IMM是联想(IBM)服务器的管理卡Integrated Management Module的缩写,现在是第二个版本。通过它可以远程管理服务器,就像你在服务器面前操作一样。可以修改BIOS设置,可以重装系统。IMM2默认使用本地账户登录,对于想集中管理的最好配置成使用活动目录Active Directory来登录。
首先,确认一下是否给IMM配置了DNS,如果没有最好配置一下,因为等一下可以使用DNS自动发现域控。点击IMM Management--Network,选择Ethernet查看。
如果这里没有配置DNS,选择上方的DNS,配置一个。记得要选中Use additional DNS address servers。才会出现让你填写DNS的信息。
接下去就是配置LDAP的内容了。这里逐一解释一下我填写内容的意义。
选择使用LDAP服务器做为身份验证服务器和授权服务器。如果金做身份验证,那么需要在本地用户的Group Profiles里配置信息。这个放到后面再讲。
接下去选择使用DNS查找LDAP服务器,或者你也可以指定固定的域控做为LDAP的查询服务器。域名输入用户所在域,可以参考红色部分的例子。
Root DN就是配置需要从哪里开始查询用户,可以是某个OU级别,也可以直接指定域的根。https://blog.csdn.net/qishine/article/details/110109181
UID search attribute,对于Windows AD这里就是sAMAccountName,对于Novell和其它的Open LDAP服务器,这里会是uid。
选择如何使用查询的凭据,因为默认Windows的活动目录是不支持匿名查询的。这里需要选择使用固定凭据还是就使用用户登录的凭据。我选择With Login Credentials,这样免去了单独维护查询账户的问题,直接使用用户登录时的凭据来查询AD。除非极特殊的情况你的AD权限比较复杂,普通用户没有查询整个AD的权限,否则这个设置是最合适的。
Group Filter这里,可以选择留空,代表不验证用户所在的组,否则需要登录用户在这个特定组里才能登录。可以直接写CN=IMMUsers或者向我这样以DN方式写全。Group Search Attribute表示怎么判断用户是否属于这个组,Windows的活动目录使用用户的memberOf属性来判断,用户的memberOf中必须有之前在Group Filter中填写的组。
Login Permission Attribute这里就稍微有点复杂了。这里需要设定LDAP服务器用哪个属性来反馈用户的权限。如果LDAP反馈为空,那么用户默认有只读权限,如果需要单独配置权限,需要设置连续的12位数字串,这个数字串只能是0或者1。每一位的含意,可以点击那个小问号图标显示,第0位在左,第11位在右。为了避免冲突,我选择了extensionAttribute3来做为查询返回的属性。
在AD中找到这个组,选择和之前匹配的extensionAttribute3填写IBMRBSPermissions=010000000000。表示有管理员权限。
这些配置完成之后,需要在IMM用户层面启用LDAP登录了。点击IMM Management--UserAccounts--Global Login Settings。选择有LDAP的即可。我选择了 LDAP First, then Local。
到这里,就能够使用AD账户登录服务器管理卡了。如果想对权限做进一步细分,比如IMM管理员组有管理员权限,IMM用户组有只读权限。就需要在前面LDAP配置的地方选择。我先在Group Profiles这里建了2个组用以对应不同的AD组。这里的组名要和AD中的组名匹配。由于之前配置了DELL的服务器,所以就沿用DRACAdmins和DRACUsers这2个组。
回到之前的LDAP设置。选择Authentication Only。注意这种方式仅支持Windows AD。如果没有跨域的引用组,这里Forest Name可以不填。
至此,IMM配置Windows AD用户的登录全部设置完毕,并且可以根据不同的用户组分配不同的权限。