Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.0

391

392

393

394

395

396

397

398

399

400

配置 Smart Card 验证

集成 Dell™RemoteAccess控制器 6 (iDRAC6) 版本1.0 用户指南

在 iDRAC6 中配置 Smart Card 登录

配置本地 iDRAC6 用户进行 Smart Card 登录

为 Smart Card 登录配置 Active Directory 用户

配置 Smart Card

使用 Smart Card 登录 iDRAC6

使用 Active Directory Smart Card 身份验证登录 iDRAC6

对 iDRAC6 中的 Smart Card 登录进行故障排除

iDRAC6 支持双重验证 (TFA) 功能，是通过启用Smart Card 登录实现。

传统的验证模式使用用户名和密码来验证用户。这提供了最低的安全性。

另一方面，TFA 让用户提供双重验证，提供了更高的安全性，双重验证是您拥有和您知道的东西，您拥有的是物理设备 Smart Card，您知道的是密码或 PIN 等机密代码。

双重验证要求用户通过提供

两方面

的凭据来验证身份。

在 iDRAC6 中配置 Smart Card 登录

要从基于 Web 的界面启用 iDRAC6 Smart Card 登录功能，请进入远程访问® 配置® Smart Card ，然后选择启用。

如果您：

l 启用或随远程 Racadm 启用后，会在随后使用基于 Web 的界面尝试登录时提示进行 Smart Card 登录。

选择启用后，所有命令行界面 (CLI) 带外接口，比如 telnet、SSH、串行、远程 racadm 和 IPMI over LAN 都会禁用，因为这些服务只支持单重验证。

选择随远程 Racadm 启用后，所有 CLI 带外接口，除远程 racadm 以外，都会禁用。

禁用 Smart Card 配置（默认）。此选项禁用 TFA Smart Card 登录功能，当您下次登录到 iDRAC6 GUI时，将提示您输入 Microsoft

Active Directory

或本地登录用户名

和密码，这是从 Web 界面的默认登录提示。

l 启用 CRL 检查进行 Smart Card 登录，会对从认证撤回表 (CRL) 分发服务器下载的用户 iDRAC 认证进行检查以在 CRL 中撤回。

配置本地 iDRAC6 用户进行 Smart Card 登录

您可配置本地 iDRAC6 用户，使用 Smart Card 登录到 iDRAC6。导航到 Remote Access® "Configuration"（配置）® "Users"（用户）。

不过，在用户可以使用 Smart Card 登录到 iDRAC6 前，必须将用户的 Smart Card 认证和可信认证机构 (CA) 认证上载到 iDRAC6。



导出 Smart Card 认证

可以通过使用卡管理软件 (CMS) 将 Smart Card 认证从 Smart Card 导出为 Base64 编码格式的文件来获得用户认证。通常可以从 Smart Card 供应商处获得 CMS。该编码文件应

作为用户认证上载到 iDRAC6。颁发Smart Card 用户认证的可信认证机构也应将 CA 认证导出为 Base64 编码格式的文件。应将此文件作为用户的可信 CA认证进行上载。用 Smart

Card 认证中组成用户基本名 (UPN) 的用户名来配置用户。

例如，如果已颁发给用户 Smart Card 认证，"sampleuser@domain.com"，用户名应配置为 "sampleuser"。

为 Smart Card 登录配置 Active Directory 用户

要配置 Active Directory 用户使用 Smart Card 登录 iDRAC6， iDRAC6 管理员应配置 DNS 服务器，上载 Active Directory CA 认证到 iDRAC6，并启用 Active Directory 登录。

请参阅 "将 iDRAC6 用于 Microsoft Active Directory" 详细了解如何设置 Active Directory 用户。

注： Dell 建议 iDRAC6 管理员将随远程 Racadm 启用设置只用来访问 iDRAC6 基于 Web 的界面来使用远程 RACADM 命令运行脚本。如果管理员不需要使用远程

RACADM，Dell 会建议 Smart Card 登录的已启用设置。另外，应确保启用 SmartCard登录前完成 iDRAC6 本地用户配置和／或 Active Directory 配置。

注： CRL 分发服务器列在用户的 Smart Card 认证中。

注：要登录 iDRAC6，在 iDRAC6 中配置的用户名应与 Smart Card 认证中的用户基本名 (UPN) 大小写一致。

注：如果 Smart Card 用户在 Active Directory 内，则需要 Active Directory 密码连同 SC PIN。在以后的版本中，可能不需要 Active Directory 密码。