配置 Active Directory

语言：

系统管理员可以选择性地将 Oracle ILOM 配置为使用 Microsoft Windows Active Directory 服务来验证 Oracle ILOM 用户，也可以定义用户授权级别来使用 Oracle ILOM 中的功能。此服务基于客户机/服务器查询模型，该模型使用已分配的用户密码来验证 Active Directory 用户。

默认情况下，Active Directory 服务状态属性在 Oracle ILOM 中为禁用。要启用 Active Directory 服务状态并将 Oracle ILOM 配置为 Active Directory 客户机，请参见以下各表：

表 18 启用 Active Directory 验证

用户界面可配置目标：

CLI：/SP|CMM/clients/activedirectory
Web："ILOM Administration" > "User Management" > "Active Directory" > "Settings"
用户角色：User Management (u)（进行任何属性修改时均必需）
先决条件：在将 Oracle ILOM 配置为 Active Directory 客户机之前，Active Directory 服务器必须配置有用户或用户组。

属性

默认值

说明

State

(state=)

Disabled

Disabled |Enabled

要将 Oracle ILOM 配置为 Active Directory 客户机，必须将 State 属性设置为 enabled。

State 属性为 enabled 且 Strict Certificate Mode 属性为 disabled 时，Oracle ILOM 会在用户验证时通过安全通道提供 Active Directory 服务证书的某种验证。

State 属性为 enabled 且 Strict Certificate Mode 属性为 enabled 时，Oracle ILOM 会在用户验证时通过安全通道完全验证 Active Directory 服务证书的数字签名。

State 对应的 CLI 语法：

set /SP|CMM/clients/activedirectory/ state=disabled|enabled

Roles

(defaultrole=)

None (server authorization)

Administrator |Operator |Advanced |None (server authorization)

要定义 Oracle ILOM 中哪些功能可由已验证身份的 Active Directory 用户访问，请将默认 Role 属性设置为以下接受的四个属性值之一：Administrator (a|u|c|r|o)、Operator (c|r|o)、Advanced (a|u|c|r|o|s) 或 None (server authorization)。

将默认的 Role 属性设置为一个 Oracle ILOM 用户角色后，用于使用 Oracle ILOM 中的功能的授权级别由已配置的 Oracle ILOM 用户角色授予的特权指定。有关分配的特权的说明，请参见下面的“相关信息”部分中列出的用户角色和用户配置文件主题。

将 Role 属性设置为 None (server authorization) 并将 Oracle ILOM 配置为使用 Active Directory 组后，用于使用 Oracle ILOM 中功能的授权级别由 Active Directory 组指定。有关进一步的配置详细信息，请参见下面的“相关信息”部分中列出的“Active Directory 组”主题。

Roles 对应的 CLI 语法：

set /SP|CMM/clients/activedirectory/ defaultrole=administrator|operator|a|u|c|r|o|s|none

相关信息：

Address

(address=)

0.0.0.0

IP address| DNS host name（Active Directory 服务器）

要配置 Active Directory 服务器网络地址，请使用 Active Directory 服务器 IP 地址或 DNS 主机名填充 "Address" 属性。如果使用 DNS 主机名，则 Oracle ILOM 中的 DNS 配置属性必须配置正确且可运行。

Address 对应的 CLI 语法：

set /SP|CMM/clients/activedirectory/ address=active_directory_server ip_address|active_directory_server_dns_host_name

相关信息：

表 47

Port

(port=)

0 (Auto-select)

0 Auto-select | Non-standard TCP port

Oracle ILOM 使用标准 TCP 端口与 Active Directory 服务器进行通信。

Port Auto-select 属性为 enabled 时，默认情况下会将 Port 编号设置为 0。Port Auto-select 属性为 disabled 时，Web 界面中的 Port number 属性会变为用户可配置状态。

提供可配置的 "Port" 属性，以防 Oracle ILOM 需要使用非标准 TCP 端口。

Port 对应的 CLI 语法：

set /SP|CMM/clients/activedirectory/ port=number

Timeout

(timeout=)

4 seconds

4 |user-specified

Timeout 属性指定等待单个事务完成时所需的秒数。该值不代表完成所有事务的总时间，因为配置不同，事务数也会不同。

默认情况下，Timeout 属性设置为 4 秒。如有必要，可根据需要调整此属性值，以在无法访问 Active Directory 服务器或该服务器不响应时微调响应时间。

