Rückgabe von Benutzergruppeninformationen vom Active Directory-Server
LX unterstützt die Benutzerauthentifizierung zu Active Directory® (AD), ohne dass Benutzer lokal in LX definiert sein müssen. Dadurch können Active Directory-Benutzerkonten und -Kennwörter ausschließlich auf dem Active Directory-Server verwaltet werden. Die Autorisierungs- und Active Directory-Benutzerrechte werden mit standardmäßigen LX-Richtlinien und Benutzergruppenrechten, die lokal auf Active Directory-Benutzergruppen angewendet werden, gesteuert und verwaltet.
WICHTIG: Wenn Sie bereits Kunde von Raritan, Inc. sind und den Active Directory-Server bereits durch Ändern des Active Directory-Schemas konfiguriert haben, unterstützt LX diese Konfiguration nach wie vor, und Sie müssen den folgenden Vorgang nicht durchführen. Informationen zur Aktualisierung des Active Directory-LDAP/LDAPS-Schemas finden Sie unter Aktualisieren des LDAP-Schemas.
So aktivieren Sie den AD-Server auf der LX-Einheit:
Erstellen Sie auf der LX-Einheit besondere Gruppen und weisen Sie ihnen geeignete Berechtigungen zu. Erstellen Sie z. B. Gruppen wie "KVM_Admin" und "KVM_Operator".
Erstellen Sie auf dem Active Directory-Server neue Gruppen mit denselben Gruppennamen wie die im vorherigen Schritt erstellten Gruppen.
Weisen Sie die LX-Benutzer auf dem AD-Server den Gruppen zu, die Sie in Schritt 2 erstellt haben.
Bei der Eingabe des Gruppennamens muss die Groß-/Kleinschreibung beachtet werden.
LX bietet folgende Standardgruppen, die nicht geändert oder gelöscht werden können: "Admin" und "<Unknown>" (Unbekannt). Stellen Sie sicher, dass diese Gruppennamen nicht auch vom Active Directory-Server verwendet werden.
Wenn die vom Active Directory-Server zurückgegebenen Gruppeninformationen nicht mit der LX-Gruppenkonfiguration übereinstimmen, weist LX den Benutzern, die sich erfolgreich authentifizieren, automatisch die Gruppe "<Unknown>" (Unbekannt) zu.
Wenn Sie eine Rückrufnummer verwenden, müssen Sie die folgende Zeichenfolge unter Beachtung der Groß-/Kleinschreibung eingeben: msRADIUSCallbackNumber.
Auf Empfehlung von Microsoft sollten "Global Groups" (globale Gruppen) mit Benutzerkonten verwendet werden, keine "Domain Local Groups" (lokale Domaingruppen).