Users Guide
4. 提供有效 DNS 域名。
5. 验证网络 DNS 配置与 Active Directory DNS 信息匹配。
有关各选项的更多信息,请参阅 iDRAC
联机
帮
助
。
生成 Kerberos Keytab 文件
要支持 SSO 和智能卡登录验证,iDRAC 应支持在 Windows Kerberos 网络中启用自身作为 Kerberos 服务的的配置。iDRAC 上的
Kerberos 配置涉及的步骤与配置非 Windows Server Kerberos 服务作为 Windows Server Active Directory 中安全主体的步骤相
同。
ktpass 工具(可作为服务器安装 CD/DVD 的组成部分从 Microsoft 获得)用于创建用户帐户的服务主体名称 (SPN) 绑定并将信
任信息导出到 MIT 格式的 Kerberos keytab 文件中,这将允许外部用户或系统与密钥分发中心 (KDC) 之间建立信任关系。
keytab 文件包含加密密钥,用于加密服务器和 KDC 之间的信息。ktpass 工具允许支持 Kerberos 验证的基于 UNIX 的服务,从
而可使用 Windows Server Kerberos KDC 服务提供的互操作性功能。有关 ktpass 公用程序的详细信息,请访问 Microsoft 网
站:technet.microsoft.com/en-us/library/cc779157(WS.10).aspx
生成 keytab 文件之前,您必须创建一个 Active Directory 用户帐户与 ktpass 命令的 -mapuser 选项一起使用。此外,您必须
拥有与上载生成的 keytab 文件使用的 iDRAC DNS 名称相同的名称。
使用 ktpass 工具生成 keytab 文件:
1. 在希望将 iDRAC 映射到 Active Directory 中用户帐户的域控制器(Active Directory 服务器)上运行 ktpass 公用程序。
2. 使用以下 ktpass 命令创建 Kerberos keytab 文件:
C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -mapuser
DOMAINNAME\username -mapOp set -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass
[password] -out c:\krbkeytab
加密类型为 AES256-SHA1。主体类型为 KRB5_NT_PRINCIPAL。服务主体名称将映射到的目标用户帐户的属性必须启用为
此帐户使用 AES 256 加密类型属性。
注: 对 iDRACname 和服务主体名称使用小写字母,对域名使用大写字母,如示例中所示。
3. 运行以下命令:
C:\>setspn -a HTTP/iDRACname.domainname.com username
将生成一个 keytab 文件。
注
: 如果发现为之创建 keytab 文件的 iDRAC 用户有任何问题,请创建新用户和新 keytab 文件。如果再次执行最初创建
的同一 keytab 文件,则无法正确配置。
创建 Active Directory 对象并提供权限
对基于 Active Directory 扩展架构的 SSO 登录执行以下步骤:
1. 在 Active Directory 服务器中创建设备对象、权限对象和关联对象。
2. 设置所创建权限对象的访问权限。建议不要提供管理员权限,因为这可能会绕过一些安全检查。
3. 使用关联对象关联设备对象和权限对象。
4. 将之前的 SSO 用户(登录用户)添加至设备对象。
5. 为
验证用户
提供访问权限,以访问创建的关联对象。
相关概念
将 iDRAC 用户和权限添加到 Active Directory on page 132
为 Active Directory 用户配置 iDRAC SSO 登录
在为 Active Directory SSO 登录配置 iDRAC 之前,请确保已完成所有前提条件。
当您基于 Active Directory 设置用户帐户时,可以为 Active Directory SSO 配置 iDRAC。
配置
iDRAC 以进行单一登录或智能卡登录 139