Users Guide
Regresaralapáginadecontenido
ConfiguracióndeliDRAC6parainiciodesesiónúnicooiniciodesesión
mediante tarjeta inteligente
IntegratedDellRemoteAccessController6(iDRAC6)versión1.7- Guíadelusuario
AcercadelaautentificaciónbasadaenKerberos
RequisitospreviosparaeliniciodesesiónúnicoylaautentificaciónmediantetarjetainteligentedeActiveDirectory
UsodeliniciodesesiónúnicodeMicrosoftActiveDirectory
Configuracióndelaautentificacióndetarjetainteligente
SolucióndeproblemasdeiniciodesesiónmediantetarjetainteligenteeneliDRAC6
Preguntasfrecuentesacercadeliniciodesesiónúnico
EstasecciónbrindainformaciónparaconfigurariDRAC6parainiciarsesiónmediantetarjetainteligenteparausuarioslocalesyusuariosdeActiveDirectory,y
paraeliniciodesesiónúnico(SSO)parausuariosdeActiveDirectory.
iDRAC6admitelaautentificacióndeActiveDirectoryconKerberosparapermitireliniciodesesiónúnico(SSO)ycontarjetainteligenteenActiveDirectory.
AcercadelaautentificaciónbasadaenKerberos
Kerberosesunprotocolodeautentificaciónderedquepermitequelossistemassecomuniquendeformaseguraatravésdeunaredsinprotección.Paraello,
lossistemasdebendemostrarsuautenticidad.Paramantenerlosmásaltosestándaresdecumplimientodelaautentificación,eliDRAC6ahoraadmitela
autentificacióndeActiveDirectoryconKerberosparapermitireliniciodesesiónúnicoycontarjetainteligenteenActiveDirectory.
MicrosoftWindows2000,WindowsXP,WindowsServer2003,WindowsVistayWindowsServer2008usanKerberoscomosumétododeautentificación
predeterminado.
EliDRAC6utilizaKerberosparaadmitirdostiposdemecanismosdeautentificación:eliniciodesesiónúnicoycontarjetainteligenteenActiveDirectory.Para
eliniciodesesiónúnicodeActiveDirectory,eliDRAC6utilizalascredencialesdeusuarioalmacenadasencachéenelsistemaoperativodespuésdequeel
usuariohainiciadosesiónusandounacuentaválidadeActiveDirectory.
ParaeliniciodesesióncontarjetainteligentedeActiveDirectory,eliDRAC6utilizalaautentificacióndedosfactores(TFA)contarjetainteligenteamodode
credencialesparapermitireliniciodesesiónenActiveDirectory.Estaeslafunciónsiguientealaautentificaciónmediantetarjetainteligentelocal.
LaautentificacióndeKerberoseneliDRAC6fallasilahoradeliDRAC6difieredelahoradelcontroladordedominio.Sepermiteunadiferenciamáximade5
minutos.Parapermitirunaautentificacióncorrecta,sincronicelahoradelservidorconlahoradelcontroladordedominioydespuésrestablezca el iDRAC6.
Requisitospreviosparaeliniciodesesiónúnicoylaautentificaciónmediantetarjeta
inteligente de Active Directory
LosrequisitospreviostantoparaeliniciodesesiónúnicocomoparalaautentificaciónmediantetarjetainteligentedeActiveDirectoryson:
l ConfigureeliDRAC6paraeliniciodesesióndeActiveDirectory.Paraobtenermásinformación,verUso del servicio de directorio del iDRAC6.
l RegistreeliDRAC6comoequipoeneldominioraízdeActiveDirectory.Parahaceresto:
a. Haga clic en ConfiguracióndeliDRAC® ficha Red/Seguridad ® subficha Red.
b. IndiqueunadirecciónIPdeservidor DNS alternativo/preferidoqueseaválida.EstevalorseñalaladirecciónIPdelservidorDNSqueforma
partedeldominioraíz,queautentificalascuentasdeActiveDirectorydelosusuarios.
c. Seleccione Registrar el iDRAC en DNS.
d. Indique un nombre de dominio DNSválido.
Consulte la AyudaenlíneadeliDRAC6paraobtenerinformaciónadicional.
l Parapermitirelusodelosdosnuevosmecanismosdeautentificación,eliDRAC6admitelaconfiguraciónparaactivarsecomosifueraunserviciode
KerberosenunaredKerberosdeWindows.LaconfiguracióndeKerberoseneliDRAC6requierelosmismospasosquelaconfiguracióndeunservicio
KerberosexternoaWindowsServercomoprincipalfuncióndeseguridadenWindowsServerActiveDirectory.
La herramienta ktpassdeMicrosoft(proporcionadaporMicrosoftcomopartedelCD/DVDdeinstalacióndelservidor)seutilizaparacrearelenlacedel
nombreprincipaldeservicio(SPN)aunacuentadeusuarioyexportarlainformacióndeconfianzaaunarchivokeytab de Kerberos de tipo MIT, lo que
permiteestablecerunarelacióndeconfianzaentreunusuarioosistemaexternoyelcentrodedistribucióndeclaves(KDC).Elarchivokeytabcontiene
unaclavecriptográficaqueseusaparacifrarlainformaciónentreelservidoryelKDC.Laherramientaktpasspermiteelusodeserviciosbasadosen
UNIXqueadmitenlaautentificaciónKerberosparaejecutarlasfuncionesdeinteroperabilidadproporcionadasporunservicioKerberosKDCdeWindows
Server.
ElarchivokeytabqueseobtienedelautilidadktpassestádisponibleparaeliDRAC6comoarchivodecargayseactivaparaactuarcomosifueraun
servicio de Kerberos en la red.
Como el iDRAC6 es un dispositivo con un sistema operativo que no es Windows, ejecute la utilidad ktpass (que es de Microsoft Windows) en el
controlador de dominio (servidor Active Directory) donde desea asignar el iDRAC6 a una cuenta de usuario de Active Directory.
Por ejemplo, utilice el comando ktpass siguiente para crear el archivo keytab de Kerberos:
C:\>ktpass -princ HOST/dracname.domainname.com@DOMAINNAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out
c:\krbkeytab