Users Guide
ANMERKUNG: Google Chrome und Safari unterstützen Active Directory für die SSO-Anmeldung nicht.
Zugehöriger Link
Registrieren von iDRAC als einen Computer in der Active Directory-Stammdomäne
Kerberos Keytab-Datei generieren
Active Directory-Objekte erstellen und Berechtigungen bereitstellen
Registrieren von iDRAC als einen Computer in der Active
Directory-Stammdomäne
So registrieren Sie iDRAC in der Active Directory-Stammdomäne:
1 Klicken Sie auf Übersicht > iDRAC-Einstellungen > Netzwerk > Netzwerk.
Die Seite Netzwerk wird angezeigt.
2 Stellen Sie eine gültige IP-Adresse für den bevorzugten/alternativen DNS-Server bereit. Dieser Wert steht für eine gültige IP-Adresse
für den DNS-Server, der Teil der Stammdomäne ist.
3 Wählen Sie iDRAC auf DNS registrieren aus.
4 Geben Sie einen gültigen DNS-Domänennamen an.
5 Stellen Sie sicher, dass die Netzwerk-DNS-Konguration mit den Active Directory-DNS-Informationen übereinstimmt.
Weitere Informationen zu den verfügbaren Optionen nden Sie in der iDRAC-Online-Hilfe.
Kerberos Keytab-Datei generieren
Zur Unterstützung der SSO- und Smart Card-Anmeldungs-Authentizierung unterstützt iDRAC die Konguration zur Selbstaktivierung als
Kerberos-Dienst in einem Windows-Kerberos-Netzwerk. Die Kerberos-Konguration am iDRAC umfasst dieselben Schritte wie die
Konguration eines Kerberos-Dienstes als Sicherheitsprinzipal in Windows Server Active Directory auf einem Nicht-Windows-Server.
Mit dem ktpass-Hilfsprogramm (wird von Microsoft als Teil der Server-Installations-CD/DVD bereitgestellt) werden die Bindungen des
Dienstprinzipalnamens (SPN =Service Principal Name) zu einem Benutzerkonto erstellt und die Vertrauensinformationen in eine MIT-artige
Kerberos-Keytab-Datei exportiert, die eine Vertrauensbeziehung zwischen einem externen Benutzer oder System und dem
Schlüsselverteilungscenter (KDC = Key Distribution Centre) aktiviert. Die Keytab-Datei enthält einen kryptograschen Schlüssel, der zum
Verschlüsseln der Informationen zwischen Server und KDC dient. Das Hilfsprogramm "ktpass" ermöglicht es UNIX-basierten Diensten, die
Kerberos-Authentizierung unterstützen, die von einem Kerberos-KDC-Dienst für Windows Server bereitgestellten
Interoperabilitätsfunktionen zu verwenden. Weitere Informationen zum Dienstprogramm ktpass nden Sie auf der Microsoft-Website unter:
technet.microsoft.com/en-us/library/cc779157(WS.10).aspx
Sie müssen vor dem Erstellen einer Keytab-Datei ein Active Directory-Benutzerkonto zur Benutzung mit der Option -mapuser des Befehls
ktpass einrichten. Außerdem müssen Sie denselben Namen verwenden wie den iDRAC-DNS-Namen, zu dem Sie die erstellte Keytab-
Datei hochladen.
So generieren Sie eine Keytab-Datei mithilfe des ktpass-Tools:
1 Führen Sie das Dienstprogramm ktpass auf dem Domänen-Controller (Active Directory-Server) aus, auf dem Sie den iDRAC einem
Benutzerkonto in Active Directory zuordnen möchten.
2 Verwenden Sie den folgenden ktpass-Befehl, um die Kerberos-Keytab-Datei zu erstellen:
C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -mapuser DOMAINNAME
\username -mapOp set -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass [password] -out c:
\krbkeytab
Der Verschlüsselungstyp lautet AES256-SHA1. Der Prinzipaltyp lautet KRB5_NT_PRINCIPAL. Die Eigenschaften des Benutzerkontos,
dem der Dienstprinzipalname zugeordnet ist, muss „AES 256“-Verschlüsselungstypen für dieses Konto verwenden ordnungsgemäß
aktiviert haben.
iDRAC für die einfache Anmeldung oder Smart Card-Anmeldung
kongurieren 173