci-dessous.

Syntaxe de la CLI pour les rôles :

set /SP|CMM/clients/activedirectory/ defaultrole=administrator|operator|a|u|c|r|o|s|none

Informations connexes :

Adresse

(address=)

0.0.0.0

IP address| DNS host name (Active Directory Server)

Pour configurer l'adresse réseau du serveur Active Directory, renseignez la propriété Address avec l'adresse IP ou le nom d'hôte DNS du serveur Active Directory. Si un nom d'hôte DNS est déjà utilisé, les propriétés de configuration DNS dans Oracle ILOM doivent être correctement configurées et fonctionnelles.

Syntaxe de la CLI pour l'adresse :

set /SP|CMM/clients/activedirectory/ address=active_directory_server ip_address|active_directory_server_dns_host_name

Informations connexes :

Table 47

Port

(port=)

0 (Auto-select)

0 Auto-select | Non-standard TCP port

Oracle ILOM communique avec le serveur Active Directory par le biais d'un port TCP standard.

Lorsque la propriété Port Auto-select est activée, le numéro de port est défini sur 0 par défaut. Lorsque la propriété Port Auto-select est désactivée, la propriété Port number de l'interface Web devient configurable par l'utilisateur.

Une propriété Port configurable est fournie dans le cas peu probable où Oracle ILOM nécessiterait un port TCP non-standard.

Syntaxe de la CLI pour le port :

set /SP|CMM/clients/activedirectory/ port=number

Timeout

(timeout=)

4 seconds

4 |user-specified

La propriété Timeout désigne le délai (en secondes) qui doit s'écouler avant la fin d'une transaction individuelle. La valeur ne représente pas le délai d'expiration de toutes les transactions car le nombre de transactions peut varier en fonction de la configuration.

La propriété Timeout est définie sur 4 secondes par défaut. Si nécessaire, modifiez la valeur de la propriété pour affiner le temps de réponse lorsque le serveur Active Directory n'est pas joignable ou ne répond pas.

Syntaxe de la CLI pour l'expiration :

set /SP|CMM/clients/activedirectory/ timeout=number_of_seconds

Strict Certificate Mode

(strictcertmode=)

Disabled

Disabled |Enabled

Lorsque la propriété Strict Certificate Mode est activée, Oracle ILOM vérifie entièrement les signatures numériques dans le certificat Active Directory au moment de l'authentification.

Lorsque la propriété Strict Certificate Mode est désactivée, Oracle ILOM fournit une validation limitée du certificat du serveur au moment de l'authentification par le biais d'un canal sécurisé.

Mise en garde - Il faut charger le certificat du serveur Active Directory avant d'activer la propriété Strict Certificate Mode.

Syntaxe de la CLI pour le mode de certificat strict :

set /SP|CMM/clients/activedirectory/ strictcertmode=disabled|enabled

Informations connexes :

Table 19

DNS Locator Mode

(/dnslocatorqueries)

Disabled

Disabled | Enabled

Pour configurer Oracle ILOM en vue d'obtenir la liste des serveurs Active Directory par le biais de requêtes au localisateur DNS, définissez la propriété DNS Locator Mode sur Enabled.

Syntaxe de la CLI pour le mode de localisateur DNS :

set /SP|CMM/clients/activedirectory/ dnslocatorqueries/1=disabled|enabled

Informations connexes :

Table 23

Expanded Search Mode

(expsearchmode=)

Disabled

Disabled | Enabled

Pour configurer Oracle ILOM en vue de localiser les entrées utilisateur Active Directory par le biais d'options de recherche supplémentaires, définissez la propriété Expanded Search Mode sur Enabled.

Si la propriété Expanded Search Mode est désactivée, Oracle ILOM utilise userPrincipleName pour rechercher les entrées utilisateur. Dans ce cas, userPrincipleName doit avoir un suffixe de nom de domaine complet.

Syntaxe de la CLI pour le mode de recherche étendu :

set /SP|CMM/clients/activedirectory/ expsearchmode=disabled|enabled

Strict Credential Error Mode

(strictcredentialerrormode=)

Disabled

Disabled | Enabled

Si la propriété Strict Credential Error Mode est activée et que des erreurs d'informations d'identification utilisateur sont signalées par un serveur, Oracle ILOM rejette ces informations d'identifications.

