Users Guide
5. 验证网络 DNS 配置与 Active Directory DNS 信息匹配。
有关各选项的详细信息,请参阅
iDRAC7 联机帮助
。
生成 Kerberos Keytab 文件
要支持 SSO 和智能卡登录验证,iDRAC7 应支持在 Windows Kerberos 网络中启用自身作为 Kerberos 服务的的配
置。iDRAC7 上的 Kerberos 配置涉及的步骤与配置非 Windows Server Kerberos 服务作为 Windows Server Active
Directory 中安全主体的步骤相同。
ktpass
工具(可作为服务器安装 CD/DVD 的组成部分从 Microsoft 获得)用于创建用户帐户的服务主体名称
(SPN) 绑定并将信任信息导出到 MIT 格式的 Kerberos
keytab
文件中,这将允许外部用户或系统与密钥分发中心
(KDC) 之间建立信任关系。keytab 文件包含加密密钥,用于加密服务器和 KDC 之间的信息。ktpass 工具允许支
持 Kerberos 验证的基于 UNIX 的服务,从而可使用 Windows Server Kerberos KDC 服务提供的互操作性功能。有
关 ktpass 公用程序的详细信息,请访问 Microsoft 网站:technet.microsoft.com/en-us/library/cc779157(WS.10).aspx
生成 keytab 文件之前,您必须创建一个 Active Directory 用户帐户与 ktpass 命令的 -mapuser 选项一起使用。
此外
,您必须拥有与上载生成的 keytab 文件使用的 iDRAC7 DNS 名称相同的名称。
使用 ktpass 工具生成 keytab 文件:
1. 在希望将 iDRAC7 映射到 Active Directory 中用户帐户的域控制器(Active Directory 服务器)上运行
ktpass
公用程序。
2. 使用以下 ktpass 命令创建 Kerberos keytab 文件:
C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -
mapuser DOMAINNAME\username -mapOp set -crypto AES256-SHA1 -ptype
KRB5_NT_PRINCIPAL -pass [password] -out c:\krbkeytab
加密类型为 AES256-SHA1。主体类型为 KRB5_NT_PRINCIPAL。服务主体名称映射至其上的用户帐户的属性
应采用“使用 AES 256”加密类型方可启用此帐户属性。
注: 对 iDRAC7name 和 Service Principal Name(服务主体名称)使用小写字母,对域名使用大写字
母,如示例中所示。
3. 运行以下命令:
C:\>setspn -a HTTP/iDRAC7name.domainname.com username
将生成一个 keytab 文件。
注: 如果发现为之创建 keytab 文件的 iDRAC7 用户有任何问题,请创建新用户和新 keytab 文件。如果
再次执行最初创建的同一 keytab 文件,则无法正确配置。
创建 Active Directory 对象并提供权限
对基于 Active Directory 扩展架构的 SSO 登录执行以下步骤:
1. 在 Active Directory 服务器中创建设备对象、权限对象和关联对象。
2. 设置所创建权限对象的访问权限。建议不要提供管理员权限,因为这可能会绕过一些安全检查。
3. 使用关联对象关联设备对象和权限对象。
4. 将之前的 SSO 用户(登录用户)添加至设备对象。
5. 为
验证用户
提供访问权限,以访问创建的关联对象。
相关链接
将 iDRAC7 用户和权限添加到 Active Directory
配置浏览器以启用 Active Directory SSO
本节提供 Internet Explorer 和 Firefox 的浏览器设置以启用 Active Directory SSO。
144