您是否希望了解如何在活动目录上配置 iDrac LDAP 身份验证? 在本教程中,我们将向您展示如何使用 Microsoft Windows 中的活动目录数据库和通过 SSL 协议的 LDAP 对 iDrac 用户进行身份验证。

• iDrac 8
• Windows 2012 R2

重要! 请记住,仅支持通过 SSL 的 LDAP。
首先,我们将教您如何在 Active 目录服务器上安装 Active 目录并启用通过 SSL 功能的 LDAP。

设备列表

在这里,您可以找到用于创建本教程的设备列表。

此链接还将显示用于创建本教程的软件列表。

戴尔iDRAC播放列表:

在此页面上,我们提供快速访问与戴尔iDRAC相关的视频列表。

别忘了订阅我们的Youtube频道,名为FKIT。

教程 - 在 Windows 上安装活动目录

• IP - 192.168.15.10。
• 操作系统 - 视窗 2012 R2
• Hostname - TECH-DC01
• 活动目录域:TECH.LOCAL

如果您已有活动目录域,则可以跳过本教程的这一部分。

打开服务器管理器应用程序。

访问"管理"菜单并单击"添加角色和功能"。

Windows 2012 add role

访问服务器角色屏幕,选择活动目录域服务,然后单击"下一步"按钮。

active directory installation

在以下屏幕上,单击"添加功能"按钮。

active directory windows installation

继续单击"下一步"按钮,直到到达最后一个屏幕。

windows install active directory

在确认屏幕上,单击"安装"按钮。

active directory installation confirmation

等待活动目录安装完成。

active directory installation windows

打开服务器管理器应用程序。

单击黄色标志菜单并选择将此服务器升级至域控制器的选项

active directory configuration

选择"添加新林"并输入根域名的选项。

在我们的示例中,我们创建了一个名为:TECH 的新域。当地。

deployment active directory

输入密码以确保活动目录还原。

domain controller options

在 DNS 选项屏幕上,单击"下一步"按钮。

active directory dns options

验证分配给您的域的 Netbios 名称,然后单击"下一步"按钮。

ad netbios name

单击"下一步"按钮。

active directory paths

查看配置选项,然后单击"下一步"按钮。

active directory summary

在"先决条件检查"屏幕上,单击"安装"按钮。

active directory prerequisites check

等待活动目录配置完成。

active directory installation wizard

完成活动目录安装后,计算机将自动重新启动

已完成 Windows 服务器上的活动目录配置。

教程 iDrac - 通过 SSL 通信测试 LDAP

我们需要测试您的域控制器是否在端口 636 上通过 SSL 提供 LDAP 服务。

在域控制器上,访问开始菜单并搜索 LDP 应用程序。

Windows 2012 desktop

首先,让我们测试您的域控制器是否在端口 389 上提供 LDAP 服务。

访问"连接"菜单并选择"连接"选项。

Windows LDP application

尝试使用 TCP 端口 389 连接到本地主机。

Windows ldp ldap connection

您应该能够连接到本地主机端口 389 上的 LDAP 服务。

Windows ldap connection Ok

现在,我们需要测试您的域控制器是否在端口 636 上通过 SSL 提供 LDAP 服务。

打开新的 LDP 应用程序窗口,并尝试使用 TCP 端口 636 连接到本地主机。

选择 SSL 复选框,然后单击"确定"按钮。

Windows ldp ssl connection

如果系统显示错误消息,则域控制器尚未提供 LDAPS 服务。

为了解决这个问题,我们将在本教程的下一部分安装 Windows 证书颁发机构。

ldp error 636 warning

如果您能够使用 SSL 加密成功连接到端口 636 上的本地主机,则可以跳过本教程的下一部分。

教程 iDrac - 在 Windows 上安装证书颁发机构

我们需要安装 Windows 证书颁发机构服务。

本地证书颁发机构将为域控制器提供允许 LDAPS 服务在 TCP 端口 636 上运行的证书。

打开服务器管理器应用程序。

访问"管理"菜单并单击"添加角色和功能"。

Windows 2012 add role

访问服务器角色屏幕,选择活动目录证书服务,然后单击"下一步"按钮。

windows certification authority installation

在以下屏幕上,单击"添加功能"按钮。

active directory certificate service

继续单击"下一步"按钮,直到达到角色服务屏幕。

启用名为"证书颁发机构"的选项,然后单击"下一步"按钮。

Windows server 2012 Certification authority install

在确认屏幕上,单击"安装"按钮。

Windows ca confirmation screen

等待证书颁发机构安装完成。

Windows 2012 R2 certification authority installation

打开服务器管理器应用程序。

单击黄色标志菜单并选择选项:配置活动目录证书服务

certification authority post deployment

在凭据屏幕上,单击"下一步"按钮。

选择"证书颁发机构"选项,然后单击"下一步"按钮。

Windows certification authority role service

选择"企业 CA"选项,然后单击"下一步"按钮。

windows enterprise ca

选择"创建新私钥"选项,然后单击"下一步"按钮。

windows ca new private key

保留默认加密配置,然后单击"下一步"按钮。

windows cryptography for ca

为证书颁发机构设置通用名称,然后单击"下一步"按钮。

在我们的示例中,我们设置了通用名称:TECH-CA

Windows CA name configuration

