HP Integrated Lights-Out 2 (iLO2) – Настройка доменной авторизации

В случае, если у вас периодически возникает необходимость выполнять какие-то административные действия с помощью интерфейса HP Integrated Lights-Out 2(iLO2) на серверах HP ProLiant и при этом вы имеете расширенную лицензию iLO 2 Advanced, возможно вам окажется полезным и удобным использование интеграции процесса авторизации в iLO2 с существующей доменной инфраструктурой Active Directory (AD). Рассмотрим пример такой интеграции.

Предварительно в домене создаём группу безопасности, в которую включаем учетные записи администраторов, которым необходимо предоставить доступ к интерфейсу iLO2 на серверах.

Залогинившись на веб-интерфейс iLO2 со встроенной учетной записью, для начала мы должны убедиться в том, что у нас активирована расширенная лицензия iLO 2 Advanced (Administration > Licensing).

Здесь же на закладке Администрирования переходим в раздел управления группами доступа (Administration > User Administration > Group Accounts) выбираем любую неиспользуемую ранее группу, например Administrator, и нажимаемView/Modify 

В формате distinguishedName (DN) вводим имя доменной группы доступа и включаем соответствующие разрешающие опции.

При вводе имени стоит знать о том, что текущая версия прошивки iLO2 (на момент написания заметки – 2.09) не поддерживает национальные символы, и поэтому если вы попытаетесь использовать DN в котором встречается, например, кириллица, получите соответствующее предупреждение.

Честно сказать, этот факт меня неприятно удивил, так как за столь длительное время существования iLO2 HP так и не довели это дело до ума. Далее вы узнаете, что это ещё не самый интересный факт.

Итак, переходим на закладку управления параметрами подключения к AD (Administration > Security > Directory). Включаем опцию использования доменной аутентификации – Use Directory Default Schema. В поле Directory Server Addressуказываем через запятую FQDN имена контроллеров домена (при этом надо понимать что в настройках сети при этом должны быть заданы адреса серверов DNS). Порт оставляем по умолчанию – 636 (на контроллерах домена должна поддерживаться возможность безопасного подключения SSL на этот порт). В полеDirectory User Context 1 вписываем DN доменного контейнера, в котором хранится учетная запись администратора. Контекстные имена также должны быть строго на английском языке. 

Применяем сделанные изменения кнопкой Apply Settings и затем сразу можем протестировать процедуру аутентификации в домене кнопкой Test Settings

На странице тестирования подключения вводим имя учетной записи в домене и пароль. Обратите внимание на то, что в качестве имени пользователя должно использоваться значение доменного атрибута cn, таким образом при формировании запроса к AD iLO сформирует DN-имя пользователя в формате cn="User Name" +значение введённое ранее в поле "Directory User Context 1". И снова ограничение – имя пользователя может содержать пробелы, точки, но опять таки должно быть англоязычным. В случае, если вы попробуете использовать кириллическое значение имени пользователя, как показали опыты, тест работать будет, но вот результативная проверка авторизации при входе на iLO работать таки не будет.

В случае если мы соблюли все вышеперечисленные условия, тест должен пройти успешно

После этого можно выполнить выход (Log out) из iLO и попытаться войти уже с использованием соответствующих доменных учетных данных.

На последок хочу отметить, что многократные эксперименты и попытки использовать в качестве имени значение доменного атрибута sAMAccountName у меня успехом не так и не увенчались.

Дополнительные источники информации:

HP Business Support Center  – HP Integrated Lights-Out 2 (iLO 2) Manuals

Techie Tips – Configure Windows ADS Authentication for HP iLO 2 card

Автор-источник: http://amaksimov.wordpress.com

назад