Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Blade Servers Version 2.1

151

152

153

154

155

156

157

158

159

160

Regresaralapáginadecontenido

ActivacióndelaautentificaciónconKerberos

GuíadelusuariodeIntegratedDell™RemoteAccessController6(iDRAC6)EnterpriseparaservidoresBladeversión2.1

RequisitospreviosparaeliniciodesesiónúnicoylaautentificacióndeActiveDirectorymediantetarjetainteligente

ConfiguracióndeliDRAC6paraeliniciodesesiónúnicoylaautentificacióndeActiveDirectorymediantetarjetainteligente

ConfiguracióndeusuariosdeActiveDirectoryparaeliniciodesesiónúnico

IniciodesesióneneliDRAC6conlafuncióndeiniciodesesiónúnicoparausuariosdeActiveDirectory

ConfiguracióndeusuariosdeActiveDirectoryparainiciodesesióncontarjetainteligente

SituacionesdeiniciodesesióneneliDRAC6conTFAySSO

Kerberosesunprotocolodeautentificaciónderedquepermitequelossistemassecomuniquendeformaseguraatravésdeunaredsinprotección.Paraello,

lossistemasdebendemostrarsuautenticidad.Paramantenerlosmásaltosestándaresdecumplimientodeautentificación,eliDRAC6ahoraadmitela

autentificacióndeActiveDirectory®conKerberosparapermitireliniciodesesiónúnico(SSO)ycontarjetainteligenteenActiveDirectory.

Microsoft®Windows®2000, Windows XP, Windows Server®2003,WindowsVista®yWindowsServer2008utilizanKerberoscomométododeautentificación

predeterminado.

EliDRAC6utilizaKerberosparaadmitirdostiposdemecanismosdeautentificación:eliniciodesesiónúnicoycontarjetainteligenteenActiveDirectory.Para

eliniciodesesiónúnico,eliDRAC6emplealascredencialesdeusuarioalmacenadasencachéenelsistemaoperativoaliniciarsesiónmedianteunacuenta

válidadeActiveDirectory.

ParaeliniciodesesióncontarjetainteligentedeActiveDirectory,eliDRAC6utilizalaautentificacióndedosfactores(TFA)contarjetainteligenteamodode

credencialesparapermitireliniciodesesiónenActiveDirectory.

LaautentificacióndeKerberoseneliDRAC6fallarásilahoradeliDRAC6difieredelahoradelcontroladordedominio.Sepermiteunadiferenciamáximade5

minutos.Parapermitirunaautentificacióncorrecta,sincronicelahoradelservidorconlahoradelcontroladordedominioydespuésrestablezca el iDRAC6.

TambiénpuedeutilizarelsiguientecomandodediferenciadezonahorariadeRACADMparasincronizarlahora:

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset <valor de diferencia>

RequisitospreviosparaeliniciodesesiónúnicoylaautentificacióndeActive

Directory mediante tarjeta inteligente

l ConfigureeliDRAC6paraeliniciodesesióndeActiveDirectory.

l RegistreeliDRAC6comocomputadoraeneldominioraízdeActiveDirectory.

a. Haga clic en Sistema® Acceso remoto® iDRAC6® Red/Seguridad® subficha Red.

b. IndiqueunadirecciónIPdeservidor DNS alternativo/preferidoqueseaválida.EstevalorseñalaladirecciónIPdelservidorDNSqueforma

partedeldominioraíz,queautentificalascuentasdeActiveDirectorydelosusuarios.

c. Seleccione Registrar el iDRAC6 en el DNS.

d. Brinde un nombre de dominio DNSválido.

e. VerifiquequelaconfiguracióndeDNSdelaredcoincidaconlainformacióndeDNSdeActiveDirectory.

Consulte la ayudaenlíneadeliDRAC6paraobtenermásinformación.

Parapermitirelusodelosdosnuevosmecanismosdeautentificación,eliDRAC6admitelaconfiguraciónparaactivarsecomoservicio"kerberizado"en

unaredWindowsconKerberos.LaconfiguracióndeKerberoseneliDRAC6requierelosmismospasosquelaconfiguracióndeunservicioKerberos

externoaWindowsServercomoprincipalfuncióndeseguridadenWindowsServerActiveDirectory.

La herramienta ktpass deMicrosoft(proporcionadaporMicrosoftcomopartedelCD/DVDdeinstalacióndelservidor)seutilizaparacrearelenlacedel

nombreprincipaldeservicio(SPN)conunacuentadeusuarioyexportarlainformacióndeconfianzaaunarchivokeytab de Kerberos de tipo MIT, lo que

permiteestablecerunarelacióndeconfianzaentreunusuarioosistemaexternoyelcentrodedistribucióndeclaves(KDC).Elarchivokeytabcontienen

unaclavecriptográficaqueseusaparacifrarlainformaciónentreelservidoryelKDC.Laherramientaktpasspermiteelusodeserviciosbasadosen

UNIXqueadmitenlaautentificaciónKerberosparaejecutarlasfuncionesdeinteroperabilidadproporcionadasporunservicioKerberosKDCdeWindows

Server.

ElarchivokeytabqueseobtienedelautilidadktpassestádisponibleparaeliDRAC6comoarchivoparacargaryestáactivadoparaactuarcomoun

servicio kerberizado en la red.

Como el iDRAC6 es un dispositivo con un sistema operativo que no es Windows, ejecute la utilidad ktpass (que es parte de Microsoft Windows) en el

controlador de dominio (servidor Active Directory) donde desea asignar el iDRAC6 a una cuenta de usuario de Active Directory.

Por ejemplo, utilice el comando ktpassacontinuaciónparacrearelarchivokeytabdeKerberos:

C:\> ktpass.exe -princ HTTP/nombre_de_idrac.nombre_de_dominio.com@NOMBRE_DE_DOMINIO.COM -mapuser NOMBRE_DE_DOMINIO\nombre_de_usuario -

mapOp set -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass<contraseña>+DesOnly-out c:\krbkeytab

Luego de que el comando anterior se ejecute correctamente, ejecute el siguiente comando:

NOTA: SitienealgúnproblemaconelusuariodeiDRAC6paraquiensecreaelarchivokeytab,creeunnuevousuarioyunnuevoarchivokeytab.

Siseejecutanuevamenteelmismoarchivokeytabquesecreóinicialmente,noseconfigurarácorrectamente.