Cada atributo o clase que se agrega a un esquema existente de Active Directory debe ser definido con una identificación única. Para que las identificaciones

se mantengan exclusivas en toda la industria, Microsoft conserva una base de datos de Identificadores de Objeto de Active Directory (OID) para que cuando

las compañías agregan extensiones al esquema, se pueda garantizar que serán exclusivas y no entrarán en conflicto una con otra. Para extender el esquema

en Microsoft Active Directory, Dell recibió OID exclusivos, extensiones de nombre exclusivas e identificaciones de atributo vinculadas exclusivamente para las

clases y los atributos agregados al servicio de directorio.

Extensión de Dell: dell

OID base de Dell: 1.2.840.113556.1.8000.1280

Rango de LinkID del RAC: 12070 a 12079

Descripción de las extensiones de esquema del iDRAC

Para proporcionar la mayor flexibilidad en la multitud de entornos de cliente, Dell proporciona un grupo de propiedades que el usuario puede configurar según

los resultados deseados. Dell ha extendido el esquema para incluir propiedades de asociación, dispositivo y privilegio. La propiedad de asociación se usa para

vincular a los usuarios o los grupos que tienen un conjunto específico de privilegios para uno o varios dispositivos iDRAC. Este modelo ofrece máxima

flexibilidad al Administrador con respecto a las diferentes combinaciones de usuarios, privilegios del iDRAC y dispositivos iDRAC en la red sin aumentar

demasiado la complejidad.

Descripción general de los objetos de Active Directory

Para cada uno de los iDRAC físicos en la red que desee integrar con Active Directory para autentificación y autorización, cree al menos un objeto de asociación

y un objeto de dispositivo de iDRAC. Puede crear varios objetos de asociación, y cada objeto de asociación puede vincularse a cuantos usuarios, grupos de

usuarios u objetos de dispositivo del iDRAC sean necesarios. Los usuarios y los grupos de usuarios del iDRAC pueden ser miembros de cualquier dominio de la

empresa.

Sin embargo, cada objeto de asociación puede vincularse (o puede vincular usuarios, grupos de usuarios u objetos de dispositivo iDRAC) a un solo objeto de

privilegio. Este ejemplo permite que el administrador controle los privilegios de cada usuario en los iDRAC específicos.

El objeto de dispositivo del iDRAC es el vínculo al firmware del iDRAC para consultar Active Directory para autentificación y autorización. Cuando se agrega un

iDRAC a la red, el administrador debe configurar el iDRAC y su objeto de dispositivo con el nombre de Active Directory, de modo que los usuarios puedan

realizar la autentificación y la autorización con Active Directory. Además, el administrador también debe agregar el iDRAC a por lo menos un objeto de

asociación para que los usuarios se puedan autentificar.

La Ilustración 7-1 muestra que el objeto de asociación proporciona la conexión necesaria para todas las autentificaciones y autorizaciones.

Ilustración 7-1. Configuración típica de los objetos de Active Directory

Se pueden crear tantos objetos de asociación como sean necesarios. Sin embargo, debe crearse al menos un objeto de asociación y debe tener un objeto de

dispositivo iDRAC por cada iDRAC de la red que desea integrar con Active Directory para autentificación y autorización con iDRAC.

El objeto de asociación permite toda cantidad de usuarios o grupos, así como de objetos de dispositivo iDRAC. Sin embargo, el objeto de asociación sólo

incluye un objeto de privilegio por cada objeto de asociación. El objeto de asociación conecta a los usuarios con privilegios en los iDRAC.

La extensión de Dell al complemento MMC de usuarios y equipos de Active Directory sólo permite asociar el objeto de privilegio y los objetos del iDRAC del

mismo dominio con el objeto de asociación. La extensión de Dell no permite que un grupo o un objeto iDRAC de otro dominio se agregue como miembro

producto del objeto de asociación.

Los usuarios, los grupos de usuarios o los grupos de usuarios anidados de cualquier dominio pueden agregarse al objeto de asociación. Las soluciones de

esquema extendido admiten todo tipo de grupos de usuarios o de grupo anidado de usuarios en varios dominios permitidos por Microsoft Active Directory.

Acumulación de privilegios con el esquema extendido

El mecanismo de autentificación del esquema extendido admite la acumulación de privilegios provenientes de distintos objetos de privilegio asociados al

mismo usuario entre distintos objetos de asociación. En otras palabras, la autentificación del esquema extendido acumula privilegios para permitir al usuario el

súper conjunto de todos los privilegios asignados que corresponden a los distintos objetos de privilegio asociados al mismo usuario.

La Ilustración 7-2 muestra un ejemplo de la acumulación de privilegios por medio del esquema extendido.

Ilustración 7-2. Acumulación de privilegios para un usuario

Tabla de Contenido