Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.3

151

152

153

154

155

156

157

158

159

160

返回目录页

 启用 Kerberos 验证

IntegratedDell™RemoteAccessController6(iDRAC6)1.3版本用户指南

使用智能卡进行单一登录和 Active Directory 验证的前提条件

配置 iDRAC6 为使用智能卡进行单一登录和 Active Directory 验证

配置 Active Directory 用户进行单一登录

使用 Active Directory 用户的单一登录来登录到 iDRAC6

配置 Active Directory 用户进行智能卡登录

Kerberos 是一种网络验证协议，使系统能够通过非安全网络安全地通信。通过让系统验证真实性来实现这一目的。为了达到更高的验证标准，iDRAC6 现在支持基于 Kerberos 的 Active

Directory

验证来支持 Active Directory 智能卡和单一登录。

Microsoft

Windows

2000、Windows XP、Windows Server

2003、Windows Vista

和 Windows Server 2008 使用 Kerberos 作为默认验证方法。

iDRAC6 使用 Kerberos 支持两种验证机制 — Active Directory 单一登录和 Active Directory 智能卡登录。对于单一登录，在用户使用有效 Active Directory 帐户登录后，iDRAC6

使用在操作系统中缓存的用户凭据。

对于 Active Directory 智能卡登录，iDRAC6 使用基于智能卡的双重验证 (TFA) 作为凭据来启用 Active Directory 登录。这是本地智能卡验证随附的功能。

如果 iDRAC6 时间与域控制器时间不同，iDRAC6 上的 Kerberos 验证将会失败。最多允许 5 分钟偏差。要进行成功验证，请同步服务器时间与域控制器时间，然后重设 iDRAC6。

还可以使用以下 RACADM 时差命令同步时间：

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset <偏差值>

使用智能卡进行单一登录和 Active Directory 验证的前提条件

l 配置 iDRAC6 进行 Active Directory 登录。有关详情，请参阅“使用 Microsoft Active Directory 登录到 iDRAC6”。

l 注册 iDRAC6 作为 Active Directory 根域中的计算机。

a. 单击“Remote Access”（远程访问）®“Network/Security”（网络/安全性）选项卡 ®“Network”（网络）子选项卡。

b. 提供有效的首选/备用 DNS 服务器 IP 地址。该值是根域中 DNS 的 IP 地址，验证用户的 Active Directory 帐户。

c. 选择“Register iDRAC on DNS”（向 DNS 注册 iDRAC）。

d. 提供有效“DNS Domain Name”（DNS 域名）。

请参阅 iDRAC6

联机帮助

了解有关详情。

为支持两种新的验证机制，iDRAC6 支持配置以使自身作为 Windows Kerberos 网络上的加密服务。iDRAC6 上的 Kerberos 配置步骤与配置非 Windows Server Kerberos

服务作为 Windows Server Active Directory 安全原则的步骤一样。

使用 Microsoft 工具 ktpass（由 Microsoft 服务器安装 CD/DVD 提供）创建用户帐户服务主体名称 (SPN) 绑定并将信任信息导出到 MIT 样式的 Kerberos keytab 文件，这

将确定外部用户或系统与 Key Distribution Centre (KDC) 之间的信任关系。该 Keytab 文件包含密钥，用于对服务器和 KDC 之间的信息进行加密。ktpass 工具使那些支持

Kerberos 验证的基于 UNIX 的服务能够使用 Windows Server Kerberos KDC 服务提供的互操作功能。

从 ktpass 公用程序获得的 keytab 作为文件上载提供给 iDRAC6 并作为网络上的加密服务。

由于 iDRAC6 是一种非 Windows 操作系统设备，在想将 iDRAC6 映射到 Active Directory 用户帐户的域控制器（Active Directory 服务器）上，运行 ktpass 公用程序

（Microsoft Windows 的一部分）。

例如，使用以下 ktpass 命令创建 Kerberos keytab 文件：

C:\>ktpass -princ HOST/dracname.domainname.com@DOMAINNAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out

c:\krbkeytab

iDRAC6 用于 Kerberos 验证的加密类型是 DES-CBC-MD5。主体类型是 KRB5_NT_PRINCIPAL。服务基本名称映射到的用户帐户的属性应启用以下帐户属性：

l “Use DES encryption types for this account”（为此帐户使用 DES 加密类型）

l “Do not require Kerberos preauthentication”（不要求 Kerberos 预验证）

此步骤会生成一个 Keytab 文件，应将该文件上载到 iDRAC6。

有关 ktpass 公用程序的详情，请参阅 Microsoft 网站：http://technet2.microsoft.com/windowsserver/en/library/64042138-9a5a-4981-84e9-

d576a8db0d051033.mspx?mfr=true

注：建议使用最新的 ktpass 公用程序创建 Keytab 文件。

注：Keytab 包含密钥，因此应保管好。