Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.3
151
152
153
154
155
156
157
158
159
160
ZurückzumInhaltsverzeichnis 
 Kerberos-Authentifizierung aktivieren  
IntegratedDell™RemoteAccessController6(iDRAC6)Version1.3-Benutzerhandbuch 
VoraussetzungenfürdieeinfacheAnmeldungunddieActiveDirectory-Authentifizierung unter Verwendung der Smart Card  
iDRAC6fürdieeinfacheAnmeldungunddieActiveDirectory-Authentifizierung unter Verwendung der Smart Card konfigurieren  
Active Directory-BenutzerfürdieeinfacheAnmeldungkonfigurieren 
UnterVerwendungdereinfachenAnmeldungfürActiveDirectory-Benutzer am iDRAC6 anmelden  
Active Directory-BenutzerfürSmartCard- Anmeldung konfigurieren  
 
Kerberos ist ein Netzwerk-Authentifizierungsprotokoll,dasSystemenermöglicht,aufsichereWeiseübereinungesichertesNetzwerkzukommunizieren.Dazu
wirddenSystemenerlaubt,ihreAuthentizitätzubeweisen.UmdenhöherenAuthentifizierungsstandardsgerechtzuwerden,unterstütztiDRAC6nundie
Kerberos-basierte Active Directory
®
-AuthentifizierungzurUnterstützungvonActiveDirectorySmartCard-Anmeldungen und einfachen Anmeldungen.
 
Microsoft
®
 Windows
®
 2000, Windows XP, Windows Server
®
 2003, Windows Vista
®
 und Windows Server 2008 verwenden Kerberos als Standard-
Authentifizierungsmethode.  
DeriDRAC6verwendetKerberos,umzweiTypenvonAuthentifizierungsmechanismenzuunterstützen:einfacheAnmeldungmitActiveDirectoryundActive
Directory Smart Card-Anmeldungen. Bei der einfachen Anmeldung verwendet der iDRAC6 die Anmeldeinformationen des Benutzers, die im Betriebssystem 
zwischengespeichertwerden,nachdemsichderBenutzermiteinemgültigenActiveDirectory-Konto angemeldet hat. 
Bei der Active Directory Smart Card-Anmeldung verwendet der iDRAC6 die Smart Card-basierte Zweifaktor-Authentifizierung (TFA) als Anmeldeinformationen, 
um eine Active Directory-Anmeldungzuermöglichen.DiesistdieNachfolgefunktionzurlokalenSmartCard-Authentifizierung. 
Die Kerberos-AuthentifizierungamiDRAC6schlägtfehl,wenndieiDRAC6-ZeitvonderZeitdesDomänen-Controllers abweicht. Es ist ein maximaler Unterschied 
von5Minutenzulässig.UmeineerfolgreicheAuthentifizierungzuermöglichen,müssenSiedieServerzeitmitderZeitdesDomänen-Controllers 
synchronisieren und dann den iDRAC6 zurücksetzen. 
SiekönnenauchdenfolgendenRACADM-Zeitzonenabweichungsbefehl verwenden, um die Zeit zu synchronisieren: 
racadm config -g cfgRacTuning -o 
cfgRacTuneTimeZoneOffset <Abweichungswert> 
VoraussetzungenfürdieeinfacheAnmeldungunddieActiveDirectory-
Authentifizierung unter Verwendung der Smart Card  
l KonfigurierenSiedeniDRAC6fürdieActiveDirectory-Anmeldung.WeitereInformationenfindenSieunter"Verwendung des Microsoft Active Directory 
zur Anmeldung beim iDRAC6". 
 
l Registrieren Sie den iDRAC6 als Computer in der Active Directory-Root-Domäne. 
 
a. Klicken Sie auf Remote-Zugriff® Register Netzwerk/Sicherheit Unterregister® Netzwerk.  
 
b. GebenSieeinegültigeIP-AdressefürBevorzugter/Alternativer DNS- Server an. Dieser Wert ist die IP-Adresse des DNS, der Teil der Root- 
Domäneist,welchedieActiveDirectory-Konten der Benutzer authentifiziert.  
 
c. WählenSieiDRAC auf DNS registrieren aus.  
 
d. GebenSieeinengültigenDNS-Domänennamenan.  
 
Weitere Informationen finden Sie in der iDRAC6-Online-Hilfe. 
ZurUnterstützungderzweineuenAuthentifizierungsmechanismenunterstütztiDRAC6dieKonfigurationzurSelbstaktivierungalsKerberos-Dienst in 
einem Windows-Kerberos-Netzwerk. Die Kerberos-Konfiguration am iDRAC6 umfasst dieselben Schritte wie die Konfiguration eines Kerberos-Dienstes als 
Sicherheitsprinzipal in Windows Server Active Directory auf einem Nicht-Windows-Server. 
Mit dem Microsoft-Hilfsprogramm ktpass (wird von Microsoft als Teil der Server-Installations-CD/DVD bereitgestellt) werden die Bindungen des 
Dienstprinzipalnamens (SPN =Service Principal Name) zu einem Benutzerkonto erstellt und die Vertrauensinformationen in eine MIT-artige Kerberos-
Keytab-Dateiexportiert,dieeineVertrauensbeziehungzwischeneinemexternenBenutzeroderSystemunddemSchlüsselverteilungscenter(KDC=Key
Distribution Centre) aktiviert. Die Keytab-DateienthälteinenkryptografischenSchlüssel,derzumVerschlüsselnderInformationenzwischenServerund
KDCdient.DasHilfsprogramm"ktpass"ermöglichtesUNIX-basierten Diensten, die Kerberos-Authentifizierungunterstützen,dievoneinemKerberos-
KDC-DienstfürWindows-ServerbereitgestelltenInteroperabilitätsfunktionenzuverwenden. 
Das vom Dienstprogramm "ktpass" abgerufene Keytab wird dem iDRAC6 als Datei-UploadzurVerfügunggestelltundalsKerberos-Dienst im Netzwerk 
aktiviert. 
DaessichbeimiDRAC6umeinGerätmiteinemNicht-Windows-Betriebssystemhandelt,führenSiedasDienstprogrammktpass (Teil von Microsoft 
Windows)aufdemDomänen-Controller (Active Directory-Server) aus, auf dem Sie den iDRAC6 einem Benutzerkonto in Active Directory zuordnen 
möchten. 
Beispiel:VerwendenSiedenfolgendenktpass-Befehl, um die Kerberos-Keytab-Datei zu erstellen: 
C:\>ktpass -princ HOST/dracname.domainname.com@DOMAINNAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out 
c:\krbkeytab 
DerVerschlüsselungstyp,deniDRAC6fürdieKerberos-Authentifizierung verwendet, lautet DES-CBC-MD5. Der Prinzipaltyp lautet KRB5_NT_PRINCIPAL. 
Die Eigenschaften des Benutzerkontos, dem der Dienstprinzipalname zugeordnet ist, muss die folgenden Kontoeigenschaften aktiviert haben: 
l DES-VerschlüsselungstypenfürdiesesKontoverwenden 
 
l Kerberos-Vorauthentifizierung nicht erforderlich 
 