Users Guide

ManualsBrandsDell ManualsActive System ManagerDRAC5 Version 1.45

191

192

193

194

195

196

197

198

199

200

 启用 Kerberos 验证

Dell™RemoteAccessController5固件版本 1.45 用户指南

使用 Smart Card 进行单一式登录和 Active Directory 验证的前提条件

配置 DRAC 5 成为使用 Smart Card 进行单一式登录和 Active Directory 验证

使用单一式登录来登录到 DRAC5

Kerberos 是一种网络验证协议，使系统能够通过不安全网络安全通信。通过让系统验证真实性来实现这一目的。

Microsoft

Windows

2000、Windows XP、Windows Server

2003、WindowsVista

和 Windows Server 2008 使用 Kerberos 作为默认验证方法。

从 DRAC 5 版本 1.40 开始，DRAC 5 使用 Kerberos 支持两种验证机制 – 单一登录和 Active Directory

Smart Card 登录。对于单一登录，在用户使用有效 Active Directory

帐户登录后 DRAC 5 使用在操作系统中缓存的用户凭据。

从 DRAC 5 版本 1.40 开始，Active Directory 验证将使用基于 Smart Card 的双元验证 (TFA) 以及用户名密码组合作为有效凭据。

如果 DRAC 时间与域控制器时间不同，DRAC 5 上的 Kerberos 验证将会失败。最多允许 5 分钟偏差。要进行成功验证，请同步服务器与域控制器的时间，然后重设 DRAC。

还可以使用以下 RACADM 时差命令同步时间：

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset <偏差值>

使用 Smart Card 进行单一式登录和 Active Directory 验证的前提条件

l 配置 DRAC5进行 Active Directory 登录。有关详情，请参阅"使用 Active Directory 登录到 DRAC 5"。

l 注册 DRAC5作为 Active Directory 根域中的计算机。

a. 导航至"Remote Access"（远程访问）®"Configuration"（配置）选项卡® "Network"（网络）子选项卡® "Network Settings"（网络设置）。

b. 提供有效的"Preferred"（首选）/"Static DNS Server"（静态 DNS 服务器）IP 地址。该值是根域中 DNS 的 IP 地址，验证用户的 Active Directory 帐户。

c. 选择"Register DRAC on DNS"（向 DNS 注册 DRAC）。

d. 提供有效"DNS Domain Name"（DNS 域名）。

请参阅 DRAC5

联机帮助

了解详情。

由于 DRAC5是一种非 Windows 操作系统设备，在想将 DRAC 5 映射到 Active Directory 用户帐户的域控制器（Active Directory 服务器）上，运行 ktpass 公用程序的

Microsoft

Windows

程序部分。

例如，使用以下 ktpass 命令创建 Kerberos keytab 文件：

C:\>ktpass -princ HOST/dracname.domain- name.com@domain-name.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -

out c:\krbkeytab

DRAC 5 用于 Kerberos 验证的加密类型是 DES-CBC-MD5。基本类型是 KRB5_NT_PRINCIPAL。服务基本名称映射到的用户帐户的属性应启用以下帐户属性：

l 为此帐户使用 DES 加密类型

l 不要求 Kerberos 预验证

此步骤会生成一个 keytab 文件，应将该文件上载到 DRAC 5。

有关 ktpass 公用程序的详情，请参阅 Microsoft 网站： http://technet2.microsoft.com/windowsserver/en/library/64042138-9a5a-4981-84e9-

d576a8db0d051033.mspx?mfr=true

l DRAC 5 时间应与 Active Directory 域控制器同步。

配置 DRAC 5 成为使用 Smart Card 进行单一式登录和 Active Directory 验证

将从 Active Directory 根域获得的 keytab 文件上载到 DRAC5：



1. 导航到"Remote Access"（远程访问）® "Configuration"（配置）选项卡® Active Directory 子选项卡。

注：建议使用最新的 ktpass 公用程序创建 Keytab 文件。

注： keytab 包含加密密钥，因此应保管好。