Si la propriété Strict Credential Error Mode est désactivée, Oracle ILOM présente les informations d'identification utilisateur à d'autres serveurs Active Directory pour l'authentification (configurés comme serveurs alternatifs ou trouvés par les requêtes au localisateur DNS).

Syntaxe de la CLI pour configurer le mode de certificat strict :

set /SP|CMM/clients/activedirectory/ strictcredentialerrormode=disabled|enabled

Informations connexes :

Table 19

Log Detail

(logdetail=)

Aucune

None | High | Medium | Low |Trace

Pour indiquer la quantité d'informations de diagnostic enregistrée dans le journal des événements Oracle ILOM pour les événements Active Directory, définissez la propriété Log Detail sur l'une des valeurs acceptées.

Syntaxe de la CLI pour configurer le niveau de détail du journal:

Save

Interface Web : pour appliquer les modifications apportées aux propriétés dans la page Active Directory Settings, vous devez cliquer sur Save.

Table 19 Téléchargement ou suppression d'un fichier de certificat Active Directory

Cible configurable de l'interface utilisateur :

CLI : /SP|CMM/clients/activedirectory/cert
Web : ILOM Administration > User Management > Active Directory > Certificate Information
Rôle utilisateur : (u) User Management (requis pour toutes les modifications de propriété)

Propriété

Valeur par défaut

Description

Certificate File Status

(certstatus=)

Lecture seule

Certificate present |Certificate not present

La propriété Certificate File Status indique si un certificat Active Directory a été téléchargé dans Oracle ILOM.

Mise en garde - Il faut télécharger le fichier de certificat Active Directory dans Oracle ILOM avant d'activer la propriété Strict Certificate Mode.

Syntaxe de la CLI pour afficher le certificat :

show /SP|CMM/clients/activedirectory/cert

Méthode de transfert de fichiers

Browser (interface Web uniquement)

Browser|TFTP|FTP|SCP|Paste

Pour une description détaillée de chaque méthode de transfert de fichiers, reportez-vous au Table 14.

Load Certificate

(load_uri=)

Interface Web : cliquez sur le bouton Load Certificate pour télécharger le fichier de certificat Active Directory défini dans les propriétés File Transfer Method.

Syntaxe de la CLI pour charger le certificat :

load_uri=file_transfer_method://host_address/file_path/filename

Remove Certificate

(clear_action=true)

Interface Web : cliquez sur le bouton Remove Certificate pour supprimer le fichier de certificat Active Directory actuellement stocké dans Oracle ILOM. Lorsque vous y êtes invité, tapez y (oui) pour supprimer ou n (non) pour annuler l'action.

Syntaxe de la CLI pour supprimer le certificat:

set /SP|CMM/clients/activedirectory/cert clear_action=true

-ou-

reset /SP|CMM/clients/activedirectory/cert

Lorsque vous y êtes invité, saisissez y pour supprimer ou n pour annuler l'action.