Timeout 对应的 CLI 语法：

set /SP|CMM/clients/activedirectory/ timeout=number_of_seconds

Strict Certificate Mode

(strictcertmode=)

Disabled

Disabled |Enabled

Strict Certificate Mode 属性为 enabled 时，Oracle ILOM 在验证时会完全验证 Active Directory 证书中的数字签名。

"Strict Certificate Mode" 属性为 "Disabled" 时，Oracle ILOM 会在验证时通过安全通道提供受限的服务器证书验证。

注意 - 启用 Strict Certificate Mode 属性之前，必须先装入 Active Directory 服务器证书。

Strict Certificate Mode 对应的 CLI 语法：

set /SP|CMM/clients/activedirectory/ strictcertmode=disabled|enabled

相关信息：

表 19

DNS Locator Mode

(/dnslocatorqueries)

Disabled

Disabled | Enabled

要将 Oracle ILOM 配置为使用 "DNS Locator Queries" 获取 Active Directory 服务器列表，请将 "DNS Locator Mode" 属性设置为 "Enable"。

DNS Locator Mode 对应的 CLI 语法：

set /SP|CMM/clients/activedirectory/ dnslocatorqueries/1=disabled|enabled

相关信息：

表 23

Expanded Search Mode

(expsearchmode=)

Disabled

Disabled | Enabled

要将 Oracle ILOM 配置为使用其他搜索选项查找 Active Directory 用户条目，请将 Expanded Search Mode 属性设置为 enabled。

"Expanded Search Mode" 属性为 "Disabled" 时，Oracle ILOM 将使用 userPrincipleName 搜索用户条目。在这种情况下，userPrincipleName 必须具有全限定域名 (fully qualified domain name, FQDN) 后缀。

Expanded Search Mode 对应的 CLI 语法：

set /SP|CMM/clients/activedirectory/ expsearchmode=disabled|enabled

Strict Credential Error Mode

(strictcredentialerrormode=)

Disabled

Disabled | Enabled

"Strict Credential Error Mode" 属性为 "Enabled" 且从任意服务器报告用户凭证错误后，Oracle ILOM 将使这些用户凭证失效。

Strict Credential Error Mode 属性为 disabled 时，Oracle ILOM 将为要验证的其他 Active Directory 服务器提供用户凭证（配置为备用服务器或由 DNS 定位器查询发现）。

Strict Credential Error Mode 配置对应的 CLI 语法：

set /SP|CMM/clients/activedirectory/ strictcredentialerrormode=disabled|enabled

相关信息：

表 19

Log Detail

(logdetail=)

无

None | High | Medium | Low |Trace

要为 Active Directory 事件指定 Oracle ILOM 事件日志中记录的诊断信息量，请将 Log Detail 属性设置为接受的属性值之一。

Log Detail 对应的 CLI 配置语法：

Save

Web 界面－要应用在 "Active Directory Settings" 页面中对属性所做的更改，必须单击 "Save"。

表 19 上载或删除 Active Directory 证书文件

用户界面可配置目标：

CLI：/SP|CMM/clients/activedirectory/cert
Web："ILOM Administration" > "User Management" > "Active Directory" > "Certificate Information"
用户角色：(u) User Management（进行任何属性修改时均必需）

属性

默认值

说明

Certificate File Status

(certstatus=)

只读

Certificate present |Certificate not present

Certificate File Status 属性指示 Active Directory 证书是否已上载到 Oracle ILOM 中。

注意 - 启用 Strict Certificate Mode 属性之前，Active Directory 证书文件必须先上载到 Oracle ILOM 中。

用于显示证书的 CLI 语法：

show /SP|CMM/clients/activedirectory/cert

File Transfer Method

Browser（仅适用于 Web 界面）

Browser|TFTP|FTP|SCP|Paste

有关每个文件传输方法的详细说明，请参见表 14。

Load Certificate

(load_uri=)

Web 界面－单击 "Load Certificate" 按钮上载在 "File Transfer Method" 属性中定义的 Active Directory 证书文件。

