目录
配置 iDRAC6 进行单一登录或智能卡登录
Integrated Dell Remote Access Controller 6 (iDRAC6) 版本 1.5 用户指南
关于 Kerberos 验证
Active Directory SSO 和智能卡验证的前提条件
使用 Microsoft Active Directory SSO
配置智能卡验证
对 iDRAC6 中的智能卡登录进行故障排除
SSO 常见问题
本节介绍如何配置 iDRAC6 使本地用户和 Active Directory 用户进行智能卡登录和使 Active Directory 用户进行单一登录 (SSO)。
iDRAC6 支持基于 Kerberos 的 Active Directory 验证以支持 Active Directory 智能卡和 SSO 登录。
关于 Kerberos 验证
Kerberos 是一种网络验证协议,使系统能够通过非安全网络安全地通信。通过让系统验证真实性来实现这一目的。为了达到更高的验证执行标准,iDRAC6 现在支持基于 Kerberos 的
Active Directory 验证来支持 Active Directory 智能卡和 SSO 登录。
Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008 将 Kerberos 用作默认验证方法。
iDRAC6 使用 Kerberos 支持两种验证机制 — Active Directory SSO 登录和 Active Directory 智能卡登录。对于 Active Directory SSO 登录,在用户使用有效 Active Directory
帐户登录后,iDRAC6 使用在操作系统中缓存的用户凭据。
对于 Active Directory 智能卡登录,iDRAC6 使用基于智能卡的双重验证 (TFA) 作为凭据来启用 Active Directory 登录。这是本地智能卡验证随附的功能。
如果 iDRAC6 时间与域控制器时间不同,iDRAC6 上的 Kerberos 验证将会失败。最多允许 5 分钟偏差。要进行成功验证,请同步服务器时间与域控制器时间,然后重设 iDRAC6。
Active Directory SSO 和智能卡验证的前提条件
Active Directory SSO 和智能卡验证的前提条件是:
l 配置 iDRAC6 进行 Active Directory 登录。有关详情,请参阅"使用 iDRAC6 Directory Service "。
l 注册 iDRAC6 作为 Active Directory 根域中的计算机。要执行此操作:
a. 单击"Remote Access"(远程访问)®"Network/Security"(网络/安全性)选项卡 ®"Network"(网络)子选项卡。
b. 提供有效的首选/备用 DNS 服务器 IP 地址。该值是根域中 DNS 的 IP 地址,验证用户的 Active Directory 帐户。
c. 选择"Register iDRAC on DNS"(向 DNS 注册 iDRAC)。
d. 提供有效"DNS Domain Name"(DNS 域名)。
请参阅 iDRAC6
联机帮助
了解有关详情。
l 为支持两种新的验证机制,iDRAC6 支持配置以使自身作为 Windows Kerberos 网络上的加密服务。iDRAC6 上的 Kerberos 配置步骤与配置非 Windows Server Kerberos
服务作为 Windows Server Active Directory 安全原则的步骤一样。
使用 Microsoft 工具 ktpass(由 Microsoft 服务器安装 CD/DVD 提供)创建用户帐户服务主体名称 (SPN) 绑定并将可信信息导出到 MIT 样式的 Kerberos keytab 文件,这
将确定外部用户或系统与 Key Distribution Centre (KDC) 之间的可信关系。该 keytab 文件包含密钥,用于对服务器和 KDC 之间的信息进行加密。ktpass 工具使那些支持
Kerberos 验证的基于 UNIX 的服务能够使用 Windows Server Kerberos KDC 服务提供的交互功能。
从 ktpass 公用程序获得的 keytab 作为文件上载提供给 iDRAC6 并作为网络上的加密服务。
由于 iDRAC6 是一种非 Windows 操作系统设备,在想将 iDRAC6 映射到 Active Directory 用户帐户的域控制器(Active Directory 服务器)上,运行 ktpass 公用程序
(Microsoft Windows 的一部分)。
例如,使用以下 ktpass 命令创建 Kerberos keytab 文件:
C:\>ktpass
-princ HOST/[email protected] -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:\krbkeytab
iDRAC6 用于 Kerberos 验证的加密类型是 DES-CBC-MD5。主体类型是 KRB5_NT_PRINCIPAL。服务主体名称映射到的用户帐户的属性应启用"Use DES encryption
types for this account"(为此帐户使用 DES 加密类型)属性。
此步骤会生成一个 Keytab 文件,应将该文件上载到 iDRAC6。