Users Guide

ManualsBrandsDell ManualsActive System ManagerDRAC5 Version 1.60

201

202

203

204

205

206

207

208

209

210

ZurückzumInhaltsverzeichnis

 Kerberos-Authentifizierung aktivieren

Dell Remote Access Controller 5 Firmware-Version 1.60 Benutzerhandbuch

Voraussetzungen zum Einrichten von Kerberos- Authentifizierung

DRAC5fürKerberos-Authentifizierung konfigurieren

Kerberos ist ein Netzwerk-Authentifizierungsprotokoll,dasSystemenermöglicht,aufsichereWeiseübereinungesichertesNetzwerkzukommunizieren.Dazu

wirddenSystemenerlaubt,ihreAuthentizitätzubeweisen.

MicrosoftWindows2000,WindowsXP,WindowsServer2003,WindowsVistaundWindowsServer2008verwendenKerberosstandardmäßigals

Authentifizierungsmethode.

BeginnendmitDRAC5Version1.40verwendetderDRAC5KerberoszumUnterstützenzweierTypenvonAuthentifizierungsmechanismen– Einfache

Anmeldung und Active Directory-Smart Card-Anmeldung. Bei der einfachen Anmeldung verwendet DRAC 5 die im Betriebssystem zwischengespeicherten

AnmeldeinformationendesBenutzers,nachdemsichderBenutzerunterVerwendungeinesgültigenActiveDirectory-Kontos angemeldet hat.

Beginnend mit DRAC 5 Version 1.40 verwendet Active Directory-Authentifizierung die auf der Smart Card basierende Zweifaktorauthentifizierung (TFA)

zusätzlichzurBenutzername-Kennwort-KombinationalsgültigeAnmeldeinformationen.

Voraussetzungen zum Einrichten von Kerberos- Authentifizierung

l KonfigurierenSieDRAC5fürdieActiveDirectory-Anmeldung. Weitere Informationen finden Sie unter Active Directory zum Anmelden an DRAC 5

verwenden.

l FürActiveDirectory-Benutzer,fürdieSieKerberos-Authentifizierungbereitstellenmöchten,müssenSiediefolgendenEigenschaftenfestlegen:

l DES-VerschlüsselungstypenfürdiesesKontoverwenden

l Keine Kerberos-Vorauthentifizierung vorschreiben

l RegistrierenSieDRAC5alsComputerinderActiveDirectory-Root-Domäne.

a. Wechseln Sie zu Remote-Zugriff® Register Konfiguration® Unterregister Netzwerk® Netzwerkeinstellungen.

b. GebenSieeinegültigeIP-AdressefürBevorzugter/Statischer DNS- Server an. Dieser Wert ist die IP-Adresse des DNS als Teil der Root-

Domäne,welchedieActiveDirectory-Konten der Benutzer authentifiziert.

c. WählenSieDRAC auf DNS registrieren aus.

d. GebenSieeinengültigenDNS-Domänennamenan.

Weitere Informationen finden Sie in der DRAC5-Online-Hilfe.

l Synchronisieren Sie die DRAC 5-Zeiteinstellungen mit denen des Active Directory-Domänen-Controllers. Die Kerberos-AuthentifizierungbeiDRAC5

schlägtfehl,wenndieDRAC-ZeitvonderZeitdesDomänen-Controllersabweicht.EsisteinmaximalerUnterschiedvon5Minutenzulässig.Umdie

erfolgreicheAuthentifizierungzuermöglichen,synchronisierenSiedieServerzeitmitderZeitdesDomänen-ControllersundführendanneinenReset der

DRAC-Zeit durch.

SiekönnenauchdenfolgendenRACADM-Zeitzonenabweichungsbefehl verwenden, um die Zeit zu synchronisieren:

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset Offset-Wert

Offset-WertistdieVerzögerungszeitinMinuten.

l Installieren Sie Microsoft Visual C++ 2005 Redistributable Package auf dem Client-System.

l FührenSiedasDienstprogrammktpass auf dem Active Directory-Server aus.

DRAC5isteinGerätmiteinemNicht-Windows-Betriebssystem.DeshalbmüssenSiedasDienstprogrammktpass (Teil von Microsoft Windows

)

auf dem

Domänen-Controller (Active Directory-Server)ausführen,woSieDRAC5einemBenutzerkontoinActiveDirectoryzuordnenmöchten.FührenSiedazu

folgende Schritte durch:

a. Starten Sie das Active Directory Management-Tool.

b. Klicken Sie mit der rechten Maustaste auf den Ordner Benutzer,wählenSieNeu,undklickenSieanschließendaufBenutzer.

c. Geben Sie den Namen des DRAC5-Hostsein,fürdenSieKerberos- Unterstützunghinzufügenwollen.

d. Speichern Sie den Benutzer.

e. StartenSieeineEingabeaufforderungundgebenSieanschließenddenfolgendenBefehlein:

C:\>ktpass -princ HOST/dracname.domain-name.com@DOMAIN-NAME.COM -mapuser account -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass

password -out c:\krbkeytab

wobei

¡ dracname ist der DNS-Name des DRAC 5.

ANMERKUNG: Stellen Sie sicher, dass der DNS-Name durch den DNS-Serveraufgelöstwird.