dani
Goto Top

Avocent Autoview 3016 - Anbindung ans Windows Active Directory

Hallo zusammen,
mit unseren neuen KVM Switches wollten wir endlich die Benutzer aus dem Windows ADS nutzen. Bisher war es immer ein größere Aufwand wenn ein Kollege kam bzw. gekündigt hat.
Laut Handbuch von Avocent ist das problemlos möglich, leider gibt es ein paar Fallstricke.

Ich beschreibe hier den Konfigurationsweg wie die Auth über eine Windows-Gruppe funktioniert.

1. Schritt:
Ihr legt im ADS unterhalb des Domänen-Stamms eine Organisationseinheit (OU) mit dem Namen KVM-Control an.

2. Schritt:
In dieser OU (KVM-Control) haben wir manuell ein Computerkonto mit dem Namen des KVM-Switches anlegt.

3. Schritt:
Des Weiteren benötigen wir in der selben OU folgende drei Gruppen:
  • kvm_accessadmin (Gruppenbereich: Global, Gruppentyp: Sicherheit) - Gruppe öffnen und im Reiter "Allgemein" in Anmerkung "KVM Appliance Admin" eintragen.
  • kvm_useradmin (Gruppenbereich: Global, Gruppentyp: Sicherheit) - Gruppe öffnen und im Reiter "Allgemein" in Anmerkung "KVM User Admin" eintragen.
  • kvm_user (Gruppenbereich: Global, Gruppentyp: Sicherheit) - Gruppe öffnen und im Reiter "Allgemein" in Anmerkung "KVM User" eintragen.

Über diese Gruppen wird später je nach Zugehörigkeit der Benutzer die Zugriffsrechte auf dem KVM verwaltet.

4. Schritt:
Einzelene Benutzer den Gruppen zuordnen.

5. Schritt:
Melde dich auf dem Avocent Autoview Switch mit der lokalen Benutzer "Admin" an und wechsle auf den Reiter "Konfiguration". Dort Links im Menü unter Einheit -> Authentifizierung anklicken.
850de6cbbc3070eae3ae3ab88b3a124b

6. Schritt:
Dort wechsle auf den Reiter "Suche". Hier müssen die ADS Daten hinterlegt werden.
Bei "Such-DN" hinterlegst du einen Benutzer der im ADS exstiert. Ich habe dazu einen extra Benutzer "kvm_admin" angelegt. Bitte nemmt nicht den Domänen-Admin "administrator".
Suchekennwort: Einfach das Passwort des Benutzers eingeben, den ihr bei Such-DN angeben habt.
Suchbasis: Den FQDN im LDAP Schreibweise. Wenn du dir nicht sicher bist, starte auf einem DC das MMC SnapIn "Active Directory-Benutzer und -Computer". Dort siehst du Domainname.
Die UID-Maske nicht verändern.

7. Schritt:
Abschließend wechsel bitte in den Reiter "Abfrage".
Dort stellst du den Abfragemodus jeweils auf Gruppenattribut (sowhl bei Einheit als auch Server). Bei "Gruppen-Container" gibst du die OU an, die wir bei Schritt 1 anlegt haben.
Die restlichen Einstellungen nicht verändern. Zum Schluss speichern und einen Testlogin mit einem ADS Benutzer versuchen.


Grüße,
Dani

Content-ID: 184990

Url: https://administrator.de/contentid/184990

Ausgedruckt am: 16.12.2024 um 15:12 Uhr

guzzzi
guzzzi 05.10.2012 um 15:53:32 Uhr
Goto Top
Hallo Dani,

vielen Dank für deine Hilfe hier. Mich würde aber noch interessieren ob man noch etwas machen muss. Denn soweit habe ich alle Gruppen und LDAP Zuweisung gemacht. Trotzdem bekomme ich entweder die Meldung das der Benutzername nicht stimmt oder halt das ich nicht genug Recht hätte. Da das daß Avocent 3016 auf Groß- und Kleinschreibung achtet.

Besten Dank
Gruss
guzzzi
Dani
Dani 05.10.2012 um 15:58:15 Uhr
Goto Top
Moin guzzzi,
eigentlich nicht... mach doch einfach mal von allen Screenshots. Das geht am schnellsten zu kontrollieren.


Grüße,
Dani
Dani
Dani 08.10.2012 aktualisiert um 16:10:17 Uhr
Goto Top
Moin,
bei Such-DN hast du einen Fehler cn=users -> ou=users.
Was auch noch sein kann, dass "KVM-Control" das PRoblem ist. Sonst einfach mal umbenennen.


Grüße,
Dani
guzzzi
guzzzi 09.10.2012 um 08:33:36 Uhr
Goto Top
Hallo,

stimmt da war wohl noch ein dreher, aber habe leider immer noch das Problem. Habe auch die OU von KVM-Control auf KVM geändert. Jetzt bekomme ich die Meldung "Fehler: Zugriff nicht gestattet aufgrund von Authentifizierungsserver-Fehler".
Habe die LDAP-Verbindung mit einem Domänen-Admin probiert aber auch einen Dummy-User dafür angelegt, immer die geleiche Meldung.

Der Benutzer der sich Anmelden soll hat auch die Gruppe zugeteilt die in der KVM-OU ist "accessadmin".

Besten Gruß,
guzzzi
Dani
Dani 09.10.2012 um 08:38:33 Uhr
Goto Top
Die OU ist direkt unterhalb des Stammbauems (test.local)?
Ansonsten hast du die Gruppen wie bei Schritt 3 genauso 1:! angelegt?


Grüße,
Dani
guzzzi
guzzzi 09.10.2012 aktualisiert um 16:48:40 Uhr
Goto Top
Hallo,

genau die OU "KVM" ist direkt im Domänenstamm. Darunter sind 3 Gruppen wie im Schritt 3 beschreiben angelegt und in Anmerkung auch den Text ohne "" eingegeben.
Hab jetzt noch mal alles gelöscht und von vorn angefangen, aber leider wieder das Problem daß wenn ich mich mit dem Domänen User anmelde ich angeblich nicht genug Rechte habe um mich beim Avocent anzumelden.

Den Namen vom Gerät änder ich unter SNMP? Weil ich sonst nichts in der Konfiguration gefunden habe was mit dem Gerätenamen zutun hätte.
Dani
Dani 09.10.2012 um 16:56:15 Uhr
Goto Top
Den Namen vom Gerät änder ich unter SNMP? Weil ich sonst nichts in der Konfiguration gefunden habe was mit dem Gerätenamen zutun hätte.
Richtig, kannst du dann unter Einheit kontrollieren.

leider wieder das Problem daß wenn ich mich mit dem Domänen User anmelde ich angeblich nicht genug Rechte habe um mich beim Avocent anzumelden.
Normaler Domänen-Benutzer reicht eigentlich. Hast du im Kennwort vllt. Sonderzeichen (ö,ä,ü,!,+,...)?
Ansonsten einfach mal mit dem Benutze an einem Rechner anmelden.


Grüße,
Dani