Users Guide
返回目录页
配置智能卡验证
IntegratedDell™RemoteAccessController6(iDRAC6)1.3版本用户指南
在 iDRAC6 中配置智能卡登录
配置本地 iDRAC6 用户进行智能卡登录
配置 Active Directory 用户进行智能卡登录
配置智能卡
使用智能卡登录 iDRAC6
使用 Active Directory 智能卡验证登录 iDRAC6
对 iDRAC6 中的智能卡登录进行故障排除
iDRAC6 启用智能卡登录支持双重验证 (TFA) 功能。
传统的验证架构使用用户名和密码来验证用户。这提供了最低的安全性。
TFA 让用户提供双重验证,提供了更高的安全性,双重验证是您拥有和您知道的东西,您拥有的是物理设备智能卡,您知道的是密码或 PIN 等机密代码。
双重验证要求用户通过提供
两方面
的凭据来验证身份。
在 iDRAC6 中配置智能卡登录
要从基于 Web 的界面启用 iDRAC6 智能卡登录功能,请进入“Remote Access”(远程访问)®“Network/Security”(网络/安全性)®“Smart Card”(智能卡),然后选
择“Enable”(启用)。
如果您:
l 启用或随远程 Racadm 启用,会在随后使用基于 Web 的界面尝试登录时提示进行智能卡登录。
选择“Enable”(启用)后,所有命令行界面 (CLI) 带外接口,比如 Telnet、SSH、Serial、远程 RACADM 和 LAN 上 IPMI 都会禁用,因为这些服务只支持单重验证。
选择“Enable with Remote Racadm”(随远程 Racadm 启 用)后,除远程 RACADM 以外的所有 CLI 带外接口都会禁用。
l
禁用智能卡配置(默认)。此选项禁用 TFA 智能卡登录功能,当您下次登录到 iDRAC6 GUI 时,将提示输入 Microsoft
®
Active Directory
®
或本地登录用户名和密码,这是从
Web 界面出现的默认登录提示。
l “Enable CRL check for Smart Card Logon”(启用 CRL 检查进行智能卡 登 录 ) ,会对从证书撤回列表 (CRL) 分发服务器下载的用户 iDRAC 证书进行检查以在 CRL 中
撤回。
配置本地 iDRAC6 用户进行智能卡登录
您可配置本地 iDRAC6 用户,使用智能卡登录到 iDRAC6。单击“Remote Access”(远程访问)®“Network/Security”(网络/安全性)®“Users”(用户)。
但是,在用户可以使用智能卡登录到 iDRAC6 之前,必须将用户的智能卡证书和可信认证机构 (CA) 证书上载到 iDRAC6。
导出智能卡证书
可以通过使用卡管理软件 (CMS) 将智能卡证书从智能卡导出为 Base64 编码格式的文件来获得用户证书。通常可以从智能卡供应商处获得 CMS。该编码文件应作为用户证书上载到
iDRAC6。颁发智能卡用户证书的可信认证机构也应将 CA 证书导出为 Base64 编码格式的文件。应将此文件作为用户的可信 CA 证书进行上载。用智能卡证书中组成用户基本名 (UPN)
的用户名来配置用户。
例如,如果已给用户 “sampleuser@domain.com”颁发智能卡证书,用户名应配置为 “sampleuser”。
配置 Active Directory 用户进行智能卡登录
要配置 Active Directory 用户使用智能卡登录 iDRAC6,iDRAC6 管理员应配置 DNS 服务器,上载 Active Directory CA 证书到 iDRAC6,并启用 Active Directory 登录。有关如何
设置 Active Directory 用户的详情,请参阅“使用 iDRAC6 Directory Service”。
注:建议 iDRAC6 管理员将“Enable with Remote Racadm”(随远程 Racadm 启 用)设置只用来访问 iDRAC6 基于 Web 的界面来使用远程 RACADM 命令运行
脚本。如果管理员不需要使用远程 RACADM,建议使用智能卡登录的“Enabled”(已启用)设置。启用智能卡登录前,确保完成了 iDRAC6 本地用户配置和/或 Active
Directory 配置。
注:CRL 分发服务器列在用户的智能卡证书中。
注:要登录 iDRAC6,在 iDRAC6 中配置的用户名应与智能卡证书中的用户基本名 (UPN) 大小写一致。