配置聯想IMM使用AD賬戶登入

imm是聯想（ibm）伺服器的管理卡integrated management module的縮寫，現在是第二個版本。通過它可以遠端管理伺服器，就像你在伺服器面前操作一樣。可以修改bios設定，可以重灌系統。imm2預設使用本地賬戶登入，對於想集中管理的最好配置成使用活動目錄active directory來登入。

首先，確認一下是否給imm配置了dns，如果沒有最好配置一下，因為等一下可以使用dns自動發現域控。點選imm management--network，選擇ethernet檢視。

如果這裡沒有配置dns，選擇上方的dns，配置乙個。記得要選中use additional dns address servers。才會出現讓你填寫dns的資訊。

接下去就是配置ldap的內容了。這裡逐一解釋一下我填寫內容的意義。

選擇使用ldap伺服器做為身份驗證伺服器和授權伺服器。如果金做身份驗證，那麼需要在本地使用者的group profiles裡配置資訊。這個放到後面再講。

接下去選擇使用dns查詢ldap伺服器，或者你也可以指定固定的域控做為ldap的查詢伺服器。網域名稱輸入使用者所在域，可以參考紅色部分的例子。

root dn就是配置需要從**開始查詢使用者，可以是某個ou級別，也可以直接指定域的根。

uid search attribute，對於windows ad這裡就是samaccountname，對於novell和其它的open ldap伺服器，這裡會是uid。

選擇如何使用查詢的憑據，因為預設windows的活動目錄是不支援匿名查詢的。這裡需要選擇使用固定憑據還是就使用使用者登入的憑據。我選擇with login credentials，這樣免去了單獨維護查詢賬戶的問題，直接使用使用者登入時的憑據來查詢ad。除非極特殊的情況你的ad許可權比較複雜，普通使用者沒有查詢整個ad的許可權，否則這個設定是最合適的。

group filter這裡，可以選擇留空，代表不驗證使用者所在的組，否則需要登入使用者在這個特定組裡才能登入。可以直接寫cn=immusers或者向我這樣以dn方式寫全。group search attribute表示怎麼判斷使用者是否屬於這個組，windows的活動目錄使用使用者的memberof屬性來判斷，使用者的memberof中必須有之前在group filter中填寫的組。

login permission attribute這裡就稍微有點複雜了。這裡需要設定ldap伺服器用哪個屬性來反饋使用者的許可權。如果ldap反饋為空，那麼使用者預設有唯讀許可權，如果需要單獨配置許可權，需要設定連續的12位數字串，這個數字串只能是0或者1。每一位的含意，可以點選那個小問號圖示顯示，第0位在左，第11位在右。為了避免衝突，我選擇了extensionattribute3來做為查詢返回的屬性。

在ad中找到這個組，選擇和之前匹配的extensionattribute3填寫ibmrbspermissions=010000000000。表示有管理員許可權。

這些配置完成之後，需要在imm使用者層面啟用ldap登入了。點選imm management--useraccounts--global login settings。選擇有ldap的即可。我選擇了 ldap first, then local。

到這裡，就能夠使用ad賬戶登入伺服器管理卡了。如果想對許可權做進一步細分，比如imm管理員組有管理員許可權，imm使用者組有唯讀許可權。就需要在前面ldap配置的地方選擇。我先在group profiles這裡建了2個組用以對應不同的ad組。這裡的組名要和ad中的組名匹配。由於之前配置了dell的伺服器，所以就沿用dracadmins和dracusers這2個組。

回到之前的ldap設定。選擇authentication only。注意這種方式僅支援windows ad。如果沒有跨域的引用組，這裡forest name可以不填。

至此，imm配置windows ad使用者的登入全部設定完畢，並且可以根據不同的使用者組分配不同的許可權。

配置聯想IMM使用AD賬戶登入

git配置多個賬戶登入

Linux賬戶登入失敗鎖定配置

設定禁止ssh登入，只能使用賬戶登入

配置聯想IMM使用AD賬戶登入

git配置多個賬戶登入

Linux賬戶登入失敗鎖定配置

設定 禁止ssh登入，只能使用賬戶登入

相關推薦

設定禁止ssh登入，只能使用賬戶登入