Table 20 Configuration facultative de groupes Active Directory

Cible configurable de l'interface utilisateur : CLI : `/SP\|CMM/clients/activedirectory` Web : ILOM Administration > User Management > Active Directory > (Name) Groups Rôle utilisateur : (`u`) User Management (requis pour toutes les modifications de propriété) Condition requise : avant de les configurer dans Oracle ILOM, les groupes Activity Directory doivent être présents sur le serveur Active Directory et leurs membres assignés.
Propriété	Description
Admin Groups (`/admingroups/1\|2\|3\|4\|5`)	Un administrateur système peut éventuellement configurer les propriétés Admin Group au lieu des propriétés Role dans Oracle ILOM pour assurer l'authentification utilisateur. Oracle ILOM prend en charge la configuration de cinq groupes d'administrateurs au maximum. Lorsque les propriétés Admin Group sont activées dans Oracle ILOM, l'appartenance d'un utilisateur à un groupe est vérifiée sur la base de tout groupe correspondant défini dans la table d'administration. Si une concordance est trouvée, l'utilisateur se voit accorder l'accès au niveau Administrator. Remarque : Oracle ILOM accorde au membre d'un groupe un ou plusieurs niveaux d'autorisation en fonction des groupes correspondants (Operator, Administrator ou Custom) trouvés dans chaque table de groupe configurée. Utilisez les valeurs possibles suivantes pour renseigner les propriétés de configuration de chaque groupe d'administrateurs Active Directory dans Oracle ILOM : Format DN : CN=admingroup,OU=groups,DC=domain,DC=company,DC=com Format domaine NT : domain\admingroup Format domaine complet :: DC=domain,DC=company,DC=com\admingroup Format nom simple : admingroup (Jusqu'à 128 caractères) Syntaxe de la CLI pour configurer un groupe d'administrateurs : `set /SP\|CMM/clients/activedirectory/admingroups/n name=string` Exemple de syntaxe : `set /SP/clients/activedirectory/admingroups/1/ name=CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'name' to 'CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle, DC=com'`
Operator Groups (`/operatorgroups/1\|2\|3\|4\|5`)	Un administrateur système peut éventuellement configurer les propriétés Operator Group au lieu des propriétés Role dans Oracle ILOM pour assurer l'authentification utilisateur. Oracle ILOM prend en charge la configuration de cinq groupes d'opérateurs au maximum. Lorsque les propriétés Operator Group sont activées dans Oracle ILOM, l'appartenance d'un utilisateur à un groupe est vérifiée sur la base de tout groupe correspondant défini dans la table des opérateurs. Si une concordance est trouvée, l'utilisateur se voit accorder l'accès au niveau Operator. Remarque : Oracle ILOM accorde au membre d'un groupe un ou plusieurs niveaux d'autorisation en fonction des groupes correspondants (Operator, Administrator ou Custom) trouvés dans chaque table de groupe configurée. Utilisez les valeurs possibles suivantes pour renseigner les propriétés de configuration de chaque groupe d'opérateurs dans Oracle ILOM : Format DN : CN=operatorgroup,OU=groups,DC=domain,DC=company,DC=com Format domaine NT : domain\operatorgroup Format domaine complet : DC=domain,DC=company,DC=com\operatorgroup Format nom simple : operatorgroup (Jusqu'à 128 caractères) Syntaxe de la CLI pour configurer un groupe d'opérateurs : `set /SP\|CMM/clients/activedirectory/operatorgroups/n name=string` Exemple de syntaxe : `set /SP/clients/activedirectory/operatorgroups/1 name=CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'name' to 'CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC= com''`
Host Groups	Les propriétés Host Groups d'Active Directory sont spécifiques aux systèmes de serveur SPARC multidomaines Oracle. Pour les systèmes de serveur SP multidomaines, Oracle ILOM permet aux administrateurs système de configurer jusqu'à 10 groupes d'hôtes pour l'authentification utilisateur Active Directory. Syntaxe de la CLI pour configurer un groupe d'hôtes : `set /SP/clients/activedirectory/hostgroups/n/ name=string hosts=string roles=string` Où : name= est une propriété en lecture et écriture qui représente le nom de groupe Active Directory du groupe d'hôtes spécifié. hosts= est une propriété en lecture et écriture qui répertorie le PDomain pour lequel ce groupe d'hôtes affecte des rôles. roles= est une propriété en lecture et écriture qui spécifie les niveaux de privilège de domaine du groupe d'hôtes. Cette propriété prend en charge n'importe laquelle des combinaisons d'ID de rôle hôte individuel (par exemple, acr) où a= admin, c=console et r=reset. Pour plus de détails sur la configuration de propriétés de groupe d'hôtes pour les systèmes de serveur SP multidomaines, consultez le guide d'administration disponible pour le serveur Oracle.
Custom Groups (`/customgroups/1\|2\|3\|4\|5`)	Un administrateur système peut éventuellement configurer jusqu'à cinq groupes personnalisés dans Oracle ILOM pour assurer l'autorisation utilisateur. Oracle ILOM détermine par le biais des propriétés Custom Group les rôles qu'il convient d'attribuer lors de l'authentification d'utilisateurs membres d'un groupe personnalisé. Lors de l'activation de l'utilisation des groupes personnalisés dans Oracle ILOM, les propriétés Roles et Custom Groups doivent être configurées. Pour plus d'informations sur les propriétés de configuration de rôles, reportez-vous à la propriété Roles dans Table 18. Remarque : Oracle ILOM accorde au membre d'un groupe un ou plusieurs niveaux d'autorisation en fonction des groupes correspondants (Operator, Administrator ou Custom) trouvés dans chaque table de groupe configurée. Utilisez les valeurs possibles suivantes pour définir les propriétés de configuration de chaque groupe personnalisé dans Oracle ILOM : Rôle utilisateur : `administrator` \|`operator`\|`advanced` (a\|u\|c\|r\|o\|s) Format DN : CN=customgroup,OU=groups,DC=domain,DC=company,DC=com Format domaine NT : domain\customgroup Format domaine complet : DC=domain,DC=company,DC=com\customgroup Format nom simple : customgroup (Jusqu'à 128 caractères) Syntaxe de la CLI pour configurer un groupe personnalisé : `set /SP\|CMM/clients/activedirectory/customgroups/n name=string roles=administrator\|operator\|a\|u\|c\|r\|o\|s` Exemple de syntaxe : `set /SP/clients/activedirectory/customgroups/1 name=CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com roles=au` Set 'name' to 'CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com'' roles' to 'au' Informations connexes : Assignable Oracle ILOM User Roles
Save	Interface Web : pour appliquer les modifications apportées aux propriétés dans les boîtes de dialogue Admin, Operator ou Custom Group, vous devez cliquer sur Save.