用于装入证书的 CLI 语法：

load_uri=file_transfer_method://host_address/file_path/filename

Remove Certificate

(clear_action=true)

Web 界面－单击 "Remove Certificate" 按钮删除目前存储在 Oracle ILOM 中的 Active Directory 证书文件。出现提示时，键入 y ("Yes") 删除或键入 n ("No") 取消操作。

用于删除证书的 CLI 语法：

set /SP|CMM/clients/activedirectory/cert clear_action=true

－或者－

reset /SP|CMM/clients/activedirectory/cert

出现提示时，键入 y 删除，或键入 n 取消操作。

表 20 选择性地配置 Active Directory 组

用户界面可配置目标： CLI：`/SP\|CMM/clients/activedirectory` Web："ILOM Administration" > "User Management" > "Active Directory" > "(Name) Groups" 用户角色：(`u`) User Management（进行任何属性修改时均必需）先决条件：在 Oracle ILOM 中设置 Activity Directory 组之前，Active Directory 组必须存在于 Active Directory 服务器上且已分配有成员。
属性	说明
Admin Groups (`/admingroups/1\|2\|3\|4\|5`)	系统管理员可以选择性地在 Oracle ILOM 中配置 "Admin Group" 属性（而不是 "Role" 属性）来提供用户授权。 Oracle ILOM 最多支持配置五个 "Admin Group"。在 Oracle ILOM 中启用 "Admin Group" 属性时，将检查用户的组成员关系是否与 admin 表中定义的任意组相匹配。如果出现匹配项，则授予该用户 Administrator 级别访问权限。注－Oracle ILOM 根据在每个配置的组表中找到的匹配组（Operator、Administrator 或 Custom）来授予组成员一个或多个授权级别。使用以下可能值填充 Oracle ILOM 中每个 Active Directory Admin Group 的配置属性： DN 格式：CN=admingroup,OU=groups,DC=domain,DC=company,DC=com NT 域格式：domain\admingroup 完整域格式：DC=domain,DC=company,DC=com\admingroup 简单名称格式：admingroup （最多为 128 个字符） Admin Groups 对应的 CLI 配置语法： `set /SP\|CMM/clients/activedirectory/admingroups/n name=string` 语法示例： `set /SP/clients/activedirectory/admingroups/1/ name=CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'name' to 'CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle, DC=com'`
Operator Groups (`/operatorgroups/1\|2\|3\|4\|5`)	系统管理员可以选择性地在 Oracle ILOM 中配置 "Operator Group" 属性（而不是 "Role" 属性）来提供用户授权。 Oracle ILOM 最多支持配置五个 "Operator Group"。在 Oracle ILOM 中启用 "Operator Group" 属性时，将检查用户的组成员关系是否与 operator 表中定义的任意组相匹配。如果出现匹配项，则授予该用户 Operator 级别访问权限。注－Oracle ILOM 根据在每个配置的组表中找到的匹配组（Operator、Administrator 或 Custom）来授予组成员一个或多个授权级别。使用以下可能值填充 Oracle ILOM 中每个 Operator Group 的配置属性： DN 格式：CN=operatorgroup,OU=groups,DC=domain,DC=company,DC=com NT 域格式：domain\operatorgroup 完整域格式：DC=domain,DC=company,DC=com\operatorgroup 简单名称格式：operatorgroup （最多为 128 个字符） Operator Groups 对应的 CLI 配置语法： `set /SP\|CMM/clients/activedirectory/operatorgroups/n name=string` 语法示例： `set /SP/clients/activedirectory/operatorgroups/1 name=CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'name' to 'CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC= com''`
Host Groups	Active Directory Host Groups 属性是 Oracle 多域 SPARC 服务器系统所特有的。对于多域 SP 服务器系统，Oracle ILOM 允许系统管理员最多配置 10 个用于 Active Directory 用户验证的主机组。 Host Groups 对应的 CLI 配置语法： `set /SP/clients/activedirectory/hostgroups/n/ name=string hosts=string roles=string` 其中： name= 是一个读写属性，它为指定的主机组提供 Active Directory 组名称。 hosts= 是一个读写属性，它列出此主机组为之分配角色的 PDomain。 roles= 是一个读写属性，它为主机组指定特定于域的特权级别。此属性支持 a、c 和 r 的任意主机角色 ID 组合（例如 acr），其中 a=admin、c=console 且 r=reset。有关为多域服务器 SP 系统配置 "Host Group" 属性的更多详细信息，请参见适用于 Oracle 服务器的管理指南。
Custom Groups (`/customgroups/1\|2\|3\|4\|5`)	系统管理员可以选择性地在 Oracle ILOM 中最多配置五个 "Custom Group" 属性来提供用户授权。Oracle ILOM 在验证属于定制组成员的用户时使用 "Custom Group" 属性确定要分配的相应用户角色。在 Oracle ILOM 中启用 "Custom Groups" 时，必须配置 "Roles" 属性和 "Custom Groups" 属性。有关 "Roles" 的配置属性的详细信息，请参见表 18 中的 "Roles" 属性。注－Oracle ILOM 根据在每个配置的组表中找到的匹配组（Operator、Administrator 或 Custom）来授予组成员一个或多个授权级别。使用以下可能值填充 Oracle ILOM 中每个 "Custom Group" 的配置属性：用户角色：`administrator` \|`operator`\|`advanced` (a\|u\|c\|r\|o\|s) DN 格式：CN=customgroup,OU=groups,DC=domain,DC=company,DC=com NT 域格式：domain\customgroup 完整域格式：DC=domain,DC=company,DC=com\customgroup 简单名称格式：customgroup （最多为 128 个字符） Custom Groups 对应的 CLI 配置语法： `set /SP\|CMM/clients/activedirectory/customgroups/n name=string roles=administrator\|operator\|a\|u\|c\|r\|o\|s` 语法示例： `set /SP/clients/activedirectory/customgroups/1 name=CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com roles=au` Set 'name' to 'CN=spSuperOper,OU=Groups,DC=sales,DC=oracle,DC=com'' roles' to 'au' 相关信息： Assignable Oracle ILOM User Roles
Save	Web 界面－要应用对 "Admin Groups"、"Operator Groups" 或 "Custom Groups" 对话框中的属性所做的更改，必须单击 "Save"。

