L'ouverture de session dans Active Directory a échoué. Comment résoudre ce problème ?
Pour identifier la cause du problème, dans la page
Configuration et gestion d'Active Directory, cliquez sur
Tester les paramètres. Vérifiez les résultats du test et résolvez le problème. Changez la configuration et exécutez le test jusqu'à ce que l'utilisateur
de test passe l'étape d'autorisation.
En général, vérifiez les éléments suivants :
- Tout en étant connecté, veillez à utiliser le nom de domaine d'utilisateur correct et non pas le nom NetBIOS. Si vous disposez
d'un compte d'utilisateur iDRAC local, ouvrez une session dans iDRAC à l'aide des données d'identification locales. Après
la connexion, vérifiez que :
- L'option
Activation Active Directory est sélectionnée dans la page
Configuration et gestion d'Active Directory.
- Le paramètre DNS est correct dans la page
Configuration réseau iDRAC .
- Le certificat CA racine Active Directory correct est téléversé vers iDRAC si la validation de certificat a été activée.
- Le nom iDRAC et le nom de domaine iDRAC correspondent à la configuration de l'environnement Active Directory si vous utilisez
le schéma étendu.
- Le nom de groupe et le nom de domaine correspondent à la configuration Active Directory si vous utilisez le schéma standard.
- Si l’utilisateur et l’objet iDRAC se trouvent dans un domaine différent, ne sélectionnez pas l’option
Domaine utilisateur de l’ouverture de session. À la place, sélectionnez
Définir un domaine et saisissez le nom du domaine sur lequel réside l’objet iDRAC.
- Vérifiez les certificats SSL des contrôleurs de domaine pour vous assurer que l'heure iDRAC est comprise dans la période
de validité du certificat.
L'ouverture de session Active Directory échoue si la validation de certificat est activée. Les résultats du test contiennent
le message d'erreur suivant. Pourquoi et comment résoudre le problème ?
ERROR: Can't contact LDAP server, error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please
check the correct Certificate Authority (CA) certificate has been uploaded to iDRAC. Please also check if the iDRAC date is
within the valid period of the certificates and if the Domain Controller Address configured in iDRAC matches the subject of
the Directory Server Certificate.
Si la validation de certificat est activée, lorsqu'iDRAC établit la connexion SSL avec le serveur de répertoire, il utilise
le certificat CA téléversé pour vérifier le certificat du serveur de répertoire. Les principales causes de l'échec de la validation
de certification sont les suivantes :
- La date iDRAC ne se trouve pas dans la période de validité du certificat du serveur ou du certificat CA. Vérifiez l'heure
iDRAC et la période de validité de votre certificat.
- Les adresses des contrôleurs de domaine définies dans iDRAC ne correspondent pas à l'objet ou à l'autre nom d'objet du certificat
du serveur de répertoire. Si vous utilisez une adresse IP, lisez la question suivante. Si vous utilisez le nom de domaine
complet qualifié (FQDN), veillez à utiliser le nom de domaine complet qualifié du contrôleur de domaine et non pas du domaine.
Par exemple,
nomserveur.exemple.com au lieu de
exemple.com.
La validation de certificat échoue si l'adresse IP est utilisée comme adresse de contrôleur de domaine. Comment résoudre ce
problème ?
Vérifiez le champ Objet ou Autre nom d'objet du certificat du contrôleur de domaine. Normalement, Active Directory utilise
le nom d'hôte et non pas l'adresse IP du contrôleur de domaine dans le champ Objet ou Autre nom de l'objet du certificat du
contrôleur de domaine. Pour résoudre ce problème, procédez de l'une des manières suivantes :
- Définissez le nom d'hôte (nom de domaine complet qualifié) du contrôleur de domaine comme
adresse(s) de contrôleur de domaine dans iDRAC pour qu'il corresponde au champ Objet ou Autre nom de l'objet dans le certificat du serveur.
- Réémettez le certificat de serveur pour utiliser une adresse IP dans le champ Objet ou Autre nom de l'objet pour qu'il corresponde
à l'adresse IP définie dans iDRAC.
