Users Guide

Regresaralapáginadecontenido
ActivacióndelaautentificaciónconKerberos
GuíadelusuariodeIntegratedDell™RemoteAccessController6(iDRAC6),versión1.3
PrerrequisitosparaeliniciodesesiónúnicoylaautentificacióndeActiveDirectorymediantetarjetainteligente
ConfiguracióndeliDRAC6paraeliniciodesesiónúnicoylaautentificacióndeActiveDirectorymediantetarjetainteligente
ConfiguracióndeusuariosdeActiveDirectoryparaeliniciodesesiónúnico
IniciodesesióneneliDRAC6conlafuncióndeiniciodesesiónúnicoparausuariosdeActiveDirectory
ConfiguracióndeusuariosdeActiveDirectoryparainiciodesesiónmediantetarjetainteligente
Kerberosesunprotocolodeautentificaciónderedquepermitequelossistemassecomuniquendeformaseguraatravésdeunaredsinprotección.Paraello,
lossistemasdebendemostrarsuautenticidad.Paramantenerlosmásaltosestándaresdecumplimientodeautentificación,eliDRAC6ahoraadmitela
autentificacióndeActiveDirectory
®
conKerberosparapermitireliniciodesesiónúnicoycontarjetainteligenteenActiveDirectory.
Microsoft
®
Windows
®
2000, Windows XP, Windows Server
®
2003,WindowsVista
®
yWindowsServer2008utilizanKerberoscomométododeautentificación
predeterminado.
EliDRAC6utilizaKerberosparaadmitirdostiposdemecanismosdeautentificación:eliniciodesesiónúnicoymediantetarjetainteligenteenActiveDirectory.
Paraeliniciodesesiónúnico,eliDRAC6emplealascredencialesdeusuarioalmacenadasencachéenelsistemaoperativoaliniciarsesiónmedianteuna
cuentaválidadeActiveDirectory.
ParaeliniciodesesiónmediantetarjetainteligentedeActiveDirectory,eliDRAC6utilizalaautentificacióndedosfactores(TFA)contarjetainteligenteamodo
decredencialesparapermitireliniciodesesiónenActiveDirectory.Estaeslafunciónsiguientealaautentificaciónmediantetarjetainteligentelocal.
LaautentificacióndeKerberoseneliDRAC6fallarásilahoradeliDRAC6difieredelahoradelcontroladordedominio.Sepermiteunadiferenciamáximade5
minutos.Parapermitirunaautentificacióncorrecta,sincronicelahoradelservidorconlahoradelcontroladordedominioydespuésrestablezca el iDRAC6.
TambiénpuedeutilizarelsiguientecomandodediferenciadezonahorariadeRACADMparasincronizarlahora:
racadm config -g cfgRacTuning -o
cfgRacTuneTimeZoneOffset <valor de diferencia>
PrerrequisitosparaeliniciodesesiónúnicoylaautentificacióndeActiveDirectory
mediante tarjeta inteligente
l ConfigureeliDRAC6paraeliniciodesesióndeActiveDirectory.Paraobtenermásinformación,consulte"Uso de Microsoft Active Directory para iniciar
sesióneneliDRAC6".
l RegistreeliDRAC6comoequipoeneldominioraízdeActiveDirectory.
a. Haga clic en Acceso remoto® Red/Seguridad tab® subficha Red.
b. IndiqueunadirecciónIPdeservidor DNS alternativo/preferidoqueseaválida.EstevalorseñalaladirecciónIPdelservidorDNSqueforma
partedeldominioraíz,queautentificalascuentasdeActiveDirectorydelosusuarios.
c. Seleccione Registrar el iDRAC en DNS.
d. Brinde un nombre de dominio DNSválido.
Consulte la ayudaenlíneadeliDRAC6paraobtenerinformaciónadicional.
Parapermitirelusodelosdosnuevosmecanismosdeautentificación,eliDRAC6admitelaconfiguraciónparaactivarsecomoservicio"kerberizado"en
unaredWindowsconKerberos.LaconfiguracióndeKerberoseneliDRAC6requierelosmismospasosquelaconfiguracióndeunservicioKerberos
externoaWindowsServercomoprincipalfuncióndeseguridadenWindowsServerActiveDirectory.
La herramienta ktpass deMicrosoft(proporcionadaporMicrosoftcomopartedelCD/DVDdeinstalacióndelservidor)seutilizaparacrearelenlacedel
nombreprincipaldeservicio(SPN)conunacuentadeusuarioyexportarlainformacióndeconfianzaaunarchivokeytab de Kerberos de tipo MIT, lo que
permiteestablecerunarelacióndeconfianzaentreunusuarioosistemaexternoyelcentrodedistribucióndeclaves(KDC).Elarchivokeytabcontienen
unaclavecriptográficaqueseusaparacifrarlainformaciónentreelservidoryelKDC.Laherramientaktpasspermiteelusodeserviciosbasadosen
UNIXqueadmitenlaautentificaciónKerberosparaejecutarlasfuncionesdeinteroperabilidadproporcionadasporunservicioKerberosKDCdeWindows
Server.
ElarchivokeytabqueseobtienedelautilidadktpassestádisponibleparaeliDRAC6comoarchivoparacargaryesactivadoparaactuarcomoun
servicio kerberizado en la red.
Como el iDRAC6 es un dispositivo con un sistema operativo ajeno a Windows, ejecute la utilidad ktpass (que es parte de Microsoft Windows) en el
controlador de dominio (servidor Active Directory) donde desea asignar el iDRAC6 a una cuenta de usuario de Active Directory.
Por ejemplo, utilice el comando ktpassacontinuaciónparacrearelarchivokeytabdeKerberos:
C:\>ktpass -princ HOST/dracname.domainname.com@DOMAINNAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out
c:\krbkeytab
EltipodecifradoadmitidoporeliDRAC6paralaautentificaciónconKerberosesDES-CBC-MD5. El tipo principal es KRB5_NT_PRINCIPAL. Las siguientes
propiedadesdelacuentadeusuarioalaqueestáconectadoelnombreprincipaldeserviciodeberánestaractivadas:
l Usar tipos de cifrado DES para esta cuenta
l NorequerirautentificaciónpreviadeKerberos