Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Blade Servers Version 2.1

151

152

153

154

155

156

157

158

159

160

Retouràlapagedusommaire

 Activation de l'authentification Kerberos

Guided'utilisationduIntegratedDell™RemoteAccessController6(iDRAC6)EnterpriseforBladeServers,version2.1

Critèresrequispourlesauthentificationsd'ouverturedesessionindividuelleetActiveDirectoryaveccarteàpuce

Configurationd'iDRAC6pourlesauthentificationsdesouverturesdesessionindividuelleetActiveDirectoryaveccarteàpuce

Configuration des utilisateurs Active Directory pour l'ouverture de session individuelle

Connexionàl'iDRAC6vial'ouverturedesessionindividuellepourlesutilisateursActiveDirectory

ConfigurationdesutilisateursActiveDirectorypourl'ouverturedesessionparcarteàpuce

Scénariosd'ouverturedesessionavecTFAetSSO

Kerberosestunprotocoled'authentificationderéseauquipermetauxsystèmesdecommuniquersansdangersurunréseauouvert.Pourcela,ilpermetaux

systèmesdeprouverleurauthenticité.Pourseconformerauxnormesdemiseenapplicationd'authentificationrenforcées,l'iDRAC6prenddésormaisen

charge l'authentification Active Directory®Kerberosafindepouvoiraccepterlesouverturesdesessionindividuelles(SSO)etparcarteàpuceActiveDirectory.

Microsoft®Windows®2000, Windows XP, Windows Server®2003,WindowsVista®

WindowsServer2008utilisentKerberoscommeméthode

d'authentificationpardéfaut.

L'iDRAC6utiliseKerberospourprendreenchargedeuxtypesdemécanismesd'authentification:lesouverturesdesessionindividuellesActiveDirectoryetles

ouverturesdesessionparcarteàpuceActiveDirectory.Pourl'ouverturedesessionindividuelle,l'iDRAC6utiliselesréférencesd'utilisateurmisesencache

danslesystèmed'exploitationaprèsquel'utilisateuraouvertunesessionviauncompteActiveDirectoryvalide.

Pourl'ouverturedesessionparcarteàpuceActiveDirectory,l'iDRAC6utilisel'authentificationbifactorielle(TFA)s'articulantautourdelacarteàpucecomme

référencespouractiveruneouverturedesessionActiveDirectory.

L'authentificationKerberossurl'iDRAC6échouesil'heuredel'iDRAC6diffèredecelleducontrôleurdedomaine.Undécalagemaximumde5minutesest

autorisé.Pourquel'authentificationréussisse,synchronisezl'heureduserveuraveccelleducontrôleurdedomaine,puisréinitialisez l'iDRAC6.

VouspouvezégalementutiliserlacommandededécalagedufuseauhoraireRACADMsuivantepoursynchroniserl'heure:

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset<valeurdedécalage>

Critèresrequispourlesauthentificationsd'ouverturedesessionindividuelleet

ActiveDirectoryaveccarteàpuce

l Configurez l'iDRAC6 en vue de l'ouverture de session Active Directory.

l Enregistrez l'iDRAC6 comme un ordinateur dans le domaine racine Active Directory.

a. Cliquez sur Système®Accèsàdistance® iDRAC6® Réseau/Sécurité® , puis sur le sous-ongletRéseau.

b. Fournissez une adresse IP valide pour le serveurDNSpréféré/auxiliaire. Cette valeur est l'adresse IP du DNS faisant partie du domaine racine

etauthentifiantlescomptesActiveDirectorydesutilisateurs.

c. SélectionnezEnregistrerl'iDRAC6auprèsduDNS.

d. Spécifiezunnom de domaine DNS valide.

e. VérifiezquelaconfigurationDNSduréseaucorrespondauxinformationsDNSd'ActiveDirectory.

Consultez l'aide en ligne d'iDRAC6 pour plus d'informations.

Pourprendreenchargelesdeuxnouveauxtypesdemécanismesd'authentification,l'iDRAC6endosselaconfigurationpoursedéfinirentantqueservice

«kerberisé»surunréseauWindowsKerberos.LaconfigurationKerberossurl'iDRAC6requiertlesmêmesétapesquecelleseffectuéespourla

configurationd'unserviceautrequeWindowsServerKerberosentantqueprincipedesécuritéauseindeWindowsServerActiveDirectory.

L'outil ktpass Microsoft (fourni par Microsoft sur le CD/DVD d'installationduserveur)sertàcréerlesliaisonsdunomduserviceprincipal(SPN)surun

compted'utilisateuretàexporterlesinformationsd'approbationdansunfichierkeytabKerberosdestyleMIT,permettantd'établirainsiunerelationde

confianceentreunutilisateurousystèmeexterneetleKDC(KeyDistributionCentre).Lefichierkeytabcontientuneclédecryptagequisertàcrypterles

informations entre le serveur et le KDC. L'outil ktpass permet aux services s'articulant autour d'UNIX qui prennent en charge l'authentification Kerberos

d'utiliserlesfonctionnalitésd'interopérabilitéfourniesparunserviceKDCWindowsServerKerberos.

Lefichierkeytabgénéréparl'utilitairektpassestmisàladispositiond'iDRAC6entantquetéléversementdefichieretestactivépourdevenirunservice

«kerberisé»surleréseau.

Étantdonnéquel'iDRAC6estunpériphériqueavecunsystèmed'exploitationautrequeWindows,exécutezl'utilitairektpass (qui fait partie de Microsoft

Windows)surlecontrôleurdedomaine(serveurActiveDirectory)oùvoussouhaitezétablirunecorrespondanceentrel'iDRAC6etuncompted'utilisateur

dans Active Directory.

Par exemple, utilisez la commande ktpasssuivantepourcréerlefichierkeytabKerberos:

C:\> ktpass.exe -princ HTTP/idracname.domainname.com@DOMAINNAME.COM -mapuser DOMAINNAME\username -mapOp set -crypto DES-CBC-MD5 -ptype

KRB5_NT_PRINCIPAL -pass <mot de passe> +DesOnly -out c:\krbkeytab

Unefoisl'exécutiondescommandesci-dessusréussie,exécutezlacommandesuivante:

REMARQUE:Encasdeproblèmesavecl'utilisateuriDRAC6pourlequellefichierkeytabestcréé,créezunnouvelutilisateuretunnouveaufichier

keytab.Silefichierkeytabinitialementcrééestexécutéànouveau,ilneconfigurerapascorrectement.