Users Guide

Table Of Contents
3. Utilisez la commande suivante pour générer un fichier keytab Kerberos dans le serveur Active Directory :
C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -mapuser
DOMAINNAME\username -mapop set -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass
[password] -out c:\krbkeytab
Remarque pour le schéma étendu
Modifiez le paramètre Délégation de l’utilisateur Kerberos.
Rendez-vous sur Utilisateur Kerberos >Propriétés>Délégation>Faire confiance à cet utilisateur pour la délégation à
n’importe quel service (Kerberos uniquement)
REMARQUE : Déconnectez-vous et connectez-vous à l’aide de l’utilisateur Active Directory de la station de gestion après la
modification du paramètre ci-dessus.
Génération d'un fichier Keytab Kerberos
Pour prendre en charge l’authentification d’ouverture de session par connexion directe (SSO) ou par carte à puce, iDRAC prend en charge
la configuration pour s’activer comme service Kerberos sur un réseau Kerberos Windows. La configuration Kerberos sur l’iDRAC implique
les mêmes étapes que la configuration d’un service Kerberos de serveur autre que Windows en tant qu’entité de sécurité principale dans
Windows Server Active Directory.
L’outil ktpass (disponible dans Microsoft avec le CD/DVD d’installation du serveur) est utilisé pour créer des liaisons SPN (Service
Principal Name) avec un compte d’utilisateur et exporter les informations de confiance dans un fichier keytab Kerberos de style MIT,
ce qui permet une relation de confiance entre un utilisateur ou un système externe et le centre de distribution de clés (KDC). Le
fichier keytab contient une clé de chiffrement utilisée pour chiffrer les informations entre le serveur et le KDC. L’outil ktpass permet
aux services basés sur UNIX qui prennent en charge l’authentification Kerberos d’utiliser les fonctionnalités d’interopérabilité fournies
par service KDC d’un serveur Windows Kerberos. Pour plus d’informations sur l’utilitaire ktpass, reportez-vous au site Web Microsoft :
technet.microsoft.com/en-us/library/cc779157(WS.10).aspx
Avant de générer un fichier keytab, vous devez créer un compte d’utilisateur Active Directory à utiliser avec l’option -mapuser de la
commande ktpass. En outre, vous devez avoir le même nom que le nom du DNS iDRAC vers lequel vous téléchargez le fichier keytab
généré.
Pour générer un fichier keytab à l'aide de l'outil ktpass :
1. Exécutez l’utilitaire ktpass sur le contrôleur de domaine (serveur Active Directory) sur lequel vous souhaitez adresser iDRAC à un
compte d’utilisateur dans Active Directory.
2. Utilisez la commande ktpass suivante pour créer le fichier keytab Kerberos :
C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -mapuser
DOMAINNAME\username -mapop set -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass
[password] -out c:\krbkeytab
Le type de chiffrement est AES256-SHA1. Le type principal est KRB5_NT_PRINCIPAL. La propriété Utiliser les types de
chiffrement AES 256 pour ce compte doit être activée dans les propriétés du compte d’utilisateur auquel le nom SPN est adressé.
REMARQUE :
Utilisez des minuscules pour l’iDRACname et le Service Principal Name. Utilisez des majuscules pour le nom de
domaine, comme indiqué dans l’exemple.
Un fichier keytab est généré.
REMARQUE :
Si vous trouvez des problèmes avec iDRAC utilisateur pour lequel le fichier keytab est créé, créez un nouvel
utilisateur et un nouveau fichier keytab. Si le fichier keytab initialement créé est à nouveau exécuté, il n’est pas configuré
correctement.
Configuration d'ouverture de session dans l'iDRAC par connexion
directe (SSO) pour les utilisateurs Active Directory à l'aide de
l'interface Web
Pour configurer l'ouverture de session dans iDRAC par connexion directe (SSO) pour Active Directory :
176
Configuration de l'iDRAC pour la connexion directe ou par carte à puce