Utilisation des groupes existants, Utilisation des rôles multiples – HP Integrated Lights-Out 2 Manuel d'utilisation

contexte utilisateur. L'adresse du serveur est soit l'adresse IP ou le nom DNS du serveur de
l'annuaire local ou pour plus de redondance, un nom DNS multi-hôte.

Création de rôles en fonction de la structure organisationnelle

Souvent, les administrateurs d'une organisation sont placés selon un ordre hiérarchique, dans
lequel les administrateurs subordonnés doivent affecter les privilèges indépendamment des
administrateurs responsables. Dans ce cas, il est utile d'avoir un rôle représentant les privilèges
affectés par des administrateurs de grade élevé et d'autoriser les administrateurs subordonnés à
créer et superviser leurs propres rôles.

Utilisation des groupes existants

De nombreuses organisations répartissent les utilisateurs et administrateurs en groupes. Dans de
nombreux cas, il convient d'utiliser les groupes existants et de les associer avec un ou plusieurs
objets de rôle de gestion Lights-Out. Lorsque les périphériques sont associés à des objets de rôle,
l'administrateur contrôle l'accès aux périphériques Lights-Out associés au rôle en ajoutant ou
supprimant des membres au sein des groupes.

Lors de l'utilisation de Microsoft Active Directory, il est possible de placer un groupe dans un autre
ou des groupes imbriqués. Les objets de rôle sont considérés comme des groupes et peuvent en
inclure d'autres directement. Ajoutez directement le groupe imbriqué existant au rôle et affectez
les privilèges et les restrictions appropriés. De nouveaux utilisateurs peuvent venir s'ajouter au
groupe existant ou au rôle.

Novell eDirectory n'autorise pas l'imbrication des groupes. Dans eDirectory, tout utilisateur pouvant
lire un rôle est considéré comme l'un de ses membres. Lors de l'ajout d'un groupe existant, d'une
unité organisationnelle ou d'une organisation à un rôle, ajoutez l'objet en tant qu'administrateur
en lecture de ce rôle. Tous les membres de cet objet sont considérés comme membres de ce rôle.
Il est possible d'ajouter de nouveaux utilisateurs au groupe existant ou au rôle.

Lors de l'utilisation d'affectations de privilèges d'annuaire ou administrateur dans le but d'augmenter
le nombre des membres du rôle, les utilisateurs doivent pouvoir lire l'objet LOM correspondant au
périphérique LOM. Certains environnements requièrent que les administrateurs d'un rôle soient
également administrateurs en lecture de l'objet LOM afin d'authentifier correctement les utilisateurs.

Utilisation des rôles multiples

La plupart des déploiements n'exigent pas qu'un même utilisateur soit dans les différents rôles qui
supervisent un périphérique donné. Cependant, ces configurations sont utiles pour la construction
de relations de privilèges complexes. Lors de la construction de relations de rôles multiples, les
utilisateurs reçoivent tous les privilèges affectés par chaque rôle applicable. Les rôles peuvent
uniquement accorder des privilèges mais pas les révoquer. Si un rôle accorde un privilège à un
utilisateur, l'utilisateur disposera de ce privilège, même si l'utilisateur appartient, par ailleurs, à un
autre rôle qui ne lui accorde pas ce privilège.

Généralement, un administrateur d'annuaire crée un rôle de base avec un nombre minimum de
privilèges affectés, puis il crée des rôles supplémentaires pour ajouter des privilèges supplémentaires.
Ces privilèges supplémentaires sont ajoutés dans des circonstances spécifiques ou à un
sous-ensemble spécifique d'utilisateurs de rôles de base.

Par exemple, une organisation peut avoir deux types d'utilisateurs, des administrateurs du
périphérique LOM ou du serveur hôte et des utilisateurs du périphérique LOM. Dans ce cas, il
serait sensé de créer deux rôles, l'un pour les administrateurs et l'autre pour les utilisateurs. Si les
deux rôles incluent certains périphériques identiques, ils n'accordent pas les mêmes privilèges.
Parfois, il est utile d'affecter des privilèges génériques au rôle de moindre importance et d'y inclure
des administrateurs LOM ainsi que le rôle administratif.

Un utilisateur admin accède au privilège de connexion par l'intermédiaire du groupe d'utilisateurs
ordinaire. Des privilèges plus avancés sont affectés via le role Admin, qui affecte les privilèges
supplémentaires : Server Reset (Réinitialisation du serveur) et Remote Console (Console distante).

Gestion distante activée via l'annuaire

173