Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.2

141

142

143

144

145

146

147

148

149

150

启用 Kerberos 验证

IntegratedDell™RemoteAccessController6(iDRAC6)1.2版本用户指南

使用 Smart Card 进行单一登录和 Active Directory 验证的前提条件

配置 iDRAC6 成为使用 Smart Card 进行单一登录和 Active Directory 验证

配置 Active Directory 用户进行单一登录

使用 Active Directory 用户的单一登录来登录到 iDRAC6

为 Smart Card 登录配置 Active Directory 用户

Kerberos 是一种网络验证协议，使系统能够通过非安全网络安全地通信。通过让系统验证真实性来实现这一目的。为了达到更高的验证标准，iDRAC6 现在支持基于 Kerberos 的 Active

Directory®验证来支持 Active Directory Smart Card 和单一登录。

Microsoft®Windows®2000、Windows XP、Windows Server®2003、Windows Vista®和 Windows Server 2008 使用 Kerberos 作为默认验证方法。

iDRAC6 使用 Kerberos 支持两种验证机制 — Active Directory 单一登录和 Active Directory Smart Card 登录。对于单一登录，在用户使用有效 Active Directory 帐户登录后

iDRAC6 使用在操作系统中缓存的用户凭据。

对于 Active Directory Smart Card 登录，iDRAC6 使用基于 Smart Card 的双重验证 (TFA) 作为凭据来启用 Active Directory 登录。这是本地 Smart Card 验证随附的功能。

如果 iDRAC6 时间与域控制器时间不同，iDRAC6 上的 Kerberos 验证将会失败。最多允许 5 分钟偏差。要进行成功验证，请同步服务器与域控制器的时间，然后重设 iDRAC6。

还可以使用以下 RACADM 时差命令同步时间：

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset <偏差值>

使用 Smart Card 进行单一登录和 Active Directory 验证的前提条件

l 配置 iDRAC6 进行 Active Directory 登录。有关详情，请参阅"使用 Active Directory 登录到 iDRAC6"。

l 注册 iDRAC6 作为 Active Directory 根域中的计算机。

a. 单击"Remote Access"（远程访问）®"Configuration"（配置）选项卡®"Network"（网络）子选项卡。

b. 提供有效的"Preferred"（首选） /"Alternate DNS Server"（备用 DNS 服务器）IP 地址。该值是根域中 DNS 的 IP 地址，验证用户的 Active Directory 帐

户。

c. 选择"Register iDRAC on DNS"（向 DNS 注册 iDRAC）。

d. 提供有效"DNS Domain Name"（DNS 域名）。

请参阅 iDRAC6

联机帮助

了解有关详情。

为支持两种新的验证机制，iDRAC6 支持配置以使自身作为 Windows Kerberos 网络上的加密服务。iDRAC6 上的 Kerberos 配置步骤与配置非 Windows Server Kerberos

服务作为 Windows Server Active Directory 安全原则的步骤一样。

使用 Microsoft 工具 ktpass（由 Microsoft 服务器安装 CD/DVD 提供）创建用户帐户 Service Principal Name (SPN) 绑定并将可信信息导出到 MIT 样式的 Kerberos

keytab 文件，这将确定外部用户或系统与 Key Distribution Centre (KDC) 之间的可信关系。该 keytab 文件包含加密密钥，用于对服务器和 KDC 间的信息进行加密。ktpass

工具使那些支持 Kerberos 验证的基于 UNIX 的服务能够使用 Windows Server Kerberos KDC 服务提供的交互功能。

从 ktpass 公用程序获得的 keytab 作为文件上载提供给 iDRAC6 并作为网络上的加密服务。

由于 iDRAC6 是一种非 Windows 操作系统设备，在想将 iDRAC6 映射到 Active Directory 用户帐户的域控制器（Active Directory 服务器）上，运行 ktpass 公用程序

（Microsoft Windows 的一部分）。

例如，使用以下 ktpass 命令创建 Kerberos keytab 文件：

C:\>ktpass -princ HOST/dracname.domainname.com@DOMAINNAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out

c:\krbkeytab

iDRAC6 用于 Kerberos 验证的加密类型是 DES-CBC-MD5。基本类型是 KRB5_NT_PRINCIPAL。服务基本名称映射到的用户帐户的属性应启用以下帐户属性：

l 为此帐户使用 DES 加密类型

l 不要求 Kerberos 预验证

此步骤会生成一个 keytab 文件，应将该文件上载到 iDRAC6。

有关 ktpass 公用程序的详情，请参阅 Microsoft 网站：http://technet2.microsoft.com/windowsserver/en/library/64042138-9a5a-4981-84e9-

注：建议使用最新的 ktpass 公用程序创建 Keytab 文件。

注： keytab 包含加密密钥，因此应保管好。