配置联想IMM使用AD账户登录

IMM是联想（IBM）服务器的管理卡Integrated Management Module的缩写，现在是第二个版本。通过它可以远程管理服务器，就像你在服务器面前操作一样。可以修改BIOS设置，可以重装系统。IMM2默认使用本地账户登录，对于想集中管理的最好配置成使用活动目录Active Directory来登录。

首先，确认一下是否给IMM配置了DNS，如果没有最好配置一下，因为等一下可以使用DNS自动发现域控。点击IMM Management--Network，选择Ethernet查看。

如果这里没有配置DNS，选择上方的DNS，配置一个。记得要选中Use additional DNS address servers。才会出现让你填写DNS的信息。

接下去就是配置LDAP的内容了。这里逐一解释一下我填写内容的意义。

选择使用LDAP服务器做为身份验证服务器和授权服务器。如果金做身份验证，那么需要在本地用户的Group Profiles里配置信息。这个放到后面再讲。

接下去选择使用DNS查找LDAP服务器，或者你也可以指定固定的域控做为LDAP的查询服务器。域名输入用户所在域，可以参考红色部分的例子。

Root DN就是配置需要从哪里开始查询用户，可以是某个OU级别，也可以直接指定域的根。

UID search attribute，对于Windows AD这里就是sAMAccountName，对于Novell和其它的Open LDAP服务器，这里会是uid。

选择如何使用查询的凭据，因为默认Windows的活动目录是不支持匿名查询的。这里需要选择使用固定凭据还是就使用用户登录的凭据。我选择With Login Credentials，这样免去了单独维护查询账户的问题，直接使用用户登录时的凭据来查询AD。除非极特殊的情况你的AD权限比较复杂，普通用户没有查询整个AD的权限，否则这个设置是最合适的。

Group Filter这里，可以选择留空，代表不验证用户所在的组，否则需要登录用户在这个特定组里才能登录。可以直接写CN=IMMUsers或者向我这样以DN方式写全。Group Search Attribute表示怎么判断用户是否属于这个组，Windows的活动目录使用用户的memberOf属性来判断，用户的memberOf中必须有之前在Group Filter中填写的组。

Login Permission Attribute这里就稍微有点复杂了。这里需要设定LDAP服务器用哪个属性来反馈用户的权限。如果LDAP反馈为空，那么用户默认有只读权限，如果需要单独配置权限，需要设置连续的12位数字串，这个数字串只能是0或者1。每一位的含意，可以点击那个小问号图标显示，第0位在左，第11位在右。为了避免冲突，我选择了extensionAttribute3来做为查询返回的属性。https://www.cnblogs.com/qishine/p/14034278.html

在AD中找到这个组，选择和之前匹配的extensionAttribute3填写IBMRBSPermissions=010000000000。表示有管理员权限。

这些配置完成之后，需要在IMM用户层面启用LDAP登录了。点击IMM Management--UserAccounts--Global Login Settings。选择有LDAP的即可。我选择了 LDAP First, then Local。

到这里，就能够使用AD账户登录服务器管理卡了。如果想对权限做进一步细分，比如IMM管理员组有管理员权限，IMM用户组有只读权限。就需要在前面LDAP配置的地方选择。我先在Group Profiles这里建了2个组用以对应不同的AD组。这里的组名要和AD中的组名匹配。由于之前配置了DELL的服务器，所以就沿用DRACAdmins和DRACUsers这2个组。

回到之前的LDAP设置。选择Authentication Only。注意这种方式仅支持Windows AD。如果没有跨域的引用组，这里Forest Name可以不填。

至此，IMM配置Windows AD用户的登录全部设置完毕，并且可以根据不同的用户组分配不同的权限。