Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.2

141

142

143

144

145

146

147

148

149

150

Regresaralapáginadecontenido

ActivacióndelaautentificaciónconKerberos

GuíadelusuariodeIntegratedDell™RemoteAccessController6(iDRAC6)versión1.2

RequisitospreviosparaeliniciodesesiónúnicoylaautenticacióndeActiveDirectorymediantetarjetainteligente

ConfiguracióndeliDRAC6paraeliniciodesesiónúnicoylaautenticacióndeActiveDirectorymediantetarjetainteligente

ConfiguracióndeusuariosdeActiveDirectoryparaeliniciodesesiónúnico

IniciodesesióneneliDRAC6conlafuncióndeiniciodesesiónúnicoparausuariosdeActiveDirectory

ConfiguracióndeusuariosdeActiveDirectoryparainiciodesesióncontarjetainteligente

Kerberosesunprotocolodeautenticaciónderedquepermitequelossistemassecomuniquendeformaseguraatravésdeunaredsinprotección.Paraello,

lossistemasdebendemostrarsuautenticidad.Paramantenerlosmásaltosestándaresdecumplimientodeautenticación,eliDRAC6ahoraadmitela

autenticacióndeActiveDirectory®conKerberosparapermitireliniciodesesiónúnicoycontarjetainteligenteenActiveDirectory.

Microsoft®Windows 2000, Windows XP, Windows Server®2003,WindowsVista®yWindowsServer2008utilizanKerberoscomométododeautenticación

predeterminado.

EliDRAC6utilizaKerberosparaadmitirdostiposdemecanismosdeautenticación:EliniciodesesiónúnicoycontarjetainteligenteenActiveDirectory.Parael

iniciodesesiónúnico,eliDRAC6emplealascredencialesdeusuarioalmacenadasencachéenelsistemaoperativoaliniciarsesiónmedianteunacuentaválida

de Active Directory.

ParaeliniciodesesióncontarjetainteligentedeActiveDirectory,eliDRAC6utilizalaautenticacióndedosfactores(TFA)contarjetainteligenteamodode

credencialesparapermitireliniciodesesiónenActiveDirectory.Éstaeslafunciónsiguientealaautenticacióncontarjetainteligentelocal.

LaautenticacióndeKerberoseneliDRAC6fallarásilahoradeliDRAC6difieredelahoradelcontroladordedominio.Sepermiteunadiferenciamáximade5

minutos.Parapermitirunaautenticacióncorrecta,sincronicelahoradelservidorconlahoradelcontroladordedominioydespuésrestablezca el iDRAC6.

TambiénpuedeutilizarelsiguientecomandodediferenciadezonahorariadeRACADMparasincronizarlahora:

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset <valor de diferencia>

RequisitospreviosparaeliniciodesesiónúnicoylaautenticacióndeActive

Directory mediante tarjeta inteligente

l ConfigureeliDRAC6paraeliniciodesesióndeActiveDirectory.Paraobtenermásinformación,consulte"UsodeActiveDirectoryparainiciarsesiónenel

iDRAC6".

l RegistreeliDRAC6comoequipoeneldominioraízdeActiveDirectory.

a. Haga clic en Acceso remoto® lengüetaConfiguración® sublengüetaRed.

b. IndiqueunadirecciónIPdeservidor DNS alternativo/preferidoqueseaválida.EstevalorseñalaladirecciónIPdelservidorDNSqueforma

partedeldominioraíz,queautenticalascuentasdeActiveDirectorydelosusuarios.

c. Seleccione Registrar el iDRAC en DNS.

d. Brinde un nombre de dominio DNSválido.

Consulte la ayudaenlíneadeliDRAC6paraobtenerinformaciónadicional.

Parapermitirelusodelosdosnuevosmecanismosdeautenticación,eliDRAC6admitelaconfiguraciónparaactivarsecomoservicio"kerberizado"en

unaredWindowsconKerberos.LaconfiguracióndeKerberoseneliDRAC6requierelosmismospasosquelaconfiguracióndeunservicioKerberos

externoaWindowsServercomoprincipalfuncióndeseguridadenWindowsServerActiveDirectory.

La herramienta ktpassdeMicrosoft(proporcionadaporMicrosoftcomopartedelCD/DVDdeinstalacióndelservidor)seutilizaparacrearelenlacedel

nombreprincipaldeservicio(SPN)conunacuentadeusuarioyexportarlainformacióndeconfianzaaunarchivokeytab de Kerberos de tipo MIT, lo que

permiteestablecerunarelacióndeconfianzaentreunusuarioosistemaexternoyelcentrodedistribucióndeclaves(KDC).Elarchivokeytabcontienen

unaclavecriptográficaqueseusaparacifrarlainformaciónentreelservidoryelKDC.Laherramientaktpasspermiteelusodeserviciosbasadosen

UNIXqueadmitenlaautenticaciónKerberosparaejecutarlasfuncionesdeinteroperabilidadproporcionadasporunservicioKerberosKDCdeWindows

Server.

ElarchivokeytabqueseobtienedelautilidadktpassestádisponibleparaeliDRAC6comoarchivoparacargaryesactivadoparaactuarcomoun

servicio kerberizado en la red.

Como el iDRAC6 es un dispositivo con un sistema operativo que no es Windows, ejecute la utilidad ktpass (que es parte de Microsoft Windows) en el

controlador de dominio (servidor Active Directory) donde desea asignar el iDRAC6 a una cuenta de usuario de Active Directory.

Por ejemplo, utilice el comando ktpassacontinuaciónparacrearelarchivokeytabdeKerberos:

C:\>ktpass -princ HOST/dracname.domainname.com@DOMAINNAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out

c:\krbkeytab

EltipodecifradoadmitidoporeliDRAC6paralaautenticaciónconKerberosesDES-CBC-MD5. El tipo principal es KRB5_NT_PRINCIPAL. Las siguientes

propiedadesdelacuentadeusuarioalaqueestáconectadoelnombreprincipaldeserviciodeberánestaractivadas:

l Usar tipos de cifrado DES para esta cuenta

l NorequerirautenticaciónpreviadeKerberos

NOTA: Se recomienda usar la utilidad ktpassmásrecienteparacrearelarchivokeytab.