Users Guide

l 已经设置了 Active Directory (AD) 的 Kerberos 领域和 Key Distribution Center (KDC) (ksetup)

l 强健的 NTP 和 DNS 基础设施以避免时钟漂移和反向查询出现问题

l 具有授权成员的 CMC 标准模式角色组



配置 Active Directory

在"CMC Properties"（CMC 属性）对话框的"Accounts"（帐户）选项部分下面，配置以下设置：

l "Account is trusted for delegation"（帐户可以委派其它帐户） — 在选择此选项时，当前 CMC 不使用创建的已转发凭据。能否选择此选项视其它服务要求而定。

l "Account is sensitive and cannot be delegated"（敏感帐户，不能被委派）— 能否选择此选项视其它服务要求而定。

l "User Kerberos DES encryption types for the account"（帐户的用户 Kerberos DES 加密类型）— 选择此选项。

l "Do not require Kerberos preauthentication"（不要求 Kerberos 预验证） — 不选择此选项。

在用来将 CMC 映射到 Active Directory 中的用户帐户的域控制器上，运行 ktpass 公用程序（Microsoft Windows 的一部分）。例如：

C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out

c:\krbkeytab

此过程会生成一个 Keytab 文件，必须将该文件上载到 CMC。



配置 CMC

将 CMC 配置为使用在 Active Directory 中设置的标准模式角色组。有关详情，请参阅"配置标准架构 Active Directory 访问 CMC"。



上载 Kerberos Keytab 文件

Kerberos Keytab 文件用作 CMC 对于 Kerberos Data Center (KDC) 的用户名和密码凭据，KDC 又允许访问 Active Directory。Kerberos 领域中的每个 CMC 都必须在 Active

Directory 注册，而且必须有唯一的 Keytab 文件。

要上载 Keytab 文件：



1. 导航至"User Authentication"（用户验证）选项卡® "Directory Services"（目录服务）子选项卡。确保选择 Microsoft Active Directory 标准或扩展架构。否则选

择首选项并单击"Apply"（应用）。



2. 单击"Kerberos Keytab Upload"（Kerberos Keytab 上载）部分中的"Browse"（浏览），导航至保存 Keytab 文件的文件夹并单击"Upload"（上载）。

上载完成后，将显示一个信息框，说明上载成功或失败。



启用单一登录



1. 单击"Chassis Management Controller Network Security"（机箱管理控制器网络安全）选项卡® Active Directory® "Configure Active Directory"（配置

Active Directory）。

随即显示"Active Directory Configuration and Management"（Active Directory 配置与管理）页。



2. 在"Active Directory Configuration and Management"（Active Directory 配置和管理）页上，选择：

l "Single Sign-On"（单一登录）— 此选项使您能够使用登录 Active Directory 时获得的高速缓存的凭据登录 CMC。



3. 滚动到页面底部，然后单击"Apply"（应用）。

您可以使用 CLI 命令 test feature 检测使用 Kerberos 验证的 Active Directory。

键入：

注： RFC 要求 cmcname.domainname.com 必须小写，而 REALM 名称 @REALM_NAME 必须大写。此外，CMC 支持 Kerberos 验证的 DES-CBC-MD5 类型的加密。

注： Keytab 包含加密密钥，因此必须保管好。有关 ktpass 公用程序的详情，请参阅 Microsoft 网站：

technet2.microsoft.com/windowsserver/en/library/64042138-9a5a-4981-84e9-d576a8db0d051033.mspx?mfr=true。

注：本节中介绍的配置步骤仅适用于 CMC 的 Web 访问。

注：对于此选项，所有命令行带外接口，包括 Secure Shell (SSH)、远程登录、串行和远程 RACADM 都保持不变。