Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.1
171
172
173
174
175
176
177
178
179
180
Retourálapagedusommaire 
Activation de l'authentification Kerberos  
Guided'utilisationd'IntegratedDell™RemoteAccessController6(iDRAC6),version1.1 
Critèresrequispourlesauthentificationsd'ouverturedesessionindividuelleetActiveDirectoryaveccarteàpuce 
Configurationd'iDRAC6pourlesauthentificationsdesouverturesdesessionindividuelleetActiveDirectoryaveccarteàpuce 
Configuration des utilisateurs Active Directory pour l'ouverture de session individuelle  
Connexionàl'iDRAC6vial'ouverturedesessionindividuellepourlesutilisateursActiveDirectory 
ConfigurationdesutilisateursActiveDirectorypourl'ouverturedesessionparcarteàpuce 
 
Kerberosestunprotocoled'authentificationderéseauquipermetauxsystèmesdecommuniquersansdangersurunréseauouvert.Pourcela,ilpermetaux
systèmesdeprouverleurauthenticité.Pourseconformerauxnormesdemiseenapplicationd'authentificationrenforcées,l'iDRAC6prenddésormaisen
charge l'authentification Active Directory
®
 KerberosafindepouvoiraccepterlesouverturesdesessionindividuellesetparcarteàpuceActiveDirectory.
 
Microsoft
®
 Windows
®
 2000, Windows XP, Windows Server
®
 2003,WindowsVista
®et 
WindowsServer2008utilisentàKerberoscommeméthode
d'authentificationpardéfaut. 
L'iDRAC6utiliseKerberospourprendreenchargedeuxtypesdemécanismesd'authentification:lesouverturesdesessionindividuellesActiveDirectoryetles
ouverturesdesessionparcarteàpuceActiveDirectory.Pourl'ouverturedesessionindividuelle,l'iDRAC6utiliselesréférencesd'utilisateurmisesencache
danslesystèmed'exploitationaprèsquel'utilisateuraouvertunesessionviauncompteActiveDirectoryvalide. 
Pourl'ouverturedesessionparcarteàpuceActiveDirectory,l'iDRAC6utilisel'authentificationbifactorielle(TFA)s'articulantautourdelacarteàpucecomme
référencespouractiveruneouverturedesessionActiveDirectory.Voicilafonctionnalitédesuividel'authentificationparcarteàpucelocale. 
L'authentificationKerberossurl'iDRAC6échouesil'heuredel'iDRAC6diffèredecelleducontrôleurdedomaine.Undécalagemaximumde5minutesest
autorisé.Pourquel'authentificationréussisse,synchronisezl'heureduserveuraveccelleducontrôleurdedomaine,puisréinitialisez l'iDRAC6. 
VouspouvezégalementutiliserlacommandededécalagedufuseauhoraireRACADMsuivantepoursynchroniserl'heure: 
racadm config -g cfgRacTuning -o  
cfgRacTuneTimeZoneOffset<valeurdedécalage> 
Critèresrequispourlesauthentificationsd'ouverturedesessionindividuelleet
ActiveDirectoryaveccarteàpuce 
l Configurez l'iDRAC6 en vue de l'ouverture de session Active Directory. Pour plus d'informations, voir «Utilisation d'Active Directory pour ouvrir une 
session iDRAC6». 
 
l Enregistrez l'iDRAC6 comme un ordinateur dans le domaine racine Active Directory. 
 
a. Cliquez sur Accèsdistant® Configuration ® sous-onglet Réseau.  
 
b. Fournissez une adresse IP valide pour le serveurDNSpréféré/auxiliaire. Cette valeur est l'adresse IP du DNS faisant partie du domaine racine 
et authentifiant les comptes Active Directory des utilisateurs.  
 
c. SélectionnezEnregistrerl'iDRACauprèsduDNS. 
 
d. Fournissez un Nom de domaine DNS valide.  
 
Consultez l'aide en ligne d'iDRAC6 pour plus d'informations. 
Pourprendreenchargelesdeuxnouveauxtypesdemécanismesd'authentification,l'iDRAC6endosselaconfigurationpoursedéfinirentantqueservice
«kerberisé»surunréseauWindowsKerberos.LaconfigurationKerberossurl'iDRAC6requiertlesmêmesétapesquecelleseffectuéespourla
configurationd'unserviceautrequeWindowsServerKerberosentantqueprincipedesécuritéauseindeWindowsServerActiveDirectory. 
L'outil ktpassMicrosoft(fourniparMicrosoftsurleCD/DVDd'installationduserveur)sertàcréer les liaisons du nom du service principal (SPN) sur un 
compted'utilisateuretàexporterlesinformationsd'approbationdansunfichierkeytabKerberosdestyleMIT,permettantd'établirainsiunerelationde
confianceentreunutilisateurousystèmeexterneetleKDC(KeyDistributionCentre).Lefichierkeytabcontientuneclédecryptagequisertàcrypterles
informations entre le serveur et le KDC. L'outil ktpass permet aux services s'articulant autour d'UNIX qui prennent en charge l'authentification Kerberos 
d'utiliserlesfonctionnalitésd'interopérabilitéfourniesparunserviceKDCWindowsServerKerberos. 
Lefichierkeytabgénéréparl'utilitairektpassestmisàladispositiond'iDRAC6entantquetéléversementdefichieretestactivépourdevenirunservice
«kerberisé»surleréseau. 
Étantdonnéquel'iDRAC6estunpériphériqueavecunsystèmed'exploitationautrequeWindows,exécutezl'utilitairektpass (qui fait partie de Microsoft 
Windows)surlecontrôleurdedomaine(serveurActiveDirectory)oùvoussouhaitezétablirunecorrespondanceentrel'iDRAC6etuncompted'utilisateur
dans Active Directory.  
Par exemple, utilisez la commande ktpasssuivantepourcréerlefichierkeytabKerberos: 
C:\>ktpass -princ HOST/dracname.domainname.com@DOMAINNAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out 
c:\krbkeytab 
Le type de cryptage qu'iDRAC6 utilise pour l'authentification Kerberos est DES-CBC-MD5.LetypeprincipalestKRB5_NT_PRINCIPAL.Lespropriétés
suivantesducompteutilisateurauquellenomprincipalduserviceestmappédoiventêtreactivées: 
l Utiliser les types de cryptage DES pour ce compte 
 
l Nepasdemanderlapré-authentification Kerberos 
 