HP iLO2 - Настраиваем доменную авторизацию

В случае, если у вас периодически возникает необходимость выполнять какие-то административные действия с помощью интерфейса HP Integrated Lights-Out 2 (iLO2) на серверах HP ProLiant и при этом вы имеете расширенную лицензию iLO 2 Advanced, возможно вам окажется полезным и удобным использование интеграции процесса авторизации в iLO2 с существующей доменной инфраструктурой Active Directory (AD). Рассмотрим пример такой интеграции.

Предварительно в домене создаём группу безопасности, в которую включаем учетные записи администраторов, которым необходимо предоставить доступ к интерфейсу iLO2 на серверах.

Залогинившись на веб-интерфейс iLO2 со встроенной учетной записью, для начала мы должны убедиться в том, что у нас активирована расширенная лицензия iLO 2 Advanced (Administration > Licensing).

image

Здесь же на закладке Администрирования переходим в раздел управления группами доступа (Administration > User Administration > Group Accounts) выбираем любую неиспользуемую ранее группу, например Administrator, и нажимаем View/Modify  image

В формате distinguishedName (DN) вводим имя доменной группы доступа и включаем соответствующие разрешающие опции.

image

При вводе имени стоит знать о том, что текущая версия прошивки iLO2 (на момент написания заметки - 2.09) не поддерживает национальные символы, и поэтому если вы попытаетесь использовать DN в котором встречается, например, кириллица, получите соответствующее предупреждение.

image

Честно сказать, этот факт меня неприятно удивил, так как за столь длительное время существования iLO2 HP так и не довели это дело до ума. Далее вы узнаете, что это ещё не самый интересный факт.

Итак, переходим на закладку управления параметрами подключения к AD (Administration > Security > Directory). Включаем опцию использования доменной аутентификации - Use Directory Default Schema. В поле Directory Server Address указываем через запятую FQDN имена контроллеров домена (при этом надо понимать что в настройках сети при этом должны быть заданы адреса серверов DNS). Порт оставляем по умолчанию – 636 (на контроллерах домена должна поддерживаться возможность безопасного подключения SSL на этот порт). В поле Directory User Context 1 вписываем DN доменного контейнера, в котором хранится учетная запись администратора. Контекстные имена также должны быть строго на английском языке.

image

Применяем сделанные изменения кнопкой Apply Settings и затем сразу можем протестировать процедуру аутентификации в домене кнопкой Test Settings

image

На странице тестирования подключения вводим имя учетной записи в домене и пароль. Обратите внимание на то, что в качестве имени пользователя должно использоваться значение доменного атрибута cn, таким образом при формировании запроса к AD iLO сформирует DN-имя пользователя в формате cn="User Name" + значение введённое ранее в поле "Directory User Context 1". И снова ограничение – имя пользователя может содержать пробелы, точки, но опять таки должно быть англоязычным. В случае, если вы попробуете использовать кириллическое значение имени пользователя, как показали опыты, тест работать будет, но вот результативная проверка авторизации при входе на iLO работать таки не будет.image

В случае если мы соблюли все вышеперечисленные условия, тест должен пройти успешно

image

После этого можно выполнить выход (Log out) из iLO и попытаться войти уже с использованием соответствующих доменных учетных данных.

image

На последок хочу отметить, что многократные эксперименты и попытки использовать в качестве имени значение доменного атрибута sAMAccountName у меня успехом не так и не увенчались.

Дополнительные источники информации:

Manuals for HPE Integrated Lights-Out 2 (iLO 2) - HPE Support Center

Techie Tips - Configure Windows ADS Authentication for HP iLO 2 card

Всего комментариев: 3 Комментировать

  1. Александр /

    Замечательная статья, как раз собирался это делать. Спасибо Алексей.

  2. Roman Averin (@rastler) /

    Действительно полезно и вовремя, спасибо!

  3. Sacrificer /

    Для использования sAMAccountName а также доступ по группам AD на которые вешаешь уровень доступа к iLO, требуется небольшое расширение схемы AD, утилиту для этого предоставляет HP. Потом просто заводятся в AD объекты HP Device и HP Role. Более подробно написано в User Guide iLO2 Или iLO3 или iLO4

Добавить комментарий