Users Guide
1. 创建用户组。
2. 为标准方案创建一个用户。
注: 使用现有的 AD 用户组和 AD 用户。
登录到基于 Active Directory 扩展方案的 SSO
对基于 Active Directory 扩展架构的 SSO 登录执行以下步骤:
1. 在 Active Directory 服务器中创建设备对象、权限对象和关联对象。
2. 设置所创建权限对象的访问权限。
注: 建议不要提供管理员权限,因为这可能会绕过一些安全检查。
3. 使用关联对象关联设备对象和权限对象。
4. 将之前的 SSO 用户(登录用户)添加至设备对象。
5. 为
验证用户
提供访问权限,以访问创建的关联对象。
登录到 Active Directory SSO
对 Active Directory SSO 登录执行以下步骤:
1. 创建一个 Kerberos keytab 用户,其用于创建 keytab 文件。
注:
为每个 iDRAC IP 创建新的 KERBROS 密钥。
为 Active Directory 用户配置 iDRAC SSO 登录
在为 Active Directory SSO 登录配置 iDRAC 之前,请确保已完成所有前提条件。
当您基于 Active Directory 设置用户帐户时,可以为 Active Directory SSO 配置 iDRAC。
在 Active Directory 中创建用户以进行 SSO 登录
在 Active Directory 中创建用户以进行 SSO 登录,请执行以下操作:
1. 在组织单位中创建新用户。
2. 转至 Kerberos 用户 > 属性 > 帐户 > 为此帐户使用 Kerberos DES 加密类型
3. 使用以下命令在 Active Directory 服务器中生成 Kerberos Keytab:
ktpass -princ HOST/idracname.domainname.com@DOMAINNAME.COM -mapuser keytabuser -crypto DES-
CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:\krbkeytab
扩展方案注意事项
• 更改 Kerberos 用户的“委派”设置。
• 转至 Kerberos 用户 > 属性 > 委派 > 对任何服务的委派均信任此用户(仅限 Kerberos)
注:
更改以上设置后,让管理站 Active Directory 用户注销然后重新登录。
生成 Kerberos Keytab 文件
为了支持 SSO 和智能卡登录身份验证,iDRAC 支持进行配置,使自身成为 Windows Kerberos 网络上的 kerberize 服务。iDRAC 上的
Kerberos 配置包括与将非 Windows Server Kerberos 服务配置为 Windows Server Active Directory 中的安全主体相同的步骤。
ktpass 工具(可从 Microsoft 作为服务器安装 CD/DVD 的一部分获取)用于创建绑定到用户帐户的服务主体名称 (SPN) 并将信任信
息导出到 MIT 类型的 Kerberos keytab 文件,从而在外部用户或系统与 Key Distribution Centre (KDC) 之间建立信任关系。该 keytab
文件包含密钥,用于对服务器和 KDC 之间的信息进行加密。ktpass 工具允许支持 Kerberos 身份验证的基于 UNIX 的服务使用
Windows Server Kerberos KDC 服务提供的互操作性功能。有关 ktpass 公用程序的更多信息,请参阅 Microsoft 网站:
technet.microsoft.com/en-us/library/cc779157(WS.10).aspx
生成 keytab 文件之前,您必须创建一个 Active Directory 用户帐户,以便与 ktpass 命令的 -mapuser 选项配合使用。此外,您必须
具有与您将生成的 keytab 文件上传到的 iDRAC DNS 名称相同的名称。
140
配置 iDRAC 以进行单一登录或智能卡登录