Users Guide

ManualsBrandsDell ManualsActive System ManagerChassis Management Controller Version 2.0 for Dell PowerEdge FX2

111

112

113

114

115

116

117

118

119

120

• CMC doit faire partie du domaine Active Directory et du royaume Kerberos.

Prérequis pour la connexion directe ou par carte à puce

Les prérequis de conguration de la connexion directe (SSO) ou par carte à puce sont les suivants :

• Congurez le royaume kerberos et le KDC (Key Distribution Center, centre de distribution de clés) pour Active Directory (ksetup).

• Installez une infrastructure NTP et DNS robuste pour éviter les problèmes de dérive d'horloge et de recherche inversée.

• Congurez CMC avec le groupe de rôles de schéma standard Active Directory, avec des membres autorisés.

• Pour la carte à puce, créez des utilisateurs Active Directory pour chaque CMC, congurés pour utiliser le cryptage DES Kerberos,

mais pas la préauthentication.

• Congurez le navigateur pour la connexion directe (SSO) ou par carte à puce.

• Enregistrez les utilisateurs CMC auprès du centre de distribution de clés avec Ktpass (cela génère également une clé pour le

téléversement dans CMC).

Génération d'un chier Keytab Kerberos

Pour prendre en charge l'authentication unique (SSO) et l'authentication de connexion par carte à puce, le contrôleur CMC prend

en charge le réseau Windows Kerberos. L'outil ktpass permet de créer des liaisons SPN (Service Principal Name) avec un compte

utilisateur et d'exporter les informations d'approbation dans un chier keytab Kerberos de type MIT. Pour en savoir plus sur l'utilitaire

ktpass, voir le site Web Microsoft.

Avant de générer un chier keytab, vous devez créer le compte utilisateur Active Directory à utiliser avec l'option -mapuser de la

commande ktpass. Vous devez utiliser le même nom que le nom DNS du CMC vers lequel vous téléversez le chier keytab généré.

Pour générer un chier keytab à l'aide de l'outil ktpass :

1. Exécutez l'utilitaire ktpass sur le contrôleur de domaine (serveur Active Directory) où vous souhaitez associer le contrôleur CMC

à un compte utilisateur dans Active Directory.

2. Utilisez la commande ktpass suivante pour créer le chier keytab Kerberos :

C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM - mapuser dracname -mapOp

set -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:\krbkeytab

REMARQUE : La valeur cmcname.domainname.com doit être en minuscules pour respecter la norme RFC et la

valeur

@REALM_NAME doit être en majuscules. Le contrôleur CMC prend également en charge les types de cryptage

DES-CBC-MD5 et AES256-SHA1 pour l'authentication Kerberos.

Le chier keytab est généré et vous devez le téléverser dans CMC.

REMARQUE : Le chier keytab contient une clé de cryptage et doit être conservé en lieu sûr. Pour plus

d'informations sur l'utilitaire

ktpass

, voir le site Web Microsoft.

Conguration du contrôleur CMC pour le schéma Active Directory

Pour plus d'informations sur la conguration du contrôleur CMC pour le schéma standard Active Directory, voir Conguration

d'Active Directory pour les schéma étendu.

Pour plus d'informations sur la conguration du contrôleur CMC pour le schéma étendu Active Directory, voir Présentation du

schéma étendu Active Directory.

Conguration du navigateur pour la connexion directe (SSO)

La connexion directe est prise en charge dans Internet Explorer versions 6.0 et ultérieures, et dans Firefox versions 3.0 et ultérieures.

REMARQUE : Les instructions suivantes s'appliquent uniquement si CMC utilise la connexion directe avec

l'authentication Kerberos.

114