Kerberos-Authentifizierung Aktivieren; Voraussetzungen Für Die Einfache Anmeldung Und Die Active Directory - Dell iDRAC6 Benutzerhandbuch
Vorschau ausblenden
Andere Handbücher für iDRAC6:
- Benutzerhandbuch (263 Seiten) ,
- Benutzerhandbuch (424 Seiten)
Inhaltsverzeichnis
Werbung
Zurück zum Inhaltsverzeichnis
Kerberos-Authentifizierung aktivieren
Integrated Dell™ Remote Access Controller 6 (iDRAC6) Enterprise für Blade Server Version 2.1 Benutzerhandbuch
Voraussetzungen für die einfache Anmeldung und die Active Directory-Authentifizierung unter Verwendung der Smart Card
Konfigurieren des iDRAC6 für die einfache Anmeldung und die Active Directory- Authentifizierung unter Verwendung der Smart Card
Active Directory-Benutzer für die einfache Anmeldung konfigurieren
Mit der einfachen Anmeldung für Active Directory-Benutzer am iDRAC6 anmelden
Active Directory-Benutzer für Smart Card- Anmeldung konfigurieren
iDRAC6-Anmeldeszenarien mit TFA und SSO
Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das Systemen ermöglicht, auf sichere Weise über ein ungesichertes Netzwerk zu kommunizieren. Dazu
wird den Systemen erlaubt, ihre Authentizität zu beweisen. Um den höheren Authentifizierungsstandards gerecht zu werden, unterstützt iDRAC6 jetzt
Kerberos-basierte Active Directory
®
®
Microsoft
Windows
2000, Windows XP, Windows Server
Authentifizierungsmethode.
Der iDRAC6 verwendet Kerberos, um zwei Typen von Authentifizierungsmechanismen zu unterstützen: einfache Anmeldung über Active Directory und Active
Directory Smart Card-Anmeldung. Bei der einfachen Anmeldung verwendet der iDRAC6 die Anmeldeinformationen des Benutzers, die im Betriebssystem
zwischengespeichert werden, nachdem sich der Benutzer mit einem gültigen Active Directory-Konto angemeldet hat.
Bei der Active Directory-Smart Card-Anmeldung verwendet iDRAC6 Smart Card-basierte Zweifaktor-Authentifizierung (TFA) als Anmeldeinformationen, um eine
Active Directory-Anmeldung zu ermöglichen.
Die Kerberos-Authentifizierung an iDRAC6 schlägt fehl, wenn die iDRAC6-Zeit von der Zeit des Domänen-Controllers abweicht. Es ist ein maximaler Unterschied
von 5 Minuten zulässig. Um erfolgreiche Authentifizierung zu ermöglichen, synchronisieren Sie die Serverzeit mit der Zeit des Domänen-Controllers und setzen
Sie dann den iDRAC6 zurück (reset).
Sie können auch den folgenden RACADM-Zeitzonenabweichungsbefehl verwenden, um die Zeit zu synchronisieren:
racadm config -g cfgRacTuning -o
cfgRacTuneTimeZoneOffset <Abweichungswert>
Voraussetzungen für die einfache Anmeldung und die Active Directory-
Authentifizierung unter Verwendung der Smart Card
Konfigurieren Sie den iDRAC6 für die Active Directory-Anmeldung.
l
Registrieren Sie den iDRAC6 als Computer in der Active Directory-Root-Domäne.
l
a. Klicken Sie auf System® Remote-Zugriff® iDRAC6® Netzwerk/Sicherheit® Unterregister Netzwerk.
b. Geben Sie eine gültige IP-Adresse für Bevorzugter/Alternativer DNS- Server an. Dieser Wert ist die IP-Adresse des DNS, der Teil der Root-
Domäne ist, die die Active Directory-Konten der Benutzer authentifiziert.
c. Wählen Sie iDRAC6 auf DNS registrieren aus.
d. Geben Sie einen gültigen DNS-Domänennamen an.
e. Stellen Sie sicher, dass die Netzwerk-DNS-Konfiguration mit den Active Directory-DNS-Informationen übereinstimmt.
Weitere Informationen finden Sie in der iDRAC6-Onlinehilfe.
Zur Unterstützung der zwei neuen Authentifizierungsmechanismustypen unterstützt iDRAC6 die Konfiguration zur Selbstaktivierung als Kerberos-Dienst
in einem Windows-Kerberos-Netzwerk. Die Kerberos-Konfiguration am iDRAC6 umfasst dieselben Schritte wie die Konfiguration eines Kerberos-Dienstes
als Sicherheitsprinzipal in Windows Server Active Directory auf einem Nicht-Windows-Server.
Mit dem Microsoft-Hilfsprogramm ktpass (wird von Microsoft als Teil der Server-Installations-CD/DVD bereitgestellt) werden die Bindungen des
Dienstprinzipalnamens (SPN =Service Principal Name) zu einem Benutzerkonto erstellt und die Vertrauensinformationen in eine MIT-artige Kerberos-
Keytab-Datei exportiert, die eine Vertrauensbeziehung zwischen einem externen Benutzer oder System und dem Schlüsselverteilungscenter (KDC = Key
Distribution Centre) aktiviert. Die Keytab-Datei enthält einen kryptografischen Schlüssel, der zum Verschlüsseln der Informationen zwischen Server und
KDC dient. Das Hilfsprogramm "ktpass" ermöglicht es UNIX-basierten Diensten, die Kerberos-Authentifizierung unterstützen, die von einem Kerberos-
KDC-Dienst für Windows Server bereitgestellten Interoperabilitätsfunktionen zu verwenden.
Die vom Dienstprogramm ktpass abgerufene Keytab wird dem iDRAC6 als Datei-Upload zur Verfügung gestellt und als Kerberos-Dienst im Netzwerk
aktiviert.
Da es sich beim iDRAC6 um ein Gerät mit einem Nicht-Windows-Betriebssystem handelt, führen Sie das Dienstprogramm ktpass (Teil von Microsoft
Windows) auf dem Domänen-Controller (Active Directory-Server) aus, auf dem Sie den iDRAC6 einem Benutzerkonto in Active Directory zuordnen
möchten.
Beispiel: Verwenden Sie den folgenden ktpass-Befehl, um die Kerberos-Keytab-Datei zu erstellen:
C:\> ktpass.exe -princ HTTP/idracname.domainname.com@DOMAINNAME.COM -mapuser DOMAINNAME\username -mapOp set -crypto DES-CBC-MD5 -ptype
KRB5_NT_PRINCIPAL -pass <Kennwort> +DesOnly -out c:\krbkeytab
ANMERKUNG:
Wenn beim iDRAC6-Benutzer, für den die Keytab-Datei erstellt wird, Probleme autreten, erstellen Sie bitte einen neuen Benutzer
und eine neue Keytab-Datei. Wenn dieselbe Keytab-Datei, die ursprünglich erstellt wurde, erneut ausgeführt wird, kann sie nicht korrekt
konfiguriert werden.
®
-Authentifizierung zur Unterstützung von Active Directory Smart Card- und einfacher Anmeldung (SSO).
®
2003, Windows Vista
®
und Windows Server 2008 verwenden Kerberos als Standard-
Werbung
Inhaltsverzeichnis