Table 21 Configuration des domaines utilisateur Active Directory

Cible configurable de l'interface utilisateur : CLI : `/SP\|CMM/clients/activedirectory/userdomains/n` Web : ILOM Administration > User Management > Active Directory > User Domains Rôle utilisateur : User Management (`u`) (requis pour toutes les modifications de propriété) Condition requise : avant de les configurer dans Oracle ILOM, les domaines utilisateur Active Directory doivent être présents sur le serveur Active Directory et leurs membres assignés.
Propriété	Description
User Domains (`1`\|`2`\|`3`\|`4`\|`5`)	Un administrateur système peut éventuellement configurer jusqu'à cinq domaines utilisateur. Quand un ou plusieurs domaines utilisateur sont définis, Oracle ILOM reprend ces propriétés dans l'ordre jusqu'à authentifier l'utilisateur Active Directory. Utilisez les valeurs possibles suivantes pour définir les propriétés de configuration de chaque domaine utilisateur dans Oracle ILOM : Format UPN : <USERNAME>@domain.company.com Format DN : CN=<USERNAME>,CN=Users,DC=domain,DC=company,DC=com Remarque - Vous pouvez utiliser <USERNAME> en tant que paramètre littéral. Si <USERNAME> apparaît comme paramètre littéral, Oracle ILOM remplace <USERNAME> lors de l'authentification utilisateur par le nom de connexion actuel saisi. Syntaxe de la CLI pour les domaines utilisateur : `set /SP\|CMM/clients/activedirectory/userdomains/n name=string` Exemple 1 : `name=CN=<USERNAME>` `set /SP/clients/activedirectory/userdomains/1/name=CN<USERNAME>, OU=Groups, DC=sales, DC-Oracle, DC=com` Set 'name' to 'CN=<USERNAME>,OU=Groups,DC=sales,DC=oracle,DC=com' Exemple 2 : name=CN=spSuperAdmin `set /SP/clients/activedirectory/userdomains/1/ name=CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'name' to 'CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle, DC=com'`
Save	Interface Web : pour appliquer les modifications apportées aux propriétés dans la boîte de dialogue Active Directory User Domains, vous devez cliquer sur Save.

