Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Blade Servers Version 3.3

ZurückzumInhaltsverzeichnis

KonfigurationvoniDRAC6fürEinmaligesAnmeldenundSmart-Card-

Anmeldung

IntegratedDellRemoteAccessController6(iDRAC6)EnterprisefürBladeServerVersion3.2Benutzerhandbuch

DieserAbschnittenthältInformationenzumKonfigurierenvoniDRAC6fürdieSmartCard-Anmeldung von lokalen Benutzern und Active Directory-Benutzern

sowiefürdieeinfacheAnmeldung(SingleSign-On, SSO) von Active Directory-Benutzern.

iDRAC6unterstütztdieKerberos-basierte Active Directory-AuthentifizierungzurUnterstützungderActiveDirectorySmart-Card-Anmeldungen und Einmaligen

Anmeldungen (SSO).

Informationen zur Kerberos-Authentifizierung

Kerberos ist ein Netzwerk-Authentifizierungsprotokoll,dasSystemenermöglicht,aufsichereWeiseübereinungesichertesNetzwerkzukommunizieren.Dazu

wirddenSystemenerlaubt,ihreAuthentizitätzubeweisen.UmdenhöherenAuthentifizierungsstandardsgerechtzuwerden,unterstütztiDRAC6jetzt

Kerberos-basierte Active Directory-AuthentifizierungzurUnterstützungvonActiveDirectorySmart-Card- und Einmaliger Anmeldung (SSO).

MicrosoftWindows2000,WindowsXP,WindowsServer2003,WindowsVistaundWindowsServer2008verwendenKerberosstandardmäßigals

Authentifizierungsmethode.

DeriDRAC6verwendetKerberos,umzweiTypenvonAuthentifizierungsmechanismenzuunterstützen:EinmaligeAnmeldungüberActiveDirectoryundActive

Directory Smart-Card-Anmeldung. Bei der einmaligen Anmeldung verwendet der iDRAC6 die Anmeldeinformationen des Benutzers, die im Betriebssystem

zwischengespeichertwerden,nachdemsichderBenutzermiteinemgültigenActiveDirectory-Konto angemeldet hat.

Bei der Active Directory-Smart Card-Anmeldung verwendet iDRAC6 Smart Card-basierte Zweifaktor-Authentifizierung (TFA) als Anmeldeinformationen, um eine

Active Directory-Anmeldungzuermöglichen.

Die Kerberos-AuthentifizierunganiDRAC6schlägtfehl,wenndieiDRAC6-ZeitvonderZeitdesDomänen-Controllers abweicht. Es ist ein maximaler Unterschied

von5Minutenzulässig.UmerfolgreicheAuthentifizierungzuermöglichen,synchronisierenSiedieServerzeitmitderZeitdesDomänen-Controllers und setzen

SiedanndeniDRAC6zurück(reset).

SiekönnenauchdenfolgendenRACADM-Zeitzonenabweichungsbefehl verwenden, um die Zeit zu synchronisieren:

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset <Abweichungswert>

VoraussetzungenfürdieActiveDirectory-SSO- und -Smart Card-Authentifizierung

SowohlfürdieActiveDirectory-SSO- als auch die Active Directory-Smart Card-AuthentifizierungsindfolgendeMaßnahmenVoraussetzung:

l KonfigurierenSiedeniDRAC6fürdieActiveDirectory-Anmeldung. Weitere Informationen finden Sie unter Verwendung des iDRAC6-Verzeichnisdiensts.

l Registrieren Sie den iDRAC6 als Computer in der Active Directory-Root-Domäne.

a. Klicken Sie auf System® iDRAC-Einstellungen® Netzwerk/Sicherheit® Netzwerk.

b. GebenSieeinegültigeIP-AdressefürBevorzugter/Alternativer DNS- Server an. Dieser Wert ist die IP-Adresse des DNS, der Teil der Root-

Domäneist,diedieActiveDirectory-Konten der Benutzer authentifiziert.

c. WählenSieiDRAC6 auf DNS registrieren aus.

d. GebenSieeinengültigenDNS-Domänennamenan.

e. Stellen Sie sicher, dass die Netzwerk-DNS-Konfiguration mit den Active Directory-DNS-Informationenübereinstimmt.

Weitere Informationen finden Sie in der iDRAC6-Onlinehilfe.

l ZurUnterstützungderzweineuenAuthentifizierungsmechanismustypenunterstütztiDRAC6dieKonfigurationzurSelbstaktivierungalsKerberos-Dienst

in einem Windows-Kerberos-Netzwerk. Die Kerberos-Konfiguration am iDRAC6 umfasst dieselben Schritte wie die Konfiguration eines Kerberos-Dienstes

als Sicherheitsprinzipal in Windows Server Active Directory auf einem Nicht-Windows-Server.

Mit dem Microsoft-Hilfsprogramm ktpass (wird von Microsoft als Teil der Server-Installations-CD/DVD bereitgestellt) werden die Bindungen des

Dienstprinzipalnamens (SPN =Service Principal Name) zu einem Benutzerkonto erstellt und die Vertrauensinformationen in eine MIT-artige Kerberos-

Keytab-Dateiexportiert,dieeineVertrauensbeziehungzwischeneinemexternenBenutzeroderSystemunddemSchlüsselverteilungscenter(KDC=Key

Distribution Centre) aktiviert. Die Keytab-DateienthälteinenkryptografischenSchlüssel,derzumVerschlüsselnderInformationenzwischenServerund

KDC dient. Das Hilfsprogramm „ktpass“ ermöglichtesUNIX-basierten Diensten, die Kerberos-Authentifizierungunterstützen,dievoneinemKerberos-

KDC-DienstfürWindowsServerbereitgestelltenInteroperabilitätsfunktionenzuverwenden.

Die vom Dienstprogramm ktpass abgerufene Keytab wird dem iDRAC6 als Datei-HochladenzurVerfügunggestelltundalsKerberos-Dienst im Netzwerk

aktiviert.

DaessichbeimiDRAC6umeinGerätmiteinemNicht-Windows-Betriebssystemhandelt,führenSiedasDienstprogrammktpass (Teil von Microsoft

Informationen zur Kerberos-Authentifizierung

VoraussetzungenfürdieActiveDirectory-SSO- und -Smart Card-

Authentifizierung

Verwenden des Active Directory SSO

Smart Card-Authentifizierung konfigurieren

Smart Card-Anmeldung am iDRAC6 konfigurieren

Unter Verwendung der Active Directory Smart- Card-Authentifizierung am

iDRAC6 anmelden

HäufiggestellteFragenzurSSO

Fehler bei der Smart-Card-Anmeldung am iDRAC6 beheben