Utilisation des groupes existants, Utilisation des rôles multiples – HP Integrated Lights-Out Manuel d'utilisation
Page 199
responsables. Dans ce cas, il est utile d'avoir un rôle représentant les privilèges affectés par des
administrateurs de grade élevé et d'autoriser les administrateurs subordonnés à créer et superviser
leurs propres rôles.
Utilisation des groupes existants
De nombreuses organisations voudront répartir leurs utilisateurs et leurs administrateurs en groupes.
Dans de nombreux cas, il convient d'utiliser les groupes existants et de les associer avec un ou plusieurs
objets de rôle de supervision Lights-Out. Lorsque les périphériques sont associés à des objets de rôle,
l'administrateur contrôle l'accès aux périphériques Lights-Out associés au rôle en ajoutant ou
supprimant des membres au sein des groupes.
Lors de l'utilisation de Microsoft® Active Directory, il est possible de placer un groupe dans un autre ou
des groupes imbriqués. Les objets de rôle sont considérés comme des groupes et peuvent en inclure
d'autres directement. Ajoutez directement le groupe imbriqué existant au rôle et affectez les privilèges
et les restrictions appropriés. De nouveaux utilisateurs peuvent venir s'ajouter au groupe existant
ou au rôle.
Novell eDirectory n'autorise pas l'imbrication des groupes. Dans eDirectory, tout utilisateur pouvant lire
un rôle est considéré comme l'un de ses membres. Lors de l'ajout d'un groupe existant, d'une unité
organisationnelle ou d'une organisation à un rôle, ajoutez l'objet en tant qu'administrateur en lecture de
ce rôle. Tous les membres de cet objet sont considérés comme membres de ce rôle. Il est possible
d'ajouter de nouveaux utilisateurs au groupe existant ou au rôle.
Lors de l'utilisation d'affectations de privilèges d'annuaire ou administrateur dans le but d'augmenter le
nombre des membres du rôle, les utilisateurs doivent pouvoir lire l'objet LOM correspondant au
périphérique LOM. Certains environnements requièrent que les administrateurs d'un rôle soient
également administrateurs en lecture de l'objet LOM afin d'authentifier correctement les utilisateurs.
Utilisation des rôles multiples
La plupart des déploiements n'exigent pas qu'un même utilisateur soit dans les différents rôles qui
supervisent un périphérique donné. Cependant, ces configurations sont utiles pour la construction de
relations de privilèges complexes. Lors de la construction de relations de rôles multiples, les utilisateurs
reçoivent tous les privilèges affectés par chaque rôle applicable. Les rôles peuvent uniquement accorder
des privilèges mais pas les révoquer. Si un rôle accorde un privilège à un utilisateur, l'utilisateur
disposera de ce privilège, même si l'utilisateur appartient, par ailleurs, à un autre rôle qui ne lui accorde
pas ce privilège.
Généralement, un administrateur d'annuaire crée un rôle de base avec un nombre minimum de
privilèges affectés, puis il crée des rôles supplémentaires pour ajouter des privilèges supplémentaires.
Ces privilèges supplémentaires sont ajoutés dans des circonstances spécifiques ou à un sous-
ensemble spécifique d'utilisateurs de rôles de base.
Par exemple, une organisation peut avoir deux types d'utilisateurs, des administrateurs du périphérique
LOM ou du serveur hôte et des utilisateurs du périphérique LOM. Dans ce cas, il serait sensé de créer
deux rôles, l'un pour les administrateurs et l'autre pour les utilisateurs. Si les deux rôles incluent certains
périphériques identiques, ils n'accordent pas les mêmes privilèges. Parfois, il est utile d'affecter des
privilèges génériques au rôle de moindre importance et d'y inclure des administrateurs LOM ainsi que
le rôle administratif.
Un utilisateur admin accède au privilège de connexion par l'intermédiaire du groupe d'utilisateurs
ordinaire. Des privilèges plus avancés sont affectés via Admin role, le rôle administrateur, qui affecte
les privilèges supplémentaires : Server Reset (Réinitialisation du serveur) et Remote Console (Console
distante).
186 Chapitre 6 Supervision distante activée via l'annuaire
FRWW