表 21 配置 Active Directory 用户域

用户界面可配置目标： CLI：`/SP\|CMM/clients/activedirectory/userdomains/n` Web："ILOM Administration" > "User Management" > "Active Directory" > "User Domains" 用户角色：User Management (`u`)（进行任何属性修改时均必需）先决条件：在 Oracle ILOM 中设置 Activity Directory 用户域之前，Active Directory 用户域必须存在于 Active Directory 服务器上且已分配有成员。
属性	说明
User Domains (`1`\|`2`\|`3`\|`4`\|`5`)	系统管理员最多可以配置五个用户域。定义一个或多个用户域后，Oracle ILOM 将依次使用这些属性，直到能够验证 Active Directory 用户。使用以下可能值填充 Oracle ILOM 中每个 User Domain 的配置属性： UPN 格式：<USERNAME>@domain.company.com DN 格式：CN=<USERNAME>,CN=Users,DC=domain,DC=company,DC=com 注 - 您可以将 <USERNAME> 用作字面值。将 <USERNAME> 用作字面值时，Oracle ILOM 会在用户验证期间将 <USERNAME> 替换为当前输入的登录名。 User Domains 对应的 CLI 语法： `set /SP\|CMM/clients/activedirectory/userdomains/n name=string` 示例 1：`name=CN=<USERNAME>` `set /SP/clients/activedirectory/userdomains/1/name=CN<USERNAME>, OU=Groups, DC=sales, DC-Oracle, DC=com` Set 'name' to 'CN=<USERNAME>,OU=Groups,DC=sales,DC=oracle,DC=com' 示例 2：name=CN=spSuperAdmin `set /SP/clients/activedirectory/userdomains/1/ name=CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle,DC=com` `Set 'name' to 'CN=spSuperAdmin,OU=Groups,DC=sales,DC=oracle, DC=com'`
Save	Web 界面－要应用在 "Active Directory User Domains" 对话框中对属性所做的更改，必须单击 "Save"。

