Users Guide

ManualsBrandsDell ManualsActive System ManagerDRAC5 Version 1.45

201

202

203

204

205

206

207

208

209

210

ZurückzumInhaltsverzeichnis

 Kerberos-Authentifizierung aktivieren

Dell™RemoteAccessController5Firmware-Version 1.45, Benutzerhandbuch

VoraussetzungenfürdieeinfacheAnmeldungunddieActiveDirectory-Authentifizierung unter Verwendung der Smart Card

KonfigurierendesDRAC5fürdieeinfacheAnmeldungunddieActiveDirectory- Authentifizierung unter Verwendung der Smart Card

AnmeldenanDRAC5unterVerwendungdereinfachenAnmeldung

KerberosisteinNetzwerkauthentifizierungsprotokoll,dasSystemenermöglichtaufsichereWeiseübereinungesichertesNetzwerkzukommunizieren.Dies

wirddadurcherreicht,dassdenSystemenerlaubtwird,einenBeweisihrerAuthentizitätzuerbringen.

Microsoft®Windows®2000, Windows XP, Windows Server®2003,WindowsVista®und Windows Server 2008 verwenden Kerberos als Standard-

Authentifizierungsmethode.

BeginnendmitDRAC5Version1.40verwendetderDRAC5KerberoszumUnterstützenzweierTypenvonAuthentifizierungsmechanismen- Einfache

Anmeldung und Active Directory®-Smart Card-Anmeldung. Bei der einfachen Anmeldung verwendet der DRAC 5 die Anmeldeinformationen des Benutzers, die

imBetriebssystemzwischengespeichertsind,nachdemsichderBenutzerunterVerwendungeinesgültigenActiveDirectory-Kontos angemeldet hat.

Beginnend mit DRAC 5 Version 1.40 verwendet Active Directory-Authentifizierung die auf der Smart Card basierende Zweifaktorauthentifizierung (TFA)

zusätzlichzurBenutzername-Kennwort-KombinationalsgültigeAnmeldeinformationen.

Die Kerberos-AuthentifizierungbeiDRAC5schlägtfehl,wenndieDRAC-ZeitvonderZeitdesDomänen-Controllers abweicht. Es ist ein maximaler Unterschied

von5Minutenzulässig.UmdieerfolgreicheAuthentifizierungzuermöglichen,synchronisierenSiedieServerzeitmitderZeitdesDomänen-Controllers, und

führenSiefürdenDRACdaraufhineinenReset durch.

SiekönnenauchdenfolgendenRACADM-Zeitzonenabweichungsbefehl verwenden, um die Zeit zu synchronisieren:

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset <Abweichungswert>

VoraussetzungenfürdieeinfacheAnmeldungunddieActiveDirectory-

Authentifizierung unter Verwendung der Smart Card

l KonfigurierenSiedenDRAC5fürdieActiveDirectory-Anmeldung. Weitere Informationen finden Sie unter "Active Directory zum Anmelden am DRAC 5

verwenden".

l RegistrierenSiedenDRAC5alsComputerinderActiveDirectory-Root-Domäne.

a. Wechseln Sie zu Remote-Zugriff® Register Konfiguration® Unterregister Netzwerk® Netzwerkeinstellungen.

b. GebenSieeinegültigeIP-AdressefürBevorzugter/Statischer DNS- Server an. Dieser Wert ist die IP-Adresse des DNS als Teil der Root-

Domäne,welchedieActiveDirectory-Konten der Benutzer authentifiziert.

c. WählenSieDRAC auf DNS registrieren aus.

d. GebenSieeinengültigenDNS-Domänennamenan.

Weitere Informationen finden Sie in der DRAC5-Online-Hilfe.

DaessichbeimDRAC5umeinGerätmiteinemNicht-Windows-Betriebssystemhandelt,führenSiedasDienstprogrammktpass - Teil von Microsoft

Windows

- aufdemDomänen-Controller (Active Directory-Server)aus,woSiedenDRAC5einemBenutzerkontoinActiveDirectoryzuordnenmöchten.

Beispiel:VerwendenSiedenfolgendenktpass-Befehl, um die Kerberos-Keytab-Datei zu erstellen:

C:\>ktpass -princ HOST/dracname.domain- name.com@domain-name.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -

out c:\krbkeytab

DerVerschlüsselungstyp,denDRAC5fürdieKerberos-Authentifizierung verwendet, lautet DES-CBC-MD5. Der Principal-Typ lautet KRB5_NT_PRINCIPAL.

Die Eigenschaften des Benutzerkontos, dem der Service-Principal-Name zugeordnet ist, muss die folgenden Kontoeigenschaften aktiviert haben:

l DES-VerschlüsselungstypenfürdiesesKontoverwenden

l Kerberos-Vorauthentifizierung nicht erforderlich

Dieses Verfahren erstellt eine Keytab-Datei,dieSiezumDRAC5hochladenmüssen.

Weitere Informationen zum Dienstprogramm ktpass finden sie auf der Microsoft-Website unter:

http://technet2.microsoft.com/windowsserver/en/library/64042138-9a5a-4981-84e9-d576a8db0d051033.mspx?mfr=true

l Die DRAC 5-Zeit muss mit dem Active Directory-Domänen-Controller synchronisiert sein.

ANMERKUNG: Es wird empfohlen, das neueste ktpass-Dienstprogramm zum Erstellen der Keytab-Datei zu verwenden.

ANMERKUNG: DasKeytabenthälteinenVerschlüsselungsschlüsselundmussaneinemsicherenOrtaufbewahrtwerden.