- Désactivez la validation de certificat si vous choisissez de faire confiance à ce contrôleur de domaine sans validation de
certificat los de l'établissement de liaisons SSL.
Comment configurer l'adresse (ou les adresses) de contrôleur de domaine en utilisant le schéma étendu dans un environnement
multi-domaine ?
Il doit s'agir du nom d'hôte (nom de domaine complet qualifié) ou de l'adresse IP du (ou des) contrôleur(s) de domaine qui
gère(nt) le domaine dans lequel l'objet iDRAC réside.
Quand faut-il définir une adresse (ou des adresses) de catalogue global ?
Si vous utilisez le schéma standard et que les utilisateurs et les groupes de rôles appartiennent à des domaines différents,
une adresse (ou plusieurs adresses) de catalogue global est nécessaire. Dans ce cas, vous pouvez utiliser uniquement le groupe
universel.
Si vous utilisez le schéma standard et que tous les utilisateurs et groupes de rôles proviennent du même domaine, une ou des
adresses du catalogue global ne sont pas requises.
Si vous utilisez le schéma étendu, l'adresse du catalogue global n'est pas utilisée.
Comment fonctionne la requête de schéma standard ?
iDRAC se connecte tout d'abord à l'adresse (ou aux adresses) de contrôleur de domaine définie. Si l'utilisateur et les groupes
de rôles se trouvent dans ce domaine, les privilèges sont enregistrés.
Si une adresse (ou des adresses) de contrôleur global est configurée, iDRAC continue d'interroger le catalogue global. Si
des privilèges supplémentaires sont extraits du catalogue global, ces privilèges sont accumulés.
iDRAC utilise-t-il toujours LDAP sur SSL ?
Oui. Tout le transport s'effectue sur le port 636 et/ou 3 269. Au cours du test, iDRAC exécute LDAP CONNECT uniquement pour
isoler le problème, mais il n'exécute pas LDAP BIND sur une connexion non sécurisée.
Pourquoi iDRAC active-t-il par défaut la validation de certificat ?
iDRAC applique une sécurité stricte pour garantir l'identité du contrôleur de domaine auquel iDRAC se connecte. Sans la validation
de certificat un intrus peut usurper l'identité d'un contrôleur de domaine et détourner la connexion SSL. Si vous faites confiance
à tous les contrôleurs de domaine dans votre limite de sécurité sans la validation de certificat, vous pouvez la désactiver
via l'interface Web ou l'interface RACADM.
iDRAC prend-il en charge le nom NetBIOS ?
Pas dans cette version.
Pourquoi l'ouverture de session dans iDRAC par carte à puce ou connexion directe (SSO) Active Directory prend-elle jusqu'à
quatre minutes ?
L'ouverture de session par carte à puce ou connexion directe Active Directory dure moins de 10 secondes normalement, mais
elle peut prendre jusqu'à quatre minutes si vous avez défini le serveur DNS préféré et le serveur DNS secondaire et qu'une
erreur s'est produite au niveau du serveur DNS préféré. Des expirations DNS se produisent lorsqu'un serveur DNS est arrêté.
iDRAC vous connecte à l'aide du serveur DNS secondaire.
Active Directory est configuré pour un domaine présent dans Active Directory Windows Server 2008. Un domaine enfant ou un
sous-domaine est présent pour le domaine, l'utilisateur et le groupe sont présents dans le même domaine enfant et l'utilisateur
est membre du groupe. Lors de l'ouverture d'une session dans iDRAC en utilisant l'utilisateur présent dans le domaine enfant,
l'ouverture de session par connexion directe Active Directory échoue.
Ce problème peut être provoqué par un type de groupe incorrect. Il existe deux types de groupes dans le serveur Active Directory :
- Sécurité : les groupes de sécurité permettent de gérer l'accès des utilisateurs et des ordinateurs aux ressources partagées
et de filtrer les paramètres de stratégies de groupe.
- Distribution : les groupes de distribution servent exclusivement de listes de distribution par e-mail.
Veillez à toujours utiliser le type de groupe Sécurité. Vous ne pouvez pas utiliser des groupes de distribution pour affecter
des droits à un objet. Utilisez-les pour filtrer les paramètres de stratégie de groupe.