Users Guide

ManualsBrandsDell ManualsComputer HardwarePoweredge FC630

181

182

183

184

185

186

187

188

189

190

Génération d'un fichier Keytab Kerberos

Création d'objets Active Directory et fourniture de privilèges

Enregistrement d'iDRAC en tant qu'ordinateur dans un domaine racine Active

Directory

Pour enregistrer iDRAC dans un domaine racine Active Directory :

1. Cliquez sur Présentation générale → Paramètres iDRAC → Réseau → Réseau.

La page Réseau s'affiche.

2. Entrez une adresse IP de serveur DNS préféré/secondaire. Cette valeur est une adresse IP de serveur

DNS qui fait partie du domaine racine.

3. Sélectionnez Enregistrer iDRAC auprès du DNS.

4. Spécifiez un nom de domaine DNS.

5. Vérifiez que la configuration DNS du réseau correspond aux informations DNS d'Active Directory.

Pour plus d'informations sur les options, voir l'Aide en ligne d'iDRAC.

Génération d'un fichier Keytab Kerberos

Pour prendre en charge l'authentification d'ouverture de session par connexion directe (SSO) et avec une

carte à puce, iDRAC prend en charge la configuration pour s'activer comme service « kerberisé » sur un

réseau Windows Kerberos. La configuration Kerberos sur iDRAC implique les mêmes étapes que la

configuration d'un service Kerberos non–Windows Server comme principal de sécurité dans Windows

Server Active Directory.

L'outil ktpass (fourni par Microsoft sur le CD/DVD d'installation du serveur) permet de créer les liaisons

SPN (Service Principal Name) à un compte d'utilisateur et d'exporter les données d'approbation vers un

fichier keytab Kerberos de type MIT qui établit une relation de confiance entre un utilisateur ou un

système externe et le centre de distribution de clés (KDC). Le fichier keytab contient une clé

cryptographique qui permet de crypter les informations entre le serveur et le centre KDC. L'outil ktpass

permet aux services UNIX, qui prennent en charge l'authentification Kerberos, d'utiliser les fonctions

d'interopérabilité fournies par un service KDC Kerberos Windows Server. Pour plus d'informations sur

l'utilitaire ktpass, voir le site Web Microsoft à l'adresse technet.microsoft.com/en-us/library/

cc779157(WS.10).aspx

Avant de générer un fichier keytab, vous devez créer un compte d'utilisateur Active Directory à utiliser

avec l'option -mapuser de la commande ktpass. En outre, vous devez avoir le même nom que le nom

DNS iDRAC vers lequel vous téléversez le fichier keytab généré.

Pour générer un fichier keytab à l'aide de l'outil ktpass :

1. Exécutez l'utilitaire ktpass sur le contrôleur de domaine (serveur Active Directory) sur lequel vous

souhaitez adresser iDRAC à un compte utilisateur dans Active Directory.

2. Utilisez la commande ktpass suivante pour créer le fichier keytab Kerberos :

C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -

mapuser DOMAINNAME\username -mapOp set -crypto AES256-SHA1 -ptype

KRB5_NT_PRINCIPAL -pass [password] -out c:\krbkeytab

Le type de cryptage est AES256-SHA1. Le type de principal est KRB5_NT_PRINCIPAL. La propriété

Utiliser les types de cryptage AES 256 pour ce compte doit être activée dans les propriétés du

compte d'utilisateur auquel le nom de principal de service est adressé.

186