Zeiteinschränkungen für rollen, Adress-rolleneinschränkungen, Benutzereinschränkungen – HP Integrated Lights-Out 2 Benutzerhandbuch
Seite 179: Einschränkungen für benutzeradressen
HINWEIS:
Wenn Verzeichnisse aktiviert sind, beruht der Zugriff auf ein bestimmtes iLO 2 Objekt
darauf, ob der Benutzer Lesezugriff auf das Rollenobjekt hat, in dem das entsprechende iLO 2
Objekt enthalten ist. Hierzu gehören, jedoch nicht ausschließlich, die im Rollenobjekt aufgeführten
Mitglieder. Wenn die Rolle so eingerichtet ist, dass vererbbare Berechtigungen von einem
übergeordneten Objekt übernommen werden können, dann sind die Mitglieder des übergeordneten
Objekts mit Lesezugriff ebenfalls zum Zugriff auf iLO 2 berechtigt. Um die Zugriffssteuerungsliste
einzusehen, navigieren Sie zu „Benutzer und Computer“, öffnen Sie die Eigenschaftsseite für das
Rollenobjekt, und wählen Sie die Registerseite Security (Sicherheit).
Schrittweise Anweisungen zum Erstellen von Netzwerk- und Zeiteinschränkungen für eine Rolle
finden Sie unter
„Rolleneinschränkungen in Active Directory“
oder
.
Zeiteinschränkungen für Rollen
Administratoren können Zeiteinschränkungen für LOM-Rollen festlegen. Benutzer erhalten die Rechte
für die in der Rolle aufgelisteten LOM-Geräte nur dann, wenn sie Mitglieder der Rolle sind und die
Zeiteinschränkung für die Rolle zutrifft.
LOM-Geräte verwenden zur Einhaltung der Zeiteinschränkungen die Zeiteinstellung des lokalen
Host. Wenn die Uhr des LOM-Geräts nicht eingestellt ist, schlägt die Zeiteinschränkung der Rolle
fehl, außer wenn für die Rolle keine Zeiteinschränkung gilt.
Rollenbasierte Zeiteinschränkungen können nur eingehalten werden, wenn die Zeit auf dem
LOM-Gerät eingestellt ist. Die Zeit wird normalerweise beim Booten des Host eingestellt und wird
durch das Ausführen der Agents im Host-Betriebssystem verwaltet. Dadurch kann das LOM-Gerät
das Schaltjahr berücksichtigen und die Zeitabweichung in Bezug auf den Host reduzieren.
Vorkommnisse wie unerwarteter Stromausfall oder Flashing der LOM-Firmware können dazu führen,
dass die LOM-Geräteuhr nicht eingestellt wird. Außerdem muss die Hostzeit für das LOM-Gerät
korrekt sein, um die Zeit trotz Firmware-Flashing beizubehalten.
Adress-Rolleneinschränkungen
Adress-Rolleneinschränkungen werden durch die LOM Firmware abhängig von der
IP-Netzwerkadresse des Client geltend gemacht. Wenn die Adresseinschränkungen für eine Rolle
zutreffen, gelten die durch die Rolle zugewiesenen Rechte.
Adresseinschränkungen können schwierig zu verwalten sein, wenn der Zugriff über Firewalls oder
Netzwerk-Proxyserver erfolgt. Durch diese beiden Vorrichtungen kann sich die Netzwerkadresse
des Client scheinbar ändern, und die Adresseinschränkungen werden nicht wie erwartet eingehalten.
Benutzereinschränkungen
Sie können den Zugriff über Adressen- oder Zeiteinschränkungen eingrenzen.
Einschränkungen für Benutzeradressen
Administratoren können Netzwerkadresseinschränkungen für Verzeichnis-Benutzerkonten festlegen.
Diese Einschränkungen werden durch den Verzeichnisserver eingehalten. Ausführliche Informationen
zum Erzwingen von Adresseinschränkungen für LDAP-Clients, wie z. B. Benutzeranmeldung bei
einem LOM-Gerät, finden Sie in der Dokumentation des Verzeichnisservers.
Netzwerkadresseinschränkungen, die für den Benutzer im Verzeichnis gelten, werden
möglicherweise nicht wie erwartet eingehalten, wenn sich der Verzeichnisbenutzer über einen
Proxyserver anmeldet. Wenn sich ein Benutzer bei einem LOM-Gerät als Verzeichnisbenutzer
anmeldet, versucht das LOM-Gerät eine Authentifizierung beim Verzeichnis als dieser Benutzer,
was bedeutet, dass die für das Benutzerkonto geltenden Adresseinschränkungen beim Zugriff auf
das LOM-Gerät wirksam werden. Wenn der Benutzer jedoch über einen Proxyserver zum LOM-Gerät
gelangt, erfolgt der Authentifizierungsversuch mit der Netzwerkadresse des LOM-Geräts und nicht
mit der Adresse der Client-Arbeitsstation.
Verzeichnisfähiges Remote-Management
179