设置 Windows 证书颁发机构的有效期。

Windows CA validity period

保留默认的 Windows 证书颁发机构数据库位置。

windows certificate database

验证摘要并单击"配置"按钮。

Windows Ca installation summary

等待 Windows 服务器证书颁发机构安装完成。

Windows cs authority results

完成证书颁发机构安装后,重新启动计算机。

已完成 Windows 证书颁发机构安装。

教程 - 通过 SSL 通信再次测试 LDAP

我们需要测试您的域控制器是否在端口 636 上通过 SSL 提供 LDAP 服务。

完成证书颁发机构安装后,等待 5 分钟并重新启动域控制器。

在引导期间,域控制器将自动从本地证书颁发机构请求服务器证书。

获取服务器证书后,域控制器将开始在 636 端口上通过 SSL 提供 LDAP 服务。

在域控制器上,访问开始菜单并搜索 LDP 应用程序。

Windows 2012 desktop

访问"连接"菜单并选择"连接"选项。

Windows LDP application

尝试使用 TCP 端口 636 连接到本地主机。

选择 SSL 复选框,然后单击"确定"按钮。

Windows ldp ssl connection

尝试使用 TCP 端口 636 连接到本地主机。

选择 SSL 复选框,然后单击"确定"按钮。

这一次,您应该能够连接到本地主机端口 636 上的 LDAP 服务。

Windows ldaps connection Ok

如果无法连接到端口 636,请再次重新启动计算机,再等待 5 分钟。

域控制器可能需要一段时间才能收到证书颁发机构请求的证书。

教程 - Windows 域控制器防火墙

我们需要在 Windows 域控制器上创建防火墙规则。

此防火墙规则将允许 iDrac 接口查询活动目录数据库。

在域控制器上,使用高级安全性打开名为 Windows 防火墙的应用程序

创建新的入站防火墙规则。

zabbix active directory

选择"端口"选项。

zabbix windows firewall port

选择 TCP 选项。

选择"特定本地端口"选项。

输入 TCP 端口 636。

Windows firewall open port 636

选择"允许连接"选项。

zabbix windows firewall allow connection

选中"域"选项。

选中"私人"选项。

选中"公共"选项。

Zabbix windows firewall profile

输入防火墙规则的说明。

windows firewall active directory

恭喜您,您已创建了所需的防火墙规则。

此规则将允许 iDrac 查询活动目录数据库。

教程 iDrac - Windows 域帐户创建

接下来,我们需要在 Active 目录数据库上创建至少 2 个帐户。

ADMIN 帐户将用于登录 iDrac Web 界面。

BIND 帐户将用于查询活动目录数据库。

在域控制器上,打开名为:活动目录用户和计算机的应用程序

在"用户"容器内创建新帐户。

Zabbix active directory account

创建新帐户命名为:管理员

密码配置为 ADMIN 用户: 123qwe.

此帐户将用于在 iDrac Web 界面上作为管理员进行身份验证。

active directory admin account
zabbix active directory admin properties

创建新帐户名为:绑定

密码配置为 BIND 用户:123qwe.

此帐户将用于查询 Active Directory 数据库上存储的密码。

active directory bind account
zabbix active directory ldap bind properties

恭喜您,您已经创建了所需的活动目录帐户。

教程 - 创建 Windows 域组

接下来,我们需要在 Active 目录数据库上创建至少一个组。

在域控制器上,打开名为:活动目录用户和计算机的应用程序

在"用户"容器内创建新组。

Grafana active directory group

创建新的组名为:idrac 管理员

此组的成员将具有 iDrac Web 界面上的管理员权限。

idrac ldap group

重要! 将管理员用户添加为 idrac 管理员组的成员。

idrac ldap group members

恭喜您,您已创建了所需的活动目录组。

教程 - iDRAC 上的 Telnet

打开浏览器软件,输入 iDRAC 界面的 IP 地址并访问管理 Web 界面。

在提示屏幕上,输入管理登录信息。

工厂默认访问信息:
·用户名:
·密码: 卡尔文

成功登录后,将显示管理菜单。

访问iDRAC 设置菜单并选择"用户身份验证"选项。

idrac user authentication menu

在屏幕顶部,访问"目录服务"选项卡。

idrac directory services menu

在"目录服务"屏幕上,选择通用 LDAP 目录服务,然后单击"应用"按钮。

idrac ldap authentication

在"通用设置"区域上,执行以下配置:

• 启用通用 LDAP:是
• 使用可分辨名称搜索组成员身份:是
• 已启用证书验证:否
• 绑定 DN - CN_绑定,CN_用户,DC_技术,DC=本地
• 密码 - BIND 用户帐户的密码
• 基本 DN 到搜索:DC_技术,DC=本地
• 用户登录属性:samAccountName

您需要更改域信息以反映网络环境。

您需要更改绑定凭据以反映网络环境。

idrac ldap authentication configuration

在 LDAP 服务器区域上,执行以下配置:

• 使用静态 LDAP 服务器:TECH-DC01。技术。当地

您需要更改 TECH-DC01。技术。本地到域控制器主机名。

idrac ldap active directory authentication

iDrac 接口必须能够将 LDAP 服务器主机名转换为正确的 IP 地址。

您需要将 iDrac 接口配置为使用活动目录 DNS 服务器。

或者,输入组配置。

idarc ldap administrator

在我们的示例中,只有 idrac 管理员组的成员才具有管理权限。

祝贺!已将 iDrac LDAP 身份验证配置为使用活动目录数据库。

作为测试,打开一个新的浏览器匿名选项卡,并尝试使用活动目录
管理员
帐户登录。