Kiến thức

Thiết bị MPU có hỗ trợ tính năng kết nối vào Active Directory(AD) trên hệ thốngDomain Windows Server, với mục đích sử dụng thông tin tài khoản trên AD chứngthực đăng nhập vào thiết bị. Việc cấu hình tính năng này đối với người mới tiếp xúcvới thiết bị sẽ gây không ít khó khăn và tốn không ít thời gian. Trong khi các tàiliệu hướng dẫn đi kèm diễn giải không thật sự dễ hiểu cho người mới tiếp xúc vớithiết bị, để thuận tiện hơn cho việc cấu hình tính năng này, bài lab step-by-step sauđây sẽ hướng dẫn cụ thể hơn cách kích hoạt tính năng sử dụng tài khoản trênAD để chứng thực đăng nhập vào thiết bị MPU.

Tóm tắt kịch bản triển khai cấu hình.

B1: Cấu hình trên thiết bị MPU

- Đăng nhập vào MPU với tài khoản Admin(toàn quyền trên thiết bị này).

- Bật tính năng LDAP, nhập thông tin domain, thực hiện câu query để kết nối đếnAD.

- Đổi tên thiết bị.

B2: Cấu hình trên AD

- Tạo mới User, OU, Object Computer, các group (group này phải nằm trong OU mớitạo).

- Tạo thuộc tính cho các group tương ứng với các quyền trên thiết bị MPU, chọnthành viên cho các group.

1 / 7

Kiến thức

- Cho Object Computer làm thành viên của các group.

B3: Kiểm tra đăng nhập với tài khoản trên AD.

- Đăng nhập với các user có trên AD và kiểm tra các quyền tương ứng.

Lưu ý(*): Khi thao tác trên thiết bị MPU, cần nắm rõ các quyền đăng nhập trên thiếtbị này. Sau đây là mô tả vắn tắt ba quyền trên thiết bị này:

1. KVM Applicance Admin: Toàn quyền trên thiết bị này.

2. KVM User Admin: Giới hạn quyền, chỉ cho phép tác động đến các user có trênthiết bị MPU.

3. KVM User: Giới hạn quyền, chỉ cho phép kết nối KVM tới thiết bị.

I. Cấu hình trên MPU.

- Đăng nhập tài khoản với quyền Applicance Admin (Admin).

- Di chuyển đến User Accounts -> LDAP -> Overview.(Xem hình 01)

- LDAP Priority chọn LDAP before Local. - Primary Server nhập vào IP của máy server đã cài đặt AD. - Port 389 cho LDAP và 636 cho LADAPS.

2 / 7

Kiến thức

- Save lại cấu hình.

Hình 01

- Tại LADP -> Search.(Xem hình 02)

- Search DN: cn=chinh, cn=Users,dc=nsp,dc=dev - Search Password: nhập password của user(khai báo trên phần Search DN). - Search Base: dc=nsp,dc=dev - UID Mask: giữ mặc định. - Save lại cấu hình.

Chú thích:

chinh: là tên user có đã tồn tại hoặc sẽ tạo mới trong AD.

Users: là OU(organizational unit) Users mặc định trong AD.

nsp và dev: là tên domain nsp.dev

3 / 7

Kiến thức

Hình 02

- Tại LADP -> Query.(Xem hình 03)

- Applicance: chọn Group Attribute - Target Device: chọn Group Attribute - Group Container: KVM - Các thông tin còn lại giữ mặc định. - Save lại cấu hình.

Hình 03

- Di chuyển đến Appliance -> Overview.(Xem hình 04)

- Applicance Name: mpu2016 - Save lại cấu hình.

4 / 7

Kiến thức

Hình 04 II. Cấu hình trên AD. - Truy cập giao diện AD ->Start -> Administrative tool -> Active Directory Usersand Computer. - Tại OU Users -> tạo mới User (nên là user trùng tên với user đã khai báo ở phầnSearch DN trên thiết bị MPU, nếu tại phần Search DN khai báo Administrator thìphần tạo user này có thể bỏ qua, vì tài khoản Admin mặc định được tồn tại trong hệ thống AD). Xem hình 05.

Hình 05 - Tại nsp.dev -> tạo mới OU(organizational unit), đặt tên KVM(tên này phải trùngvới tên tại Group Container đã cấu hình trên thiết bị MPU). Xem hình 06.

Hình 06 - Tại OU KVM mới tạo -> tạo mới Computer, đặt tên mpu2016(tên này phải trùngvới tên Applicance Name đã đổi tên lại trên thiết bị MPU). Xem hình 07.

Hình 07 - Tại OU KVM -> tạo mới Group, đặt tên ApplicanceAdmin(Group này dùng để diễntả các tài khoản người dùng có quyền KVM Apllicane Admin). Xem hình 08. - Để kích hoạt phân quyền trên group này có quyền KVM Apllicane Admin, cần đặtthuộc tính cho group này là KVM Apllicane Admin tại mục Notes. Xem hình 09.

Hình 08

Hình 09 - Tại OU KVM -> Properties mpu2016 -> Member of -> Add thêm tên Group vừamới tạo ở bước trên-ApplicanceAdmin. Xem hình 10.

5 / 7

Kiến thức

Hình 10 - Tại OU KVM -> Properties ApplicanceAdmin-> Member -> Add thêm tên tên usertrên AD muốn trao toàn quyền trên thiết bị MPU-KVM Applicance Admin. Xem hình11.

Hình 11 - Tương tự tạo thêm hai Group nữa với quyền KVM User Admin và KVM User. XemHình 12, 13 .

Hình 12

Hình 13 - Properties mpu2016 -> Member of -> Add thêm tên Group vừa mới tạo ở các bướctrên. Xem hình 14. - Lúc này đã có ba Group tương ứng với ba quyền trên thiết bị MPU. Có thể tùy chọnmột hoặc nhiều user trên AD để add vào các group này.

Hình 14 III. Đăng nhập. - Đăng nhập địa chỉ IP của thiết bị MPU thông quan tài khoản có trên AD. VD:  chinh@nsp.dev Màn hình đăng nhập

User đang được add trong group ApplicanceAdmin – KVM Applicance Admin.

6 / 7

Kiến thức

User đang được add trong group UserAdmin – KVM User Admin

User đang được add trong group User – KVM User

Giờ đây ta có thể sử sụng bất cứ user nào có trên AD để đăng nhập vào thiết bịMPU, tuy nhiên cần lưu ý: các user muốn đăng nhập vào MPU phải được được addvào các group tương ứng. Quyền hạn của các group sẽ cho phép user đăng nhập cóquyền hạn giống như tại local của thiết bị MPU. Cần nắm rõ bộ phân quyềnKVM Appliance Admin, KVM User Admin, KVM User để triển khai các chính sáchphân quyền hợp lý nhất. Lê Trần Chinh Theo Avocent

7 / 7