Kerberos-Authentifizierung Aktivieren; Voraussetzungen Für Die Einfache Anmeldung Und Die Active Directory - Dell iDRAC6 Benutzerhandbuch
Integrated dell remote access controller 6
Vorschau ausblenden
Andere Handbücher für iDRAC6:
- Benutzerhandbuch (254 Seiten) ,
- Benutzerhandbuch (424 Seiten)
Inhaltsverzeichnis
Werbung
Zurück zum Inhaltsverzeichnis
Kerberos-Authentifizierung aktivieren
Integrated Dell™ Remote Access Controller 6 (iDRAC6) Version 1.3-Benutzerhandbuch
Voraussetzungen für die einfache Anmeldung und die Active Directory-Authentifizierung unter Verwendung der Smart Card
iDRAC6 für die einfache Anmeldung und die Active Directory-Authentifizierung unter Verwendung der Smart Card konfigurieren
Active Directory-Benutzer für die einfache Anmeldung konfigurieren
Unter Verwendung der einfachen Anmeldung für Active Directory-Benutzer am iDRAC6 anmelden
Active Directory-Benutzer für Smart Card- Anmeldung konfigurieren
Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das Systemen ermöglicht, auf sichere Weise über ein ungesichertes Netzwerk zu kommunizieren. Dazu
wird den Systemen erlaubt, ihre Authentizität zu beweisen. Um den höheren Authentifizierungsstandards gerecht zu werden, unterstützt iDRAC6 nun die
Kerberos-basierte Active Directory
®
®
Microsoft
Windows
2000, Windows XP, Windows Server
Authentifizierungsmethode.
Der iDRAC6 verwendet Kerberos, um zwei Typen von Authentifizierungsmechanismen zu unterstützen: einfache Anmeldung mit Active Directory und Active
Directory Smart Card-Anmeldungen. Bei der einfachen Anmeldung verwendet der iDRAC6 die Anmeldeinformationen des Benutzers, die im Betriebssystem
zwischengespeichert werden, nachdem sich der Benutzer mit einem gültigen Active Directory-Konto angemeldet hat.
Bei der Active Directory Smart Card-Anmeldung verwendet der iDRAC6 die Smart Card-basierte Zweifaktor-Authentifizierung (TFA) als Anmeldeinformationen,
um eine Active Directory-Anmeldung zu ermöglichen. Dies ist die Nachfolgefunktion zur lokalen Smart Card-Authentifizierung.
Die Kerberos-Authentifizierung am iDRAC6 schlägt fehl, wenn die iDRAC6-Zeit von der Zeit des Domänen-Controllers abweicht. Es ist ein maximaler Unterschied
von 5 Minuten zulässig. Um eine erfolgreiche Authentifizierung zu ermöglichen, müssen Sie die Serverzeit mit der Zeit des Domänen-Controllers
synchronisieren und dann den iDRAC6 zurücksetzen.
Sie können auch den folgenden RACADM-Zeitzonenabweichungsbefehl verwenden, um die Zeit zu synchronisieren:
racadm config -g cfgRacTuning -o
cfgRacTuneTimeZoneOffset <Abweichungswert>
Voraussetzungen für die einfache Anmeldung und die Active Directory-
Authentifizierung unter Verwendung der Smart Card
Konfigurieren Sie den iDRAC6 für die Active Directory-Anmeldung. Weitere Informationen finden Sie unter "Verwendung des Microsoft Active Directory
l
zur Anmeldung beim
iDRAC6".
Registrieren Sie den iDRAC6 als Computer in der Active Directory-Root-Domäne.
l
a. Klicken Sie auf Remote-Zugriff® Register Netzwerk/Sicherheit Unterregister® Netzwerk.
b. Geben Sie eine gültige IP-Adresse für Bevorzugter/Alternativer DNS- Server an. Dieser Wert ist die IP-Adresse des DNS, der Teil der Root-
Domäne ist, welche die Active Directory-Konten der Benutzer authentifiziert.
c. Wählen Sie iDRAC auf DNS registrieren aus.
d. Geben Sie einen gültigen DNS-Domänennamen an.
Weitere Informationen finden Sie in der iDRAC6-Online-Hilfe.
Zur Unterstützung der zwei neuen Authentifizierungsmechanismen unterstützt iDRAC6 die Konfiguration zur Selbstaktivierung als Kerberos-Dienst in
einem Windows-Kerberos-Netzwerk. Die Kerberos-Konfiguration am iDRAC6 umfasst dieselben Schritte wie die Konfiguration eines Kerberos-Dienstes als
Sicherheitsprinzipal in Windows Server Active Directory auf einem Nicht-Windows-Server.
Mit dem Microsoft-Hilfsprogramm ktpass (wird von Microsoft als Teil der Server-Installations-CD/DVD bereitgestellt) werden die Bindungen des
Dienstprinzipalnamens (SPN =Service Principal Name) zu einem Benutzerkonto erstellt und die Vertrauensinformationen in eine MIT-artige Kerberos-
Keytab-Datei exportiert, die eine Vertrauensbeziehung zwischen einem externen Benutzer oder System und dem Schlüsselverteilungscenter (KDC = Key
Distribution Centre) aktiviert. Die Keytab-Datei enthält einen kryptografischen Schlüssel, der zum Verschlüsseln der Informationen zwischen Server und
KDC dient. Das Hilfsprogramm "ktpass" ermöglicht es UNIX-basierten Diensten, die Kerberos-Authentifizierung unterstützen, die von einem Kerberos-
KDC-Dienst für Windows-Server bereitgestellten Interoperabilitätsfunktionen zu verwenden.
Das vom Dienstprogramm "ktpass" abgerufene Keytab wird dem iDRAC6 als Datei-Upload zur Verfügung gestellt und als Kerberos-Dienst im Netzwerk
aktiviert.
Da es sich beim iDRAC6 um ein Gerät mit einem Nicht-Windows-Betriebssystem handelt, führen Sie das Dienstprogramm ktpass (Teil von Microsoft
Windows) auf dem Domänen-Controller (Active Directory-Server) aus, auf dem Sie den iDRAC6 einem Benutzerkonto in Active Directory zuordnen
möchten.
Beispiel: Verwenden Sie den folgenden ktpass-Befehl, um die Kerberos-Keytab-Datei zu erstellen:
C:\>ktpass -princ HOST/dracname.domainname.com@DOMAINNAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out
c:\krbkeytab
Der Verschlüsselungstyp, den iDRAC6 für die Kerberos-Authentifizierung verwendet, lautet DES-CBC-MD5. Der Prinzipaltyp lautet KRB5_NT_PRINCIPAL.
Die Eigenschaften des Benutzerkontos, dem der Dienstprinzipalname zugeordnet ist, muss die folgenden Kontoeigenschaften aktiviert haben:
DES-Verschlüsselungstypen für dieses Konto verwenden
l
Kerberos-Vorauthentifizierung nicht erforderlich
l
®
-Authentifizierung zur Unterstützung von Active Directory Smart Card-Anmeldungen und einfachen Anmeldungen.
®
2003, Windows Vista
®
und Windows Server 2008 verwenden Kerberos als Standard-
Werbung
Inhaltsverzeichnis
