Avocent Autoview 3016 – Authentifzierung am Windows Active Directory

Mit unseren neuen KVM-Switches wollten wir endlich die Benutzer aus dem Windows ADS nutzen. Bisher war es immer ein größere Aufwand wenn ein Kollege kam bzw. gekündigt hat. Laut Handbuch von Avocent ist das problemlos möglich, leider gibt es ein paar Fallstricke.

Ich beschreibe hier den Konfigurationsweg wie die Auth über eine Windows-Gruppe funktioniert.

1. Schritt
Ihr legt im ADS unterhalb des Domänen-Stamms eine Organisationseinheit (OU) mit dem Namen KVM-Control an.

2. Schritt
In dieser OU (KVM-Control) haben wir manuell ein Computerkonto mit dem Namen des KVM-Switches anlegt.

3. Schritt
Des Weiteren benötigen wir in der selben OU folgende drei Gruppen:
* kvm_accessadmin (Gruppenbereich: Global, Gruppentyp: Sicherheit) – Gruppe öffnen und im Reiter „Allgemein“ in Anmerkung „KVM Appliance Admin“ eintragen.
* kvm_useradmin (Gruppenbereich: Global, Gruppentyp: Sicherheit) – Gruppe öffnen und im Reiter „Allgemein“ in Anmerkung „KVM User Admin“ eintragen.
* kvm_user (Gruppenbereich: Global, Gruppentyp: Sicherheit) – Gruppe öffnen und im Reiter „Allgemein“ in Anmerkung „KVM User“ eintragen.

Über diese Gruppen wird später je nach Zugehörigkeit der Benutzer die Zugriffsrechte auf dem KVM verwaltet.

4. Schritt
Einzelene Benutzer den Gruppen zuordnen.

5. Schritt
Melde dich auf dem Avocent Autoview Switch mit der lokalen Benutzer „Admin“ an und wechsle auf den Reiter „Konfiguration“. Dort Links im Menü unter Einheit -> Authentifizierung anklicken.

6. Schritt
Dort wechsle auf den Reiter „Suche“. Hier müssen die ADS Daten hinterlegt werden.
Bei „Such-DN“ hinterlegst du einen Benutzer der im ADS exstiert. Ich habe dazu einen extra Benutzer „kvm_admin“ angelegt. Bitte nemmt nicht den Domänen-Admin „administrator“.
Suchekennwort: Einfach das Passwort des Benutzers eingeben, den ihr bei Such-DN angeben habt.
Suchbasis: Den FQDN im LDAP Schreibweise. Wenn du dir nicht sicher bist, starte auf einem DC das MMC SnapIn „Active Directory-Benutzer und -Computer“. Dort siehst du Domainname.
Die UID-Maske nicht verändern.

7. Schritt
Abschließend wechsel bitte in den Reiter „Abfrage“.
Dort stellst du den Abfragemodus jeweils auf Gruppenattribut (sowhl bei Einheit als auch Server). Bei „Gruppen-Container“ gibst du die OU an, die wir bei Schritt 1 anlegt haben.
Die restlichen Einstellungen nicht verändern. Zum Schluss speichern und einen Testlogin mit einem ADS Benutzer versuchen.