Users Guide
返回目录页面
配置 iDRAC6 为单一式登录和智能卡登录
IntegratedDellRemoteAccessController6(iDRAC6)EnterpriseforBladeServers版本 3.2 用户指南
本节介绍如何配置 iDRAC6 使本地用户和 Active Directory 用户进行智能卡登录和使 Active Directory 用户进行单一登录 (SSO)。
iDRAC6 支持基于 Kerberos 的 Active Directory 验证来支持 Active Directory 智能卡和单一 (SSO) 登录。
关于 Kerberos 验证
Kerberos 是一种网络验证协议,使系统能够通过非安全网络安全地通信。通过让系统验证真实性来实现这一目的。为了达到更高的验证标准,iDRAC6 现在支持基于 Kerberos 的 Active
Directory 验证来支持 Active Directory 智能卡和单一 (SSO) 登录。
Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008 将 Kerberos 用作默认验证方法。
iDRAC6 使用 Kerberos 支持两种验证机制 — Active Directory 单一登录和 Active Directory 智能卡登录。对于单一登录,在用户使用有效 Active Directory 帐户登录后 iDRAC6 使
用在操作系统中缓存的用户凭据。
对于 Active Directory 智能卡登录,iDRAC6 使用基于智能卡的双重验证 (TFA) 作为凭据来启用 Active Directory 登录。
如果 iDRAC6 时间与域控制器时间不同,iDRAC6 上的 Kerberos 验证将会失败。最多允许 5 分钟偏差。要进行成功验证,请同步服务器与域控制器的时间,然后重设 iDRAC6。
还可以使用以下 RACADM 时差命令同步时间:
racadm config -g cfgRacTuning -o
cfgRacTuneTimeZoneOffset <偏差值>
Active Directory SSO 和智能卡验证的前提条件
Active Directory SSO 和智能卡验证的前提条件是:
l 配置 iDRAC6 进行 Active Directory 登录。有关详情,请参阅使用 iDRAC6 目录服务。
l 注册 iDRAC6 作为 Active Directory 根域中的计算机。
a. 单击“System” (系统)® “iDRAC Settings” (iDRAC 设置)® “Network/Security” (网络/安全性)® “Network”(网络)子选项卡。
b. 提供有效的首选/备用 DNS 服务器 IP 地址。该值是根域中 DNS 的 IP 地址,验证用户的 Active Directory 帐户。
c. 选择“Register iDRAC6 on DNS”(在 DNS 上注册 iDRAC6)。
d. 提供有效“DNS Domain Name”(DNS 域名)。
e. 验证网络 DNS 配置与 Active Directory DNS 信息匹配。
请参阅 iDRAC6 联机帮助了解有关详情。
l 为支持两种新的验证机制,iDRAC6 支持配置以使自身作为 Windows Kerberos 网络上的加密服务。iDRAC6 上的 Kerberos 配置步骤与配置非 Windows Server Kerberos
服务作为 Windows Server Active Directory 安全原则的步骤一样。
使用 Microsoft 工具 ktpass(由 Microsoft 服务器安装 CD/DVD 提供)创建用户帐户服务主体名称 (SPN) 绑定并将可信信息导出到 MIT 样式的 Kerberos keytab 文件,这
将确定外部用户或系统与 Key Distribution Centre (KDC) 之间的可信关系。该 keytab 文件包含密钥,用于对服务器和 KDC 之间的信息进行加密。ktpass 工具使那些支持
Kerberos 验证的基于 UNIX 的服务能够使用 Windows Server Kerberos KDC 服务提供的交互功能。
从 ktpass 公用程序获得的 keytab 作为文件上载提供给 iDRAC6 并作为网络上的加密服务。
由于 iDRAC6 是一种非 Windows 操作系统设备,在想将 iDRAC6 映射到 Active Directory 用户帐户的域控制器(Active Directory 服务器)上,运行 ktpass 公用程序
(Microsoft Windows 的一部分)。
例如,使用以下 ktpass 命令创建 Kerberos keytab 文件:
C:\> ktpass.exe -princ HTTP/idracname.domainname.com@DOMAINNAME.COM -mapuser DOMAINNAME\username -mapOp set -crypto DES-CBC-MD5 -ptype
KRB5_NT_PRINCIPAL -pass <密码> +DesOnly -out c:\krbkeytab
关于 Kerberos 验证
Active Directory SSO 和智能卡验证的前提条件
使用 Active Directory SSO
配置智能卡验证
在 iDRAC6 中配置智能卡登录
使用 Active Directory 智能卡验证登录 iDRAC6
SSO 常见问题
对 iDRAC6 中的智能卡登录进行故障排除
注:如果发现 keytab 文件创建所针对的 iDRAC6 用户有问题,应创建新的用户和新的 keytab 文件。如果再执行原来创建的 keytab 文件,将不会正确配置。