Users Guide
iDRAC7 als einen Computer in der Active Directory-Stammdomäne registrieren
So registrieren Sie iDRAC7 in der Active Directory-Stammdomäne:
1. Klicken Sie auf Übersicht → iDRAC-Einstellungen → Netzwerk → Netzwerk.
Die Seite Netzwerk wird angezeigt.
2. Stellen Sie eine gültige IP-Adresse für den bevorzugten/alternativen DNS-Server bereit. Dieser Wert steht für eine
gültige IP-Adresse für den DNS-Server, der Teil der Stammdomäne ist.
3. Wählen Sie iDRAC auf DNS registrieren aus.
4. Geben Sie einen gültigen DNS-Domänennamen an.
5. Stellen Sie sicher, dass die Netzwerk-DNS-Konfiguration mit den Active Directory-DNS-Informationen
übereinstimmt.
Weitere Informationen zu den verfügbaren Optionen finden Sie in der
iDRAC7-Online-Hilfe
.
Kerberos Keytab-Datei generieren
Zur Unterstützung der SSO- und Smart Card-Anmeldungs-Authentifizierung unterstützt iDRAC7 die Konfiguration zur
Selbstaktivierung als Kerberos-Dienst in einem Windows-Kerberos-Netzwerk. Die Kerberos-Konfiguration am iDRAC6
umfasst dieselben Schritte wie die Konfiguration eines Kerberos-Dienstes als Sicherheitsprinzipal in Windows Server
Active Directory auf einem Nicht-Windows-Server.
Mit dem
ktpass
-Hilfsprogramm (wird von Microsoft als Teil der Server-Installations-CD/DVD bereitgestellt) werden die
Bindungen des Dienstprinzipalnamens (SPN =Service Principal Name) zu einem Benutzerkonto erstellt und die
Vertrauensinformationen in eine MIT-artige Kerberos-
Keytab
-Datei exportiert, die eine Vertrauensbeziehung zwischen
einem externen Benutzer oder System und dem Schlüsselverteilungscenter (KDC = Key Distribution Centre) aktiviert. Die
Keytab-Datei enthält einen kryptografischen Schlüssel, der zum Verschlüsseln der Informationen zwischen Server und
KDC dient. Das Hilfsprogramm "ktpass" ermöglicht es UNIX-basierten Diensten, die Kerberos-Authentifizierung
unterstützen, die von einem Kerberos-KDC-Dienst für Windows Server bereitgestellten Interoperabilitätsfunktionen zu
verwenden. Weitere Informationen zum Dienstprogramm ktpass finden Sie auf der Microsoft-Website unter:
technet.microsoft.com/en-us/library/cc779157(WS.10).aspx
Sie müssen vor dem Erstellen einer Keytab-Datei ein Active Directory-Benutzerkonto zur Benutzung mit der Option -
mapuser des Befehls ktpass einrichten. Außerdem müssen Sie denselben Namen verwenden wie den iDRAC7-DNS-
Namen, zu dem Sie die erstellte Keytab-Datei hochladen.
So generieren Sie eine Keytab-Datei mithilfe des ktpass-Tools:
1. Führen Sie das Dienstprogramm
ktpass
auf dem Domänen-Controller (Active Directory-Server) aus, auf dem Sie
den iDRAC7 einem Benutzerkonto in Active Directory zuordnen möchten.
2. Verwenden Sie den folgenden ktpass-Befehl, um die Kerberos-Keytab-Datei zu erstellen:
C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -
mapuser DOMAINNAME\username -mapOp set -crypto AES256-SHA1 -ptype
KRB5_NT_PRINCIPAL -pass [password] -out c:\krbkeytab
Der Verschlüsselungstyp lautet AES256-SHA1. Der Prinzipaltyp lautet KRB5_NT_PRINCIPAL. Die Eigenschaften des
Benutzerkontos, dem der Dienstprinzipalname zugeordnet ist, muss die „Use AES 256“-Verschlüsselungstypen für
dieses Konto ordnungsgemäß aktiviert haben.
ANMERKUNG: Verwenden Sie – gemäß dem Beispiel – Kleinbuchstaben für den iDRAC7-Namen und die
Service-Prinzip-Bezeichnung und Großbuchstaben für den Domänennamen.
160