Users Guide
170
配置 iDRAC6 进行单一登录或智能卡登录
Active Directory SSO 和智能卡验证的前提条件
Active Directory SSO 和智能卡验证的前提条件是:
•
配置
iDRAC6
进行
Active Directory
登录。有关详情,请参阅第
129
页
上的 “使用
iDRAC6 Directory Service
”。
•
注册
iDRAC6
作为
Active Directory
根域中的计算机。要执行此操作:
a
单击 “
iDRAC Settings
”(
iDRAC
设置)
→
“
Network/Security
”
(网络
/
安全性)选项卡
→
“
Network
”(网络)子选项卡。
b
提供有效的首选
/
备用
DNS
服务器
IP
地址。该值是根域中
DNS
的
IP
地址,验证用户的
Active Directory
帐户。
c
选择 “
Register iDRAC on DNS
”(向
DNS
注册
iDRAC
)。
d
提供有效 “
DNS Domain Name
”(
DNS
域名)。
请参阅
iDRAC6
联机帮助了解有关详情。
•
为支持两种新的验证机制,
iDRAC6
支持配置以使自身作为
Windows
Kerberos
网络上的加密服务。
iDRAC6
上的
Kerberos
配置步骤与配置非
Windows Server Kerberos
服务作为
Windows Server Active Directory
安
全原则的步骤一样。
使用
Microsoft
工具
ktpass
(由
Microsoft
服务器安装
CD/DVD
提供)
创建用户帐户服务主体名称
(SPN)
绑定并将可信信息导出到
MIT
样式
的
Kerberos
keytab
文件,这将确定外部用户或系统与
Key Distribution
Centre (KDC)
之间的可信关系。该
keytab
文件包含密钥,用于对服务
器和
KDC
之间的信息进行加密。
ktpass
工具使那些支持
Kerberos
验证
的基于
UNIX
的服务能够使用
Windows Server Kerberos KDC
服务提供
的交互功能。
从
ktpass
公用程序获得的
keytab
作为文件上载提供给
iDRAC6
并作为
网络上的加密服务。
由于
iDRAC6
是一种非
Windows
操作系统设备,在想将
iDRAC6
映射
到
Active Directory
用户帐户的域控制器 (
Active Directory
服务器)
上,运行
ktpass
公用程序 (
Microsoft Windows
的一部分)。
例如,使用以下
ktpass
命令创建
Kerberos keytab
文件:
C:\>ktpass -princ
HOST/dracname.domainname.com@DOMAINNAME.COM -
mapuser dracname -crypto DES-CBC-MD5 -ptype
KRB5_NT_PRINCIPAL -pass * -out c:\krbkeytab