Users Guide
Création d'objets Active Directory et fourniture de privilèges on page 161
Enregistrement d'iDRAC en tant qu'ordinateur dans un domaine
racine Active Directory
Pour enregistrer iDRAC dans un domaine racine Active Directory :
1. Cliquez sur Présentation générale > Paramètres iDRAC > Réseau > Réseau.
La page Réseau s'affiche.
2. Entrez une adresse IP de serveur DNS préféré/secondaire. Cette valeur est une adresse IP de serveur DNS qui fait partie
du domaine racine.
3. Sélectionnez Enregistrer iDRAC auprès du DNS.
4. Spécifiez un nom de domaine DNS.
5. Vérifiez que la configuration DNS du réseau correspond aux informations DNS d'Active Directory.
Pour plus d'informations sur les options, voir l'Aide en ligne d'iDRAC.
Génération d'un fichier Keytab Kerberos
Pour prendre en charge l'authentification d'ouverture de session par connexion directe (SSO) et avec une carte à puce, iDRAC
prend en charge la configuration pour s'activer comme service « kerberisé » sur un réseau Windows Kerberos. La configuration
Kerberos sur iDRAC implique les mêmes étapes que la configuration d'un service Kerberos non–Windows Server comme
principal de sécurité dans Windows Server Active Directory.
L'outil ktpass (fourni par Microsoft sur le CD/DVD d'installation du serveur) permet de créer les liaisons SPN (Service Principal
Name) à un compte d'utilisateur et d'exporter les données d'approbation vers un fichier keytab Kerberos de type MIT qui établit
une relation de confiance entre un utilisateur ou un système externe et le centre de distribution de clés (KDC). Le fichier keytab
contient une clé cryptographique qui permet de crypter les informations entre le serveur et le centre KDC. L'outil ktpass permet
aux services UNIX, qui prennent en charge l'authentification Kerberos, d'utiliser les fonctions d'interopérabilité fournies par un
service KDC Kerberos Windows Server. Pour plus d'informations sur l'utilitaire ktpass, voir le site Web Microsoft à l'adresse
technet.microsoft.com/en-us/library/cc779157(WS.10).aspx
Avant de générer un fichier keytab, vous devez créer un compte d'utilisateur Active Directory à utiliser avec l'option -mapuser
de la commande ktpass. En outre, vous devez avoir le même nom que le nom DNS iDRAC vers lequel vous téléversez le fichier
keytab généré.
Pour générer un fichier keytab à l'aide de l'outil ktpass :
1. Exécutez l'utilitaire ktpass sur le contrôleur de domaine (serveur Active Directory) sur lequel vous souhaitez adresser iDRAC
à un compte utilisateur dans Active Directory.
2. Utilisez la commande ktpass suivante pour créer le fichier keytab Kerberos :
C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -mapuser
DOMAINNAME\username -mapOp set -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass
[password] -out c:\krbkeytab
Le type de cryptage est AES256-SHA1. Le type de principal est KRB5_NT_PRINCIPAL. La propriété Utiliser les types de
cryptage AES 256 pour ce compte doit être activée dans les propriétés du compte d'utilisateur auquel le nom de principal
de service est adressé.
REMARQUE :
Utilisez des minuscules pour le Nom iDRAC et le Nom principal de service. Utilisez des majuscules
pour le nom de domaine, comme indiqué dans l'exemple.
3. Exécutez la commande suivante :
C:\>setspn -a HTTP/iDRACname.domainname.com username
Un fichier keytab est généré.
REMARQUE :
En cas de problème avec l'utilisateur iDRAC pour lequel le fichier keytab est créé, créez un nouvel
utilisateur et un nouveau fichier keytab. Si vous exécutez de nouveau le fichier créé initialement, il ne se configure pas
correctement.
160 Configuration de l'iDRAC pour la connexion directe ou par carte à puce