Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC9 - 3.0x Series

131

132

133

134

135

136

137

138

139

140

ktpass 工具（可从 Microsoft 作为服务器安装 CD/DVD 的一部分获取）用于创建绑定到用户帐户的服务主体名称 (SPN) 并将信任信

息导出到 MIT 类型的 Kerberos keytab 文件，从而在外部用户或系统与 Key Distribution Centre (KDC) 之间建立信任关系。该 keytab

文件包含密钥，用于对服务器和 KDC 之间的信息进行加密。ktpass 工具允许支持 Kerberos 身份验证的基于 UNIX 的服务使用

Windows Server Kerberos KDC 服务提供的互操作性功能。有关 ktpass 公用程序的更多信息，请参阅 Microsoft 网站：

technet.microsoft.com/en-us/library/cc779157(WS.10).aspx

生成 keytab 文件之前，您必须创建一个 Active Directory 用户帐户，以便与 ktpass 命令的 -mapuser 选项配合使用。此外，您必须

具有与您将生成的 keytab 文件上传到的 iDRAC DNS 名称相同的名称。

使用 ktpass 工具生成 keytab 文件：

1. 在希望将 iDRAC 映射到 Active Directory 中用户帐户的域控制器（Active Directory 服务器）上运行 ktpass 公用程序。

2. 使用以下 ktpass 命令创建 Kerberos keytab 文件：

C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -mapuser DOMAINNAME

\username -mapOp set -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass [password] -out

c:\krbkeytab

加密类型为 AES256-SHA1。主体类型是 KRB5_NT_PRINCIPAL。服务主体名称将映射到的用户帐户的属性必须已启用 Use AES

256 encryption types for this account（使用此帐户的 AES 256 加密类型）属性。

注: 对于 iDRACname 和 Service Principal Name（服务主体名称），请使用小写字母。在域名中使用大写字母，如示例中

所示。

3. 运行以下命令：

C:\>setspn -a HTTP/iDRACname.domainname.com username

将生成一个 keytab 文件。

注: 如果您发现为其创建 keytab 文件 iDRAC 用户有任何问题，请创建新用户和新的 keytab 文件。如果再次执行最初创建的

同一 keytab 文件，则无法正确配置。

创建 Active Directory 对象并提供权限

对基于 Active Directory 扩展架构的 SSO 登录执行以下步骤：

1. 在 Active Directory 服务器中创建设备对象、权限对象和关联对象。

2. 为创建的权限对象设置访问权限。建议不要提供管理员权限，因为管理员权限会绕过某些安全检查。

3. 使用关联对象关联设备对象和权限对象。

4. 将之前的 SSO 用户（登录用户）添加至设备对象。

5. 为

验证用户

提供访问权限，以访问创建的关联对象。

为 Active Directory 用户配置 iDRAC SSO 登录

在为 Active Directory SSO 登录配置 iDRAC 之前，请确保已完成所有前提条件。

当您基于 Active Directory 设置用户帐户时，可以为 Active Directory SSO 配置 iDRAC。

使用 Web 界面为 Active Directory 用户配置 iDRAC SSO 登

录

要配置 iDRAC 以进行 Active Directory SSO 登录：

注: 有关各选项的信息，请参阅

iDRAC Online Help

（iDRAC 联机帮助）。

1. 验证 iDRAC 的 DNS 名称是否匹配 iDRAC 完全限定的域名。要执行此操作，请在 iDRAC Web 界面中，转至 iDRAC Settings

（iDRAC 设置） > Network（网络） > Common Settings（通用设置），并查看 DNS iDRAC Name（DNS iDRAC 名称）属

性。

2. 配置 Active Directory 以基于标准架构或扩展架构设置用户帐户时，请执行以下两个附加步骤来配置 SSO：

• 在 Active Directory Configuration and Management Step 1 of 4（Active Directory 配置和管理第 1 步，共 4 步）页面中

上载 keytab 文件。

136 配置 iDRAC 以进行单一登录或智能卡登录