表 22 选择性地配置 Active Directory 备用服务器

用户界面可配置目标： CLI：`/SP\|CMM/clients/activedirectory/alternateservers/n` Web："ILOM Administration" > "User Management" > "Active Directory" > "Alternate Servers" 用户角色：User Management (`u`)（进行任何属性修改时均必需）
属性	说明
Alternate Servers (`/1\|2\|3\|4\|5`)	通过 Oracle ILOM，系统管理员可以最多配置五个 Active Directory 备用服务器。备用服务器提供验证冗余，并在需要隔离域时提供要使用的其他 Active Directory 服务器的选项。每个 Active Directory 备用服务器使用的用户授权规则和要求与主 Active Directory 服务器使用的用户授权规则和要求相同。例如，Oracle ILOM 将使用 Roles 属性中配置的用户角色来验证用户。但是，如果未配置 Roles 属性，Oracle ILOM 将查询验证服务器是否具有合适的授权角色。每个 Active Directory 备用服务器均具有其自身的网络地址、端口、证书状态属性和用于上载和删除证书的命令。如果未提供 Active Directory 证书但又需要此证书，Oracle ILOM 将使用顶级主 Active Directory 服务器证书。注 - 如果将备用服务器用于提供验证冗余，则可以选择性地启用 "Strict Credential Error Mode" 属性。但是，如果将备用服务器用于跨接不相交的域，则应禁用 "Strict Credential Error Mode" 属性。有关 "Strict Credential Error Mode" 的配置属性，请参见表 18。备用服务器地址和端口对应的 CLI 语法： `set /SP\|CMM/clients/activedirectory/alternateservers/n address=sting port=string` 备用服务器证书对应的 CLI 语法： `show /SP\|CMM/clients/activedirectory/alternateservers/n/cert` `load_uri=file_transfer_method://host_address/file_path/filename` `set /SP\|CMM/clients/activedirectory/alternateservers/n/cert clear_action=true`
Save	Web 界面－要应用在 "Active Directory Alternate Servers" 对话框中对属性所做的更改，必须单击 "Save"。

表 23 选择性地编辑 DNS 定位器查询

用户界面可配置目标： CLI：`/SP\|CMM/clients/activedirectory/dnslocatorqueries` Web："ILOM Administration" > "User Management" > "Active Directory" > "DNS Locator Queries" 用户角色：User Management (`u`)（进行任何属性修改时均必需）
属性	默认值	说明
DNS Locator Queries (/1)	_ldap._tcp.gc._msdcs.`<DOMAIN>.<PORT:3269>`	通过 Oracle ILOM，您可以最多配置五个 DNS 定位器查询。 DNS 定位器查询可标识已命名的 DNS 服务和端口 ID。端口 ID 通常是记录的一部分，但可以使用格式 <PORT:636> 对其进行覆盖。此外，您可以通过使用 <DOMAIN> 替换标记覆盖特定域的已命名 DNS 服务。用于显示和编辑 DNS 定位器查询的 CLI 语法： `show /SP\|CMM/clients/activedirectory/dnslocatorqueries/1` `set` /`SP\|CMM/clients/activedirectory/dnslocatorqueries/1 service =` `string` `service= string` 的 DNS Locator Queries 语法示例： service =_ldap._tcp.gc._msdcs.<DOMAIN>.<PORT:`nnnn`>
DNS Locator Queries (/2)	_ldap._tcp.dc._msdcs`.<DOMAIN>.<PORT:636>`
Save		Web 界面－要应用在 "Active Directory DNS Locator Queries" 对话框中对属性所做的更改，必须单击 "Save"。

表 24 Active Directory 验证的故障排除准则

对 Oracle ILOM 中的 Active Directory 验证和授权尝试进行故障排除时，请参阅以下准则。

要测试和诊断 Active Directory 验证，请执行以下步骤：

1：将 Active Directory Log Details 属性设置为 trace。

2：尝试验证 Oracle ILOM 以生成事件。

3：查看 Oracle ILOM 事件日志文件。
确保 Active Directory 服务器中配置的用户组和用户域与 Oracle ILOM 中配置的用户组和用户域匹配。
Oracle ILOM Active Directory 客户机不会管理时钟设置。可手动或通过 NTP 服务器配置 Oracle ILOM 中的时钟设置。

注：使用 NTP 服务器配置 Oracle ILOM 中的时钟设置时，Oracle ILOM 在启动 NTP 守护进程之前将使用 NTP 服务器执行 ntpdate。

相关信息：