Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.3

241

242

243

244

245

246

247

248

249

250

racadm config -g cfgldap -o cfgLdapBaseDN dc=common,dc=com

racadm config -g cfgldap -o cfgLdapCertValidationenable 0

racadm config -g cfgldaprolegroup -i 1 -o cfgLdapRoleGroupDN 'cn=everyone,ou=groups,dc=common,dc=com'

racadm config -g cfgldaprolegroup -i 1 -o cfgLdapRoleGroupPrivilege 0x0001

使用以下命令查看设置

racadm getconfig -g cfgldap

racadm getconfig -g cfgldaprolegroup -i 1

使用 RACADM 确认是否能登录

racadm -r <iDRAC6–IP> -u user.1 -p password getractime

检测 BindDN 选项的其它设置

racadm config -g cfgldap -o cfgLdapBindDN “cn=idrac_admin,ou=iDRAC_admins,ou=People,dc=common,dc=com“

racadm config -g cfgldap -o cfgLdapBindPassword password

关于 Active Directory 的常见问题

在 Windows Server 2008 R2 x64 上 SSO 登录失败。应怎样做才能使 SSO 在 Windows Server 2008 R2 x64 上成功。



1. 为域控制器和域策略执行 http://technet.microsoft.com/en-us/library/dd560670(WS.10).aspx 中介绍的操作。将计算机配置为使用 DES-CBC-MD5 加密方案。

这些设置可能会影响与环境中的客户端计算机或服务和应用程序的兼容性。“Configure encryption types allowed for Kerberos”（配置 Kerberos 允许的加密类型）策

略设置位于 Computer Configuration\Security Settings\Local Policies\Security Options。



2. 域客户端必须具有更新的 GPO。在命令行处，键入 gpupdate /force 并用 klist purge 命令删除旧 Keytab。



3. 更新 GPO 后，创建新 Keytab。



4. 上载 Keytab 到 iDRAC6。

SSO 现在可用于 iDRAC6。

我的 Active Directory 登录失败。我该如何排除此问题？

iDRAC6 在基于 Web 的界面中提供了一个诊断工具。从基于 Web 的界面以拥有管理员权限的本地用户身份登录。单击“Remote Access”（远程访问）

®“Network/Security”（网络/安全性）选项卡 ®“Directory Service”（目录服务）® Microsoft Active Directory。滚动到“Active Directory Configuration and

Management”（Active Directory 配置和管理）页底部，然后单击“Test Settings”（检测设置）。输入检测用户名和密码，然后单击“ Start Test”（开始检测）。iDRAC6 会

逐步运行检测并显示每个步骤的结果。还会记录详细的检测结果，以帮助您解决问题。返回“Active Directory Configuration and Management”（Active Directory 配置和管

理）页：滚动到页面底部，然后单击“Configure Active Directory”（配置 Active Directory）以更改配置并再次运行检测，直到检测用户通过授权步骤为止。

我启用了证书验证，但我的 Active Directory 登录失败了。我从 GUI 运行诊断，检测结果显示以下错误信息：

ERROR: Can't contact LDAP server, error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please check the correct

Certificate Authority (CA) certificate has been uploaded to iDRAC.（错误：不能联系 LDAP 服务器，错误：14090086：SSL 例程：

SSL3_GET_SERVER_CERTIFICATE：证书验证失败：请检查正确的认证机构 (CA) 证书是否已上载到 iDRAC。）另请检查 iDRAC 日期是否在证书有效期内，且

iDRAC 中配置的域控制器地址是否与目录服务器证书的主题相符。

可能出现了什么问题，我应该如何解决？

如果启用证书验证，则 iDRAC6 在与目录服务器建立 SSL 连接时会使用上载的 CA 证书验证目录服务器证书。证书验证失败的最常见原因是：



1. iDRAC6 日期不在服务器证书或 CA 证书的有效期内。请检查 iDRAC6 时间和证书的有效期。



2. 在 iDRAC6 中配置的域控制器地址与目录服务器证书的主题或主题备用名称不相符。如果使用的是 IP 地址，请阅读以下问题和解答。如果使用的是 FQDN，请确保使用的是域控制

器的 FQDN，而不是域的 FQDN，例如，是 servername.example.com，而不是 example.com。

我使用 IP 地址作为域控制器地址，未能通过证书验证。问题在哪里？

检查域控制器证书的“Subject”（主题）或“Subject Alternative Name”（主题备用名称）字段。通常，Active Directory 在域控制器证书的“Subject”（主题）或“Subject

Alternative Name”（主题备用名称）字段中使用域控制器的主机名，而不是 IP 地址。可以使用多种方法解决此问题：



1. 在 iDRAC6 上，将域控制器的主机名 (FQDN) 配置为

域控制器地址

，以与服务器证书的主题或主题备用名称相符。



注：将 iDRAC6 配置为使用域名服务器，用于解析 iDRAC6 配置为在 LDAP 服务器地址中使用的 LDAP 服务器主机名。主机名必须匹配 LDAP 服务器证书中的 “CN“ 或

“Subject”（主题）。