Table 22 Configuration facultative de serveurs Active Directory de remplacement

Cible configurable de l'interface utilisateur : CLI : `/SP\|CMM/clients/activedirectory/alternateservers/n` Web : ILOM Administration > User Management > Active Directory > Alternate Servers Rôle utilisateur : User Management (`u`) (requis pour toutes les modifications de propriété)
Propriété	Description
Alternate Servers (`/1\|2\|3\|4\|5`)	Oracle ILOM permet à un administrateur système de configurer jusqu'à cinq serveurs Active Directory de remplacement. Ces serveurs de remplacement offrent la redondance d'authentification, ainsi qu'un choix de différents serveurs Active Directory à utiliser lorsque vous avez besoin d'isoler des domaines. Chaque serveur de remplacement observe les mêmes règles et exigences d'authentification utilisateur que le serveur Active Directory principal. Par exemple, Oracle ILOM reprend les rôles configurés dans la propriété Roles pour authentifier les utilisateurs. Cependant, si la propriété Roles n'est pas configurée, Oracle ILOM demande les rôles d'autorisation appropriés au serveur d'authentification. Chaque serveur Active Directory de remplacement possède ses propres propriétés d'adresse réseau, de port, de statut de certificat et de commandes pour télécharger et supprimer un certificat. Si aucun certificat Active Directory n'est fourni mais qu'il est requis, Oracle ILOM utilise le certificat supérieur du serveur Active Directory principal. Remarque - Si les serveurs de remplacement assurent la redondance d'authentification, la propriété Strict Credential Error Mode peut éventuellement être activée. En revanche, si les serveurs de remplacement sont utilisés pour fractionner des domaines non joints, il faut désactiver la propriété Strict Credential Error Mode. Pour les propriétés de configuration Strict Credential Error Mode, reportez-vous au Table 18. Syntaxe de la CLI pour l'adresse et le port du serveur de remplacement : `set /SP\|CMM/clients/activedirectory/alternateservers/n address=sting port=string` Syntaxe de la CLI pour le certificat de serveur de remplacement : `show /SP\|CMM/clients/activedirectory/alternateservers/n/cert` `load_uri=file_transfer_method://host_address/file_path/filename` `set /SP\|CMM/clients/activedirectory/alternateservers/n/cert clear_action=true`
Save	Interface Web : pour appliquer les modifications apportées aux propriétés dans la boîte de dialogue Active Directory Alternate Servers, vous devez cliquer sur Save.

Table 23 Modification facultative des requêtes au localisateur DNS

Cible configurable de l'interface utilisateur : CLI : `/SP\|CMM/clients/activedirectory/dnslocatorqueries` Web : ILOM Administration > User Management > Active Directory > DNS Locator Queries Rôle utilisateur : User Management (`u`) (requis pour toutes les modifications de propriété)
Propriété	Valeur par défaut	Description
DNS Locator Queries (/1)	_ldap._tcp.gc._msdcs.`<DOMAIN>.<PORT:3269>`	Oracle ILOM vous permet de configurer jusqu'à cinq requêtes au localisateur DNS. Une requête au localisateur DNS identifie le service DNS nommé et l'ID de port. L'ID de port fait généralement partie de l'enregistrement mais vous pouvez le remplacer en respectant le format <PORT:636>. De plus, vous pouvez remplacer le service DNS nommé d'un domaine spécifique à l'aide du marqueur de substitution <DOMAIN>. Syntaxe de la CLI pour afficher et modifier une requête au localisateur DNS : `show /SP\|CMM/clients/activedirectory/dnslocatorqueries/1` `set` /`SP\|CMM/clients/activedirectory/dnslocatorqueries/1 service =` `string` Exemple de syntaxe pour la requête au localisateur DNS `service= string` : service =_ldap._tcp.gc._msdcs.<DOMAIN>.<PORT:`nnnn`>
DNS Locator Queries (/2)	_ldap._tcp.dc._msdcs`.<DOMAIN>.<PORT:636>`
Save		Interface Web : pour appliquer les modifications apportées aux propriétés dans la boîte de dialogue Active Directory DNS Locator Queries, vous devez cliquer sur Save.

Table 24 Instructions de dépannage de l'authentification Active Directory

Reportez-vous aux instructions suivantes lors du dépannage de l'authentification Active Directory et des tentatives d'autorisation dans Oracle ILOM.

Pour tester et diagnostiquer l'authentification Active Directory, procédez comme suit :

1. Définissez la propriété Active Directory Log Details sur trace.

2. Effectuez une tentative d'authentification dans Oracle ILOM pour générer des événements.

3. Consultez de journal des événements d'Oracle ILOM.
Assurez-vous que les groupes d'utilisateurs et les domaines configurés sur le serveur Active Directory correspondent à ceux configurés dans Oracle ILOM.
Le client Active Directory d'Oracle ILOM ne gère pas les paramètres d'horloge. Ces paramètres sont configurables manuellement ou par le biais d'un serveur NTP.

Remarque. Lorsque le paramètre d'horloge d'Oracle ILOM est configuré à l'aide d'un serveur NTP, Oracle ILOM exécute la commande ntpdate à l'aide du serveur NTP avant de démarrer le démon NTP.

Informations connexes :