Users Guide

ManualsBrandsDell ManualsSoftwareDell Chassis Management Controller Version 3.1

配置单一登录

Microsoft Windows 2000、Windows XP、Windows Server 2003、WindowsVista、Windows 7 和 Windows Server 2008 可以使用网络验证协议 Kerberos 作为验证方

法，使已经登录到域的用户可以自动或单一登录到 Exchange 等随后的应用程序。

从 CMC 版本 2.10 开始，CMC 可以使用 Kerberos 支持其它两种类型的登录机制 — 单一登录和 Smart Card 登录。对于单一登录，CMC 使用客户端系统的证书，您使用有效的

Active Directory 帐户登录之后操作系统就会高速缓存这些凭据。



系统要求

要使用 Kerberos 验证方法，网络必须包括：

l DNS 服务器

l Microsoft Active Directory 服务器

l Kerberos Key Distribution Center（与 Active Directory Server 软件一起打包）。

l DHCP 服务器（推荐）。

l DNS 服务器反向区域必须有 Active Directory 服务器和 CMC 的条目。



客户端系统

l 对于仅通过 Smart Card 登录，客户端系统必须有 Microsoft Visual C++ 2005 Redistributable。有关详情，请参阅

www.microsoft.com/downloads/details.aspx?FamilyID=32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en

l 对于单一登录和 Smart Card 登录，客户端系统必须是 Active Directory 域和 Kerberos 领域的一部分。



Server 2003）？

如果处于混合模式，Dell 扩展的 Active Directory 用户和计算机管理单元将会检查模式并限

制用户以跨多个域创建对象。

配合使用 CMC 和 Active Directory 是否支持多个域环境？

是。域目录林功能级别必须处在本机 (Native) 或 Windows 2003 模式。此外，关联对

象、RAC 用户对象和 RAC 设备对象（包括关联对象）的组都必须是通用组。

这些 Dell 扩展的对象（Dell 关联对象、Dell RAC 设备和 Dell 权限对象）是否可以位于不

同的域？

关联对象和权限对象必须位于相同的域。Dell 扩展的 Active Directory 用户和计算机管理单

元强制您在相同的域中创建这两个对象。其它对象可以位于不同的域。

域控制器 SSL 配置是否有任何限制？

是。目录林中用于 Active Directory 服务器的所有 SSL 认证都必须由相同的根认证机构签

发的认证签名，因为 CMC 只允许上载一个可信认证机构签发的 SSL 认证。

我创建并上载了一个新 RAC 证书，然而现在 Web 界面不启动。

如果使用 Microsoft Certificate Services 生成 RAC 认证，则您可能在创建认证时不小心

选择了“User Certificate”（用户认证），而不是“Web Certificate”（Web 认证）。

要进行恢复，请生成 CSR，然后从 Microsoft Certificate Services 创建新的 Web 证书

并使用以下 RACADM 命令进行上载：

racadm sslcsrgen [-g]

[-f {filename}]

racadm sslcertupload -t 1 -f {web_sslcert}

如果不能使用 Active Directory 验证登录到 CMC，应该怎么办？我如何排除这个问题？

1. 确保在登录期间使用正确的用户域名，而不是 NetBIOS 名称。

2. 如果具有本地 CMC 用户帐户，请使用本地凭据登录 CMC。

登录后，执行以下步骤：

a. 确保已选中 CMC Active Directory 配置页上的“Enable Active

Directory”（启用 Active Directory）复选框。

b. 确保 CMC 联网配置页上的 DNS 设置正确。

c. 确保已从 Active Directory 根认证机构签发的认证将 Active Directory 认证上载

到 CMC。

d. 检查域控制器 SSL 证书以确保没有过期。

e. 确保 CMC 名称、Root 域名和 CMC 域名与 Active Directory 环境配置匹配。

f. 确保 CMC 密码最多有 127 个字符。虽然 CMC 可以支持多达 256 个字符的密

码，但 Active Directory 只支持最大长度为 127 个字符的密码。

注: 选择登录方法不会设置与诸如 SSH 等其它登录界面相关的策略属性。您还必须设置其它登录界面的其它策略属性。如果您要禁用所有其它登录界面，请导航至“Services”（服

务）页并禁用所有（或某些）登录界面。

注: 如果您使用 Windows 2003 上的 Active Directory，应确保客户端系统上安装了最新的 Service Pack 和增补软件。如果您使用 Windows 2008 上的 Active

Directory，应确保安装了 SP1 和以下热补丁：

用于 KTPASS 公用程序的 Windows6.0-KB951191-x86.msu。如果没有此增补软件，该公用程序会生成

错误

Keytab 文件。

Windows6.0-KB957072-x86.msu，用作在 LDAP 绑定过程中使用 GSS_API 和 SSL 事务处理。