Users Guide

 配置 iDRAC6 为单一式登录和智能卡登录

IntegratedDellRemoteAccessController6(iDRAC6)EnterpriseforBladeServers版本 3.0 用户指南



本节提供了将 iDRAC6 配置为本地用户和 Active Directory 用户智能卡登录及 Active Directory 用户单一登录 (SSO) 的信息。

iDRAC6 支持基于 Kerberos 的 Active Directory 验证来支持 Active Directory 智能卡和单一 (SSO) 登录。

关于 Kerberos 验证

Kerberos 是一种网络验证协议，使系统能够通过非安全网络安全地通信。通过让系统验证真实性来实现这一目的。为了达到更高的验证标准，iDRAC6 现在支持基于 Kerberos 的 Active

Directory 验证来支持 Active Directory 智能卡和单一 (SSO) 登录。

Microsoft Windows 2000、Windows XP、Windows Server 2003、WindowsVista和 Windows Server 2008 将 Kerberos 用作默认的验证方法。

iDRAC6 使用 Kerberos 支持两种验证机制 — Active Directory 单一登录和 Active Directory 智能卡登录。对于单一登录，在用户使用有效 Active Directory 帐户登录后 iDRAC6 使

用在操作系统中缓存的用户凭据。

对于 Active Directory 智能卡登录，iDRAC6 使用基于智能卡的双重验证 (TFA) 作为凭据来启用 Active Directory 登录。

如果 iDRAC6 时间与域控制器时间不同，iDRAC6 上的 Kerberos 验证将会失败。最多允许 5 分钟偏差。要进行成功验证，请同步服务器与域控制器的时间，然后重设 iDRAC6。

还可以使用以下 RACADM 时差命令同步时间：

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset <offset value>

Active Directory SSO 和智能卡验证的前提条件

Active Directory SSO 和智能卡验证的前提条件为：

l 配置 iDRAC6 进行 Active Directory 登录。有关详情，请参阅"使用 iDRAC6 目录服务"。

l 注册 iDRAC6 作为 Active Directory 根域中的计算机。

a. 单击"System"（系统）®"Remote Access"（远程访问）® iDRAC6 ®"Network/Security"（网络/安全性）® "Network"（网络）子选项卡。

b. 提供有效的首选/备用 DNS 服务器 IP 地址。该值是根域中 DNS 的 IP 地址，验证用户的 Active Directory 帐户。

c. 选择"Register iDRAC6 on DNS"（在 DNS 上注册 iDRAC6）。

d. 提供有效"DNS Domain Name"（DNS 域名）。

e. 验证网络 DNS 配置与 Active Directory DNS 信息匹配。

请参阅 iDRAC6 联机帮助了解有关详情。

l 为支持两种新的验证机制，iDRAC6 支持配置以使自身作为 Windows Kerberos 网络上的加密服务。iDRAC6 上的 Kerberos 配置步骤与配置非 Windows Server Kerberos

服务作为 Windows Server Active Directory 安全原则的步骤一样。

使用 Microsoft 工具 ktpass（由 Microsoft 服务器安装 CD/DVD 提供）创建用户帐户服务主体名称 (SPN) 绑定并将可信信息导出到 MIT 样式的 Kerberos keytab 文件，这

将确定外部用户或系统与 Key Distribution Centre (KDC) 之间的可信关系。该 keytab 文件包含密钥，用于对服务器和 KDC 之间的信息进行加密。ktpass 工具使那些支持

Kerberos 验证的基于 UNIX 的服务能够使用 Windows Server Kerberos KDC 服务提供的交互功能。

从 ktpass 公用程序获得的 keytab 作为文件上载提供给 iDRAC6 并作为网络上的加密服务。

由于 iDRAC6 是一种非 Windows 操作系统设备，在想将 iDRAC6 映射到 Active Directory 用户帐户的域控制器（Active Directory 服务器）上，运行 ktpass 公用程序

（Microsoft Windows 的一部分）。

例如，使用以下 ktpass 命令创建 Kerberos keytab 文件：

C:\> ktpass.exe -princ HTTP/idracname.domainname.com@DOMAINNAME.COM -mapuser DOMAINNAME\username -mapOp set -crypto DES-CBC-MD5 -ptype

KRB5_NT_PRINCIPAL -pass <密码> +DesOnly -out c:\krbkeytab

关于 Kerberos 验证

在 iDRAC6 中配置智能卡登录

Active Directory SSO 和智能卡验证的前提条件

使用 Active Directory 智能卡验证登录 iDRAC6

使用 Active Directory SSO

有关 SSO 的常见问题

配置智能卡验证

对 iDRAC6 中的智能卡登录进行故障排除



注：如果发现 keytab 文件创建所针对的 iDRAC6 用户有问题，应创建新的用户和新的 keytab 文件。如果再执行原来创建的 keytab 文件，将不会正确配置。