Users Guide
2. Sie können basierend auf den IP-Einstellungen IPv4 Settings (IPv4-Einstellungen) oder IPv6 Settings (IPv6-Einstellungen)
auswählen.
3. Geben Sie eine gültige IP-Adresse für Preferred/Alternate DNS Server (Bevorzugter/alternativer DNS-Server) an. Dieser
Wert steht für eine gültige IP-Adresse des DNS-Servers, der Teil der Stammdomäne ist.
4. Wählen Sie iDRAC auf DNS registrieren aus.
5. Geben Sie einen gültigen DNS-Domänennamen an.
6. Stellen Sie sicher, dass die Netzwerk-DNS-Konfiguration mit den Active Directory-DNS-Informationen übereinstimmt.
Weitere Informationen zu den verfügbaren Optionen finden Sie in der iDRAC-Online-Hilfe.
Kerberos Keytab-Datei generieren
Zur Unterstützung der SSO- und Smart Card-Anmeldeauthentifizierung unterstützt iDRAC die Konfiguration zur Selbstaktivierung als
Kerberos-Dienst in einem Windows-Kerberos-Netzwerk. Die Kerberos-Konfiguration in iDRAC umfasst dieselben Schritte wie die
Konfiguration eines Kerberos-Dienstes als Sicherheitsprinzipal in Windows Server Active Directory auf einem Nicht-Windows-Server.
Mit dem Dienstprogramm ktpass (wird von Microsoft mit der Serverinstallations-CD/-DVD bereitgestellt) werden die Bindungen des
Dienstprinzipalnamens (SPN =Service Principal Name) zu einem Benutzerkonto erstellt und die Vertrauensinformationen in eine MIT-
artige Kerberos-Keytab-Datei exportiert. Diese ermöglicht eine Vertrauensbeziehung zwischen einem externen Benutzer oder System und
dem Schlüsselverteilungscenter (KDC = Key Distribution Center). Die Keytab-Datei enthält einen kryptografischen Schlüssel, mit dem die
Informationen zwischen Server und KDC verschlüsselt werden. Das Hilfsprogramm „ktpass“ ermöglicht es UNIX-basierten Diensten, die
Kerberos-Authentifizierung unterstützen, die von einem Kerberos-KDC-Dienst für Windows Server bereitgestellten
Interoperabilitätsfunktionen zu verwenden. Weitere Informationen zum Dienstprogramm
ktpass finden Sie auf der Microsoft-Website
unter: technet.microsoft.com/en-us/library/cc779157(WS.10).aspx.
Sie müssen vor dem Erstellen einer Keytab-Datei ein Active Directory-Benutzerkonto zur Benutzung mit der Option -mapuser des
Befehls ktpass erstellen. Außerdem müssen Sie denselben Namen verwenden wie den iDRAC-DNS-Namen, an den Sie die erstellte
Keytab-Datei hochladen.
So generieren Sie eine Keytab-Datei mithilfe des ktpass-Tools:
1. Führen Sie das Dienstprogramm ktpass auf dem Domänen-Controller (Active Directory-Server) aus, auf dem Sie den iDRAC einem
Benutzerkonto in Active Directory zuordnen möchten.
2. Verwenden Sie den folgenden ktpass-Befehl, um die Kerberos-Keytab-Datei zu erstellen:
C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -mapuser DOMAINNAME
\username -mapOp set -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass [password] -out
c:\krbkeytab
Der Verschlüsselungstyp lautet AES256-SHA1. Der Prinzipaltyp lautet KRB5_NT_PRINCIPAL. Für die Eigenschaften des
Benutzerkontos, dem der Dienstprinzipalname zugeordnet ist, muss die Eigenschaft Use AES 256 encryption types for this
account (AES 256-Verschlüsselungstypen für dieses Konto verwenden) ordnungsgemäß aktiviert sein.
ANMERKUNG:
Verwenden Sie Kleinbuchstaben für iDRACname und Service Principal Name (Dienstprinzipalname).
Verwenden Sie für den Domänennamen Großbuchstaben wie im Beispiel gezeigt.
3. Führen Sie den folgenden Befehl aus:
C:\>setspn -a HTTP/iDRACname.domainname.com username
Es wird eine Keytab-Datei generiert.
ANMERKUNG:
Wenn beim iDRAC-Benutzer, für den die Keytab-Datei erstellt wird, Probleme auftreten, erstellen Sie
bitte einen neuen Benutzer und eine neue Keytab-Datei. Wenn dieselbe Keytab-Datei, die ursprünglich erstellt
wurde, erneut ausgeführt wird, wird sie nicht korrekt konfiguriert.
Active Directory-Objekte erstellen und Berechtigungen
bereitstellen
Führen Sie die folgenden Schritte für das erweiterte Active Directory-Schema auf der Basis der SSO-Anmeldung aus:
1. Erstellen Sie das Geräteobjekt, Berechtigungsobjekt und das Zuordnungsobjekts im Active Directory-Server.
2. Legen Sie die Zugriffsberechtigungen auf das erstellte Berechtigungsobjekt fest. Es wird empfohlen, keine
Administratorberechtigungen zu vergeben, da hiermit einige Sicherheitsprüfungen umgangen werden könnten.
iDRAC für die einfache Anmeldung oder Smart Card-Anmeldung konfigurieren
157