ZurückzumInhaltsverzeichnis
iDRAC6fürdieeinfacheAnmeldungoderSmartCard-Anmeldung
konfigurieren
IntegratedDellRemoteAccessController6(iDRAC6)Version1.5Benutzerhandbuch
Informationen zur Kerberos-Authentifizierung
VoraussetzungenfürdieActiveDirectory-SSO- und -Smart Card-Authentifizierung
Microsoft Active Directory SSO verwenden
Smart Card-Authentifizierung konfigurieren
Fehler bei der Smart Card-Anmeldung am iDRAC6 beheben
HäufiggestellteFragenzurSSO
DieserAbschnittenthältInformationenzumKonfigurierenvoniDRAC6fürdieSmartCard-Anmeldung von lokalen Benutzern und Active Directory-Benutzern
sowiefürdieeinfacheAnmeldung(SingleSign-On, SSO) von Active Directory-Benutzern.
iDRAC6unterstütztKerberos-basierte Active Directory-AuthentifizierungzumUnterstützenvonActiveDirectory-Smart Card- und -SSO-Anmeldungen.
Informationen zur Kerberos-Authentifizierung
Kerberos ist ein Netzwerk-Authentifizierungsprotokoll,dasSystemenermöglicht,aufsichereWeiseübereinungesichertesNetzwerkzukommunizieren.Dazu
wirddenSystemenerlaubt,ihreAuthentizitätzubeweisen.UmdenhöherenAuthentifizierungsstandardsgerechtzuwerden,unterstütztiDRAC6jetzt
Kerberos-basierte Active Directory-AuthentifizierungzurUnterstützungvonActiveDirectory-Smart Card- und -SSO-Anmeldungen.
MicrosoftWindows2000,WindowsXP,WindowsServer2003,WindowsVistaundWindowsServer2008verwendenKerberosstandardmäßigals
Authentifizierungsmethode.
iDRAC6verwendetKerberos,umzweiTypenvonAuthentifizierungsmechanismenzuunterstützen:ActiveDirectory-SSO- und Active Directory-Smart Card-
Anmeldungen. Bei der Active Directory-SSO-Anmeldung verwendet iDRAC6 die Anmeldeinformationen des Benutzers, die im Betriebssystem
zwischengespeichertwerden,nachdemsichdiesermiteinemgültigenActiveDirectory-Konto angemeldet hat.
Bei der Active Directory-Smart Card-Anmeldung verwendet iDRAC6 Smart Card-basierte Zweifaktor-Authentifizierung (TFA) als Anmeldeinformationen, um eine
Active Directory-Anmeldungzuermöglichen.DiesistdieNachfolgefunktionzurlokalenSmartCard-Authentifizierung.
Die Kerberos-AuthentifizierungamiDRAC6schlägtfehl,wenndieiDRAC6-ZeitvonderZeitdesDomänen-Controllers abweicht. Es ist ein maximaler Unterschied
von5Minutenzulässig.UmeineerfolgreicheAuthentifizierungzuermöglichen,müssenSiedieServerzeitmitderZeitdesDomänen-Controllers
synchronisieren und dann den iDRAC6 zurücksetzen.
VoraussetzungenfürdieActiveDirectory-SSO- und -Smart Card-Authentifizierung
SowohlfürdieActiveDirectory-SSO- als auch die Active Directory-Smart Card-AuthentifizierungsindfolgendeMaßnahmenVoraussetzung:
l KonfigurierenSiedeniDRAC6fürdieActiveDirectory-Anmeldung. Weitere Informationen finden Sie unter iDRAC6-Verzeichnisdienst verwenden.
l Registrieren Sie den iDRAC6 als Computer in der Active Directory-Root-Domäne.FührenSiedazufolgendeSchrittedurch:
a. Klicken Sie auf Remote-Zugriff® Register Netzwerk/Sicherheit Unterregister® Netzwerk.
b. GebenSieeinegültigeIP-AdressefürBevorzugter/Alternativer DNS- Server an. Dieser Wert ist die IP-Adresse des DNS, der Teil der Root-
Domäneist,diedieActiveDirectory-Konten der Benutzer authentifiziert.
c. WählenSieiDRAC auf DNS registrieren aus.
d. GebenSieeinengültigenDNS-Domänennamenan.
Weitere Informationen finden Sie in der iDRAC6-Online-Hilfe.
l ZurUnterstützungderzweineuenAuthentifizierungsmechanismustypenunterstütztiDRAC6dieKonfigurationzurSelbstaktivierungalsKerberos-Dienst
in einem Windows-Kerberos-Netzwerk. Die Kerberos-Konfiguration am iDRAC6 umfasst dieselben Schritte wie die Konfiguration eines Kerberos-Dienstes
als Sicherheitsprinzipal in Windows Server Active Directory auf einem Nicht-Windows-Server.
Mit dem Microsoft-Hilfsprogramm ktpass (wird von Microsoft als Teil der Server-Installations-CD/DVD bereitgestellt) werden die Bindungen des
Dienstprinzipalnamens (SPN =Service Principal Name) zu einem Benutzerkonto erstellt und die Vertrauensinformationen in eine MIT-artige Kerberos-
Keytab-Dateiexportiert,dieeineVertrauensbeziehungzwischeneinemexternenBenutzeroderSystemunddemSchlüsselverteilungscenter(KDC=Key
Distribution Centre) aktiviert. Die Keytab-DateienthälteinenkryptografischenSchlüssel,derzumVerschlüsselnderInformationenzwischenServerund
KDCdient.DasHilfsprogramm"ktpass"ermöglichtesUNIX-basierten Diensten, die Kerberos-Authentifizierungunterstützen,dievoneinemKerberos-
KDC-DienstfürWindowsServerbereitgestelltenInteroperabilitätsfunktionenzuverwenden.
Das vom Dienstprogramm "ktpass" abgerufene Keytab wird dem iDRAC6 als Datei-UploadzurVerfügunggestelltundalsKerberos-Dienst im Netzwerk
aktiviert.
DaessichbeimiDRAC6umeinGerätmiteinemNicht-Windows-Betriebssystemhandelt,führenSiedasDienstprogrammktpass (Teil von Microsoft
Windows)aufdemDomänen-Controller (Active Directory-Server) aus, auf dem Sie den iDRAC6 einem Benutzerkonto in Active Directory zuordnen
möchten.
Beispiel:VerwendenSiedenfolgendenktpass-Befehl, um die Kerberos-Keytab-Datei zu erstellen:
C:\>ktpass
-princ HOST/[email protected] -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:\krbkeytab