Users Guide
3. 选择 Register iDRAC on DNS(向 DNS 注册 iDRAC)。
4. 提供有效 DNS Domain Name(DNS 域名)。
5. 验证网络 DNS 配置与 Active Directory DNS 信息匹配。
有关各选项的更多信息,请参阅 iDRAC Online Help(iDRAC 联机帮助)。
生成 Kerberos Keytab 文件
要支持 SSO 和智能卡登录验证,iDRAC 应支持在 Windows Kerberos 网络中启用自身作为 Kerberos 服务的
的配置。
iDRAC 上的 Kerberos 配置涉及的步骤与配置非 Windows Server Kerberos 服务作为 Windows
Server Active Directory 中安全主体的步骤相同。
ktpass 工具(可作为服务器安装 CD/DVD 的组成部分从 Microsoft 获得)用于创建用户帐户的服务主体名称
(SPN) 绑定并将信任信息导出到 MIT 格式的 Kerberos keytab 文件中,这将允许外部用户或系统与密钥分发中
心 (KDC) 之间建立信任关系。keytab 文件包含加密密钥,用于加密服务器和 KDC 之间的信息。ktpass 工具允
许支持
Kerberos 验证的基于 UNIX 的服务,从而可使用 Windows Server Kerberos KDC 服务提供的互操作性
功能。有关 ktpass 公用程序的详细信息,请访问 Microsoft 网站:technet.microsoft.com/en-us/library/
cc779157(WS.10).aspx
生成 keytab 文件之前,您必须创建一个 Active Directory 用户帐户与 ktpass 命令的 -mapuser 选项一起使
用。此外,您必须拥有与上载生成的 keytab 文件使用的 iDRAC DNS 名称相同的名称。
使用 ktpass 工具生成 keytab 文件:
1. 在希望将 iDRAC 映射到 Active Directory 中用户帐户的域控制器(Active Directory 服务器)上运行
ktpass 公用程序。
2. 使用以下 ktpass 命令创建 Kerberos keytab 文件:
C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -
mapuser DOMAINNAME\username -mapOp set -crypto AES256-SHA1 -ptype
KRB5_NT_PRINCIPAL -pass [password] -out c:\krbkeytab
加密类型为 AES256-SHA1。主体类型为 KRB5_NT_PRINCIPAL。服务主体名称将映射到的目标用户帐户
的属性必须启用
为此帐户使用 AES 256 加密类型属性。
注: 对 iDRACname 和服务主体名称使用小写字母,对域名使用大写字母,如示例中所示。
3. 运行以下命令:
C:\>setspn -a HTTP/iDRACname.domainname.com username
将生成一个 keytab 文件。
注: 如果发现为之创建 keytab 文件的 iDRAC 用户有任何问题,请创建新用户和新 keytab 文件。如
果再次执行最初创建的同一 keytab 文件,则无法正确配置。
创建 Active Directory 对象并提供权限
对基于 Active Directory 扩展架构的 SSO 登录执行以下步骤:
1. 在 Active Directory 服务器中创建设备对象、权限对象和关联对象。
2. 设置所创建权限对象的访问权限。建议不要提供管理员权限,因为这可能会绕过一些安全检查。
3. 使用关联对象关联设备对象和权限对象。
4. 将之前的 SSO 用户(登录用户)添加至设备对象。
5. 为
验证用户
提供访问权限,以访问创建的关联对象。
相关链接
160