Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Blade Servers Version 2.1

151

152

153

154

155

156

157

158

159

160

返回目录页

 启用 Kerberos 验证

IntegratedDell™RemoteAccessController6(iDRAC6)EnterpriseforBladeServers版本 2.1 用户指南

使用智能卡进行单一登录和 Active Directory 验证的前提条件

配置 iDRAC6 使用智能卡进行单一登录和 Active Directory 验证

配置 Active Directory 用户进行单一登录

使用 Active Directory 用户的单一登录来登录到 iDRAC6

为智能卡登录配置 Active Directory 用户

使用 TFA 和 SSO 的 iDRAC6 登录情况

Kerberos 是一种网络验证协议，使系统能够通过非安全网络安全地通信。通过让系统验证真实性来实现这一目的。为了达到更高的验证标准，iDRAC6 现在支持基于 Kerberos 的 Active

Directory 验证来支持 Active Directory®智能卡和单一 (SSO) 登录。

Microsoft®Windows®2000、Windows XP、Windows Server®2003、Windows Vista®和 Windows Server 2008 使用 Kerberos 作为默认验证方法。

iDRAC6 使用 Kerberos 支持两种验证机制 — Active Directory 单一登录和 Active Directory 智能卡登录。对于单一登录，在用户使用有效 Active Directory 帐户登录后 iDRAC6 使

用在操作系统中缓存的用户凭据。

对于 Active Directory 智能卡登录，iDRAC6 使用基于智能卡的双重验证 (TFA) 作为凭据来启用 Active Directory 登录。

如果 iDRAC6 时间与域控制器时间不同，iDRAC6 上的 Kerberos 验证将会失败。最多允许 5 分钟偏差。要进行成功验证，请同步服务器与域控制器的时间，然后重设 iDRAC6。

还可以使用以下 RACADM 时差命令同步时间：

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset <偏差值>

使用智能卡进行单一登录和 Active Directory 验证的前提条件

l 配置 iDRAC6 进行 Active Directory 登录。

l 注册 iDRAC6 作为 Active Directory 根域中的计算机。

a. 单击“System”（系统） ® “Remote Access”（远程访问）® iDRAC6 ® “Network/Security”（网络 /安全性）® “Network”（网络）子选项卡。

b. 提供有效的首选/备用 DNS 服务器 IP 地址。该值是根域中 DNS 的 IP 地址，验证用户的 Active Directory 帐户。

c. 选择“Register iDRAC on DNS”（在 DNS 上注册 iDRAC）。

d. 提供有效“DNS Domain Name”（DNS 域名）。

e. 验证网络 DNS 配置与 Active Directory DNS 信息匹配。

请参阅 iDRAC6

联机帮助

了解有关详情。

为支持两种新的验证机制，iDRAC6 支持配置以使自身作为 Windows Kerberos 网络上的加密服务。iDRAC6 上的 Kerberos 配置步骤与配置非 Windows Server Kerberos

服务作为 Windows Server Active Directory 安全原则的步骤一样。

使用 Microsoft 工具 ktpass（由 Microsoft 服务器安装 CD/DVD 提供）创建用户帐户服务主体名称 (SPN) 绑定并将可信信息导出到 MIT 样式的 Kerberos keytab 文件，这

将确定外部用户或系统与 Key Distribution Centre (KDC) 之间的可信关系。该 keytab 文件包含密钥，用于对服务器和 KDC 之间的信息进行加密。ktpass 工具使那些支持

Kerberos 验证的基于 UNIX 的服务能够使用 Windows Server Kerberos KDC 服务提供的交互功能。

从 ktpass 公用程序获得的 keytab 作为文件上载提供给 iDRAC6 并作为网络上的加密服务。

由于 iDRAC6 是一种非 Windows 操作系统设备，在想将 iDRAC6 映射到 Active Directory 用户帐户的域控制器（Active Directory 服务器）上，运行 ktpass 公用程序

（Microsoft Windows 的一部分）。

例如，使用以下 ktpass 命令创建 Kerberos keytab 文件：

C:\> ktpass.exe -princ HTTP/idracname.domainname.com@DOMAINNAME.COM -mapuser DOMAINNAME\username -mapOp set -crypto DES-CBC-MD5 -ptype

KRB5_NT_PRINCIPAL -pass <密码> +DesOnly -out c:\krbkeytab

成功执行以上命令后，运行以下命令：

C:\>setspn -a HTTP/idracname.domainname.com username

iDRAC6 用于 Kerberos 验证的加密类型是 DES-CBC-MD5。主体类型是 KRB5_NT_PRINCIPAL。服务主体名称映射到的用户帐户的属性应启用以下帐户属性：

l 为此帐户使用 DES 加密类型

注：如果发现 keytab 文件创建所针对的 iDRAC6 用户有问题，应创建新的用户和新的 keytab 文件。如果再执行原来创建的 keytab 文件，将不会正确配置。

注：必须创建 Active Directory 用户帐户以供 ktpass 命令的 -mapuser 选项使用。另外，应将同一名称作为要上载所生成 keytab 文件的 iDRAC DNS 名称。