Users Guide
CMC
l CMC 必须有固件版本 2.10 或更高版本
l 每个 CMC 都必须有 Active Directory 帐户
l CMC 必须是 Active Directory 域和 Kerberos Realm 的一部分
配置设置
前提条件
l 已经设置了 Active Directory (AD) 的 Kerberos 领域和 Key Distribution Center (KDC) (ksetup)。
l 强健的 NTP 和 DNS 基础设施以避免时钟漂移和反向查询出现问题。
l 具有授权成员的 CMC 标准模式角色组。
配置 Active Directory
在“CMC Properties”(CMC 属性)对话框的“Accounts”(帐户)选项部分下面,配置以下设置:
l “Account is trusted for delegation”(帐户可以委派其它帐户)— 在选择此选项时,当前 CMC 不使用创建的已转发凭据。能否选择此选项视其它服务要求而定。
l “Account is sensitive and cannot be delegated”(敏感帐户,不能被委派)— 能否选择此选项视其它服务要求而定。
l “User Kerberos DES encryption types for the account”(帐户的用户 Kerberos DES 加密类型)— 选择此选项。
l “Do not require Kerberos preauthentication”(不要求 Kerberos 预验证)— 不选择此选项。
在希望将 CMC 映射到 Active Directory 中的用户帐户的域控制器上运行 ktpass 公用程序(Microsoft Windows 的一部分)。例如:
C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out
c:\krbkeytab
此过程会生成一个 Keytab 文件,必须将该文件上载到 CMC。
配置 CMC
将 CMC 配置为使用在 Active Directory 中设置的标准模式角色组。有关详情,请参阅配置标准架构 Active Directory 访问 CMC。
上载 Kerberos Keytab 文件
Kerberos Keytab 文件用作 CMC 对于 Kerberos Data Center (KDC) 的用户名和密码凭据,KDC 又允许访问 Active Directory。Kerberos 领域中的每个 CMC 都必须在 Active
Directory 注册,而且必须有唯一的 Keytab 文件。
要上载 Keytab 文件:
1. 导航至“User Authentication”(用户验证)选项卡® “Directory Services”(目录服务)子选项卡。确保选择 Microsoft Active Directory 标准或扩展架构。否则选择
首选项并单击“Apply”(应用)。
2. 单击“Kerberos Keytab Upload”(Kerberos Keytab 上载)部分中的“Browse”(浏览),导航至保存 Keytab 文件的文件夹并单击“Upload”(上载)。
上载完成后,将显示一个信息框,说明上载成功或失败。
启用单一登录
1. 单击“Chassis Management Controller Network Security”(机箱管理控制器网络安全)选项卡® Active Directory® “Configure Active Directory”(配置
Active Directory)。
注: RFC 要求 cmcname.domainname.com 必须小写,而 REALM 名称 @REALM_NAME 必须大写。此外,CMC 支持 Kerberos 验证的 DES-CBC-MD5 类型的加密。
注: Keytab 包含加密密钥,因此必须保管好。有关 ktpass 公用程序的详情,请参阅 Microsoft 网站:
technet2.microsoft.com/windowsserver/en/library/64042138-9a5a-4981-84e9-d576a8db0d051033.mspx?mfr=true。
注: 本节中介绍的配置步骤仅适用于 CMC 的 Web 访问。