Restrictions de temps sur les rôles, Restrictions d'adresses de rôles, Restrictions utilisateur – HP Integrated Lights-Out Manuel d'utilisation
Page 201: Restrictions d'adresses utilisateur
REMARQUE :
lorsque des répertoires sont activés, l'accès à un iLO 2 donné est basé sur la condition
que l'utilisateur a un accès en lecture sur un objet Rôle qui contient l'objet iLO 2 correspondant. Ceci
inclut, mais sans s'y limiter, les membres répertoriés dans l'objet Rôle. Si le Rôle est configuré pour
permettre aux permissions héritables de se propager à partir d'un parent, les membres du parent qui
disposent de privilèges d'accès en lecture auront également accès à iLO 2. Pour afficher la liste des
contrôles d'accès, allez dans Users and Computers (Utilisateurs et ordinateurs), ouvrez l'écran de
propriétés de l'objet Rôle, puis sélectionnez l'onglet Security (Sécurité).
Pour obtenir des instructions détaillées sur la création de restrictions liées à l'heure et au réseau,
reportez-vous aux sections « Restrictions de rôle de la fonction Active Directory
la fonction Active Directory à la page 171
) » et « Restrictions de rôle dans eDirectory (
(Restrictions de rôle) dans eDirectory à la page 180
) ».
Restrictions de temps sur les rôles
Les administrateurs peuvent placer des restrictions de temps sur les rôles LOM. Les utilisateurs
bénéficient de privilèges spécifiés pour les périphériques LOM listés dans le rôle, seulement s'ils sont
membres du rôle et s'ils satisfont aux restrictions de temps définies pour ce rôle.
Les périphériques LOM utilisent le temps de l'hôte local pour appliquer des restrictions de temps. Si
l'horloge du périphérique LOM n'est pas réglée, la restriction de temps imposée au rôle échoue, sauf si
aucune restriction temporelle n'a été spécifiée pour ce rôle.
Les restrictions de temps basées sur les rôles ne sont satisfaites que si le temps est paramétré sur le
périphérique LOM. Le temps est normalement réglé lors de l'amorçage de l'hôte. Il est maintenu par
l'exécution des agents du système d'exploitation hôte, qui permet au périphérique LOM de compenser
les années bissextiles et minimiser la désynchronisation de l'horloge par rapport à l'hôte. Les
événements tels qu'une panne inopinée de courant ou le flashage du microprogramme LOM peuvent
empêcher le réglage de l'horloge du périphérique LOM. Le temps de l'hôte doit également être correct
afin que le périphérique LOM puisse garder l'heure exacte pendant le flashage du microprogramme.
Restrictions d'adresses de rôles
Les restrictions d'adresses de rôles sont appliquées par le microprogramme LOM, en fonction de
l'adresse IP réseau du client. Lorsque les restrictions d'adresses sont satisfaites pour un rôle donné,
les privilèges accordés par ce rôle s'appliquent.
Les restrictions d'adresses peuvent être difficiles à gérer si l'accès est tenté via le coupe-feu ou le
serveur proxy réseau. Ces deux mécanismes peuvent modifier l'adresse réseau apparente du client,
provoquant ainsi l'application des restrictions d'adresses de manière inattendue.
Restrictions utilisateur
Vous avez la possibilité de limiter l'accès à l'annuaire en définissant des restrictions temporelles ou des
restrictions liées aux adresses.
Restrictions d'adresses utilisateur
Les administrateurs peuvent placer des restrictions d'adresses réseau sur un compte utilisateur
d'annuaire. Ces restrictions sont alors appliquées par le serveur d'annuaire. Reportez-vous à la
documentation relative au service d'annuaire pour plus d'informations sur l'application des restrictions
d'adresses aux clients LDAP, par exemple pour un utilisateur qui se connecte à un périphérique LOM.
Les restrictions d'adresses réseau placées sur l'utilisateur dans l'annuaire peuvent ne pas s'appliquer
comme prévu si l'utilisateur d'annuaire se connecte via un serveur proxy. Lorsqu'un utilisateur se
connecte à un périphérique LOM en tant qu'utilisateur d'annuaire, le périphérique LOM tente une
authentification sur l'annuaire, en tant qu'utilisateur d'annuaire. Cela signifie que les restrictions
188 Chapitre 6 Supervision distante activée via l'annuaire
FRWW