Users Guide

ManualsBrandsDell ManualsActive System ManagerChassis Management Controller Version 3.0 for Dell PowerEdge VRTX

141

142

143

144

145

146

147

148

149

150

CMC

• Jeder CMC muss ein Active Directory-Konto haben.

• Der CMC muss ein Teil der Active Directory-Domäne und des Kerberos-Bereichs sein.

Vorbedingungen für die einfache Anmeldung oder Smart Card-

Anmeldung

Die Voraussetzungen für die Konguration der SSO- oder Smart Card-Anmeldungen lauten wie folgt:

• Einrichtung des Kerberos-Bereichs und Key Distribution Centers (KDC)) für Active Directory (ksetup).

• Gewährleisten Sie eine robuste NTP- und DNS-Infrastruktur zur Vermeidung von Problemen mit Clock-Drift und Reverse-

Lookup.

• Konguration des CMC mit der Standardschema-Rollengruppe mit autorisierten Mitgliedern.

• Erstellen Sie für Smart Card „Active Directory-Benutzer“ für jeden CMC und kongurieren Sie Kerberos-DES-Verschlüsselung,

jedoch nicht Vorauthentizierung.

• Browser für SSO oder Smart Card-Anmeldung kongurieren

• Registrieren Sie die CMC-Benutzer mit Ktpass beim Schlüsselverteilungscenter (dies erzeugt auch einen Schlüssel zum

Hochladen auf den CMC).

Kerberos Keytab-Datei generieren

Zur Unterstützung der SSO- und Smart Card-Anmeldungs-Authentizierung unterstützt CMC das Windows-Kerberos-Netzwerk.

Mit dem ktpass-Hilfsprogramm (wird von Microsoft als Teil der Server-Installations-CD/DVD bereitgestellt) werden die Bindungen

des Dienstprinzipalnamens (SPN =Service Principal Name) zu einem Benutzerkonto erstellt und die Vertrauensinformationen in eine

MIT-artige Kerberos-Keytab-Datei exportiert. Weitere Informationen zum Dienstprogramm ktpass nden Sie auf der Microsoft-

Website.

Sie müssen vor dem Erstellen einer Keytab-Datei ein Active Directory-Benutzerkonto zur Benutzung mit der Option -mapuser des

Befehls ktpass einrichten. Außerdem müssen Sie denselben Namen verwenden wie den CMC-DNS-Namen, zu dem Sie die erstellte

Keytab-Datei hochladen.

So generieren Sie eine Keytab-Datei mithilfe des ktpass-Tools:

1. Führen Sie das Dienstprogramm ktpass auf dem Domänen-Controller (Active Directory-Server) aus, auf dem Sie den CMC

einem Benutzerkonto in Active Directory zuordnen möchten.

2. Verwenden Sie den folgenden ktpass-Befehl, um die Kerberos-Keytab-Datei zu erstellen:

ktpass -princ HTTP/cmcname.domainname.com@DOMAINNAME.COM -mapuser keytabuser -crypto

DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:\krbkeytab

ANMERKUNG: Der cmcname.domainname.com muss gemäß RFC in Kleinbuchstaben und der @REALM_NAME

muss in Großbuchstaben angegeben werden. Darüber hinaus unterstützt der CMC die DES-CBC-MD5- und

AES256–SHA1-Typen von Kryptographie für Kerberos-Authentizierung.

Dieses Verfahren erstellt eine Keytab-Datei, die Sie zum CMC hochladen müssen.

ANMERKUNG: Das Keytab enthält einen Verschlüsselungsschlüssel und muss an einem sicheren Ort aufbewahrt

werden. Weitere Informationen zum Dienstprogramm

ktpass

nden Sie auf der Microsoft-Website.

Kongurieren des CMC für das Active Directory-Schema

Weitere Informationen über die Konguration des CMC für das Active Directory-Standardschema nden Sie unter Active Directory-

Standardschema kongurieren.

Weitere Informationen über die Konguration des CMC für Erweitertes Schema für Active Directory nden Sie unter Übersicht des

Active Directory mit erweitertem Schema.

146