Users Guide

ZurückzumInhaltsverzeichnis
Kerberos-Authentifizierung aktivieren
IntegratedDell™RemoteAccessController6(iDRAC6)Version1.2-Benutzerhandbuch
VoraussetzungenfürdieeinfacheAnmeldungunddieActiveDirectory-Authentifizierung unter Verwendung der Smart Card
KonfigurierendesiDRAC6fürdieeinfacheAnmeldungunddieActiveDirectory- Authentifizierung unter Verwendung der Smart Card
Active Directory-BenutzerfürdieeinfacheAnmeldungkonfigurieren
UnterVerwendungdereinfachenAnmeldungfürActiveDirectory-Benutzer am iDRAC6 anmelden
Active Directory-BenutzerfürSmartCard- Anmeldung konfigurieren
Kerberos ist ein Netzwerk-Authentifizierungsprotokoll,dasSystemenermöglichtaufsichereWeiseübereinungesichertesNetzwerkzukommunizieren.Dazu
wirddenSystemenerlaubt,ihreAuthentifizierungzubeweisen.UmdenhöherenAuthentifizierungsstandardsgerechtzuwerden,unterstütztiDRAC6nun
Kerberos-basierte Active Directory
®
-AuthentifizierungzurUnterstützungvonActiveDirectorySmartCard-Anmeldungen und einfachen Anmeldungen.
Microsoft
®
Windows
®
2000, Windows XP, Windows Server
®
2003, Windows Vista
®
und Windows Server 2008 verwenden Kerberos als Standard-
Authentifizierungsmethode.
DeriDRAC6verwendetKerberos,umzweiTypenvonAuthentifizierungsmechanismenzuunterstützen:einfacheAnmeldungmitActiveDirectoryundActive
Directory Smart Card-Anmeldungen. Bei der einfachen Anmeldung verwendet der iDRAC6 die Anmeldeinformationen des Benutzers, die im Betriebssystem
zwischengespeichertwerden,nachdemsichderBenutzermiteinemgültigenActiveDirectory-Konto angemeldet hat.
Bei der Active Directory-Smart Card-Anmeldung verwendet iDRAC6 Smart Card-basierte Zweifaktor-Authentifizierung (TFA) als Anmeldeinformationen, um eine
Active Directory-Anmeldungzuermöglichen.DiesistdieNachfolgefunktionzurlokalenSmartCard-Authentifizierung.
Die Kerberos-AuthentifizierungamiDRAC6schlägtfehl,wenndieiDRAC6-ZeitvonderZeitdesDomänen-Controllers abweicht. Es ist ein maximaler Unterschied
von5Minutenzulässig.UmerfolgreicheAuthentifizierungzuermöglichen,synchronisierenSiedieServerzeitmitderZeitdesDomänen-Controllers, und setzen
SiedanndeniDRAC6zurück(reset).
SiekönnenauchdenfolgendenRACADM-Zeitzonenabweichungsbefehl verwenden, um die Zeit zu synchronisieren:
racadm config -g cfgRacTuning -o
cfgRacTuneTimeZoneOffset <Abweichungswert>
VoraussetzungenfürdieeinfacheAnmeldungunddieActiveDirectory-
Authentifizierung unter Verwendung der Smart Card
l KonfigurierenSiedeniDRAC6fürdieActiveDirectory-Anmeldung. Weitere Informationen finden Sie unter "Active Directory zur Anmeldung beim iDRAC6
verwenden".
l Registrieren Sie den iDRAC6 als Computer in der Active Directory-Root-Domäne.
a. Klicken Sie auf das Register Remote-Zugriff® Konfiguration und dann auf das Unterregister ® Netzwerk.
b. GebenSieeinegültigeIP-AdressefürBevorzugter/Alternativer DNS- Server an. Dieser Wert ist die IP-Adresse des DNS, der Teil der Root-
Domäneist,diedieActiveDirectory-Konten der Benutzer authentifiziert.
c. WählenSieiDRAC auf DNS registrieren aus.
d. GebenSieeinengültigenDNS-Domänennamenan.
Weitere Informationen finden Sie in der iDRAC6-Online-Hilfe.
ZurUnterstützungderzweineuenAuthentifizierungsmechanismustypenunterstütztiDRAC6dieKonfigurationzurSelbstaktivierungalsKerberos-Dienst
in einem Windows-Kerberos-Netzwerk. Die Kerberos-Konfiguration am iDRAC6 umfasst dieselben Schritte wie die Konfiguration eines Kerberos-Dienstes
als Sicherheitsprinzipal in Windows Server Active Directory auf einem Nicht-Windows-Server.
Mit dem Microsoft-Hilfsprogramm ktpass (wird von Microsoft als Teil der Server-Installations-CD/DVD bereitgestellt) werden die Bindungen des
Dienstprinzipalnamens (SPN =Service Principal Name) zu einem Benutzerkonto erstellt und die Vertrauensinformationen in eine MIT-artige Kerberos-
Keytab-Dateiexportiert,dieeineVertrauensbeziehungzwischeneinemexternenBenutzeroderSystemunddemSchlüsselverteilungscenter(KDC=Key
Distribution Centre) aktiviert. Die Keytab-DateienthälteinenkryptografischenSchlüssel,derzumVerschlüsselnderInformationenzwischenServerund
KDCdient.DasHilfsprogramm"ktpass"ermöglichtesUNIX-basierten Diensten, die Kerberos-Authentifizierungunterstützen,dievoneinemKerberos-
KDC-DienstfürWindowsServerbereitgestelltenInteroperabilitätsfunktionenzuverwenden.
Das vom Dienstprogramm "ktpass" abgerufene Keytab wird dem iDRAC6 als Datei-UploadzurVerfügunggestelltundalsKerberos-Dienst im Netzwerk
aktiviert.
DaessichbeimiDRAC6umeinGerätmiteinemNicht-Windows-Betriebssystemhandelt,führenSiedasDienstprogrammktpass (Teil von Microsoft
Windows)aufdemDomänen-Controller (Active Directory-Server) aus, auf dem Sie den iDRAC6 einem Benutzerkonto in Active Directory zuordnen
möchten.
Beispiel:VerwendenSiedenfolgendenktpass-Befehl, um die Kerberos-Keytab-Datei zu erstellen:
C:\>ktpass -princ HOST/dracname.domainname.com@DOMAINNAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out
c:\krbkeytab
DerVerschlüsselungstyp,deniDRAC6fürdieKerberos-Authentifizierung verwendet, lautet DES-CBC-MD5. Der Prinzialtyp lautet KRB5_NT_PRINCIPAL. Die
Eigenschaften des Benutzerkontos, dem der Dienstprinzipalname zugeordnet ist, muss die folgenden Kontoeigenschaften aktiviert haben:
l DES-VerschlüsselungstypenfürdiesesKontoverwenden
l Kerberos-Vorauthentifizierung nicht erforderlich