Users Guide
Tareas relacionadas
Registro de iDRAC como equipo en el dominio raíz de Active Directory on page 161
Generación del archivo Keytab de Kerberos on page 161
Creación de objetos de Active Directory y establecimiento de privilegios on page 162
Registro de iDRAC como equipo en el dominio raíz de Active
Directory
Para registrar iDRAC en el dominio raíz de Active Directory:
1. Haga clic en Información general > Configuración de iDRAC > Red > Red.
Aparecerá la página Red.
2. Proporcione una dirección IP válida en Preferred/Alternate DNS Server (Servidor DNS preferido/alternativo). Este
valor debe ser una dirección IP de servidor DNS válida que forma parte del dominio raíz.
3. Seleccione Registrar el iDRAC en DNS.
4. Indique un nombre de dominio DNS válido.
5. Verifique que la configuración de DNS de la red coincida con la información de DNS de Active Directory.
Para obtener más información sobre las opciones, consulte la Ayuda en línea de iDRAC.
Generación del archivo Keytab de Kerberos
Para admitir la autentificación de inicio de sesión mediante SSO y tarjeta inteligente, la iDRAC permite que la configuración se
active como un servicio Kerberos en una red de Windows Kerberos. La configuración de Kerberos en la iDRAC involucra los
mismos pasos que la configuración de un servicio que no sea de Windows Server Kerberos como elemento principal de seguridad
en Windows Server Active Directory.
La herramienta ktpass (disponible de parte de Microsoft como parte de los CD/DVD de instalación de servidores) se utiliza para
crear enlaces de nombre principal de servicio (SPN) a una cuenta de usuario y exportar la información de confianza a un archivo
keytab estilo MIT de Kerberos, lo cual permite establecer una relación de confianza entre un usuario o sistema externo y el
Centro de distribución de claves (KDC). El archivo keytab contiene una clave criptográfica que se utiliza para cifrar la
información entre el servidor y el KDC. La herramienta ktpass permite que los servicios basados en UNIX que admiten la
autenticación de Kerberos usen las funciones de interoperabilidad que proporciona un servicio del KDC de Kerberos de Windows
Server. Para obtener más información sobre la utilidad ktpass, consulte el sitio web de Microsoft en
technet.microsoft.com/en-us/library/cc779157(WS.10).aspx
Antes de generar un archivo keytab, debe crear una cuenta de usuario de Active Directory para usar con la opción -mapuser del
comando ktpass. Asimismo, debe tener el mismo nombre que el nombre DNS de iDRAC al que cargará el archivo keytab
generado.
Para generar un archivo keytab mediante la herramienta ktpass:
1. Ejecute la utilidad ktpass en la controladora de dominio (servidor de Active Directory) donde desee asignar el iDRAC a una
cuenta de usuario en Active Directory.
2. Utilice el comando ktpass siguiente para crear el archivo keytab de Kerberos:
C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -mapuser
DOMAINNAME\username -mapOp set -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass
[password] -out c:\krbkeytab
El tipo de cifrado es AES256-SHA1. El tipo principal es KRB5_NT_PRINCIPAL. Las propiedades de la cuenta de usuario a la
que se asigna el nombre principal del servicio deben tener habilitada la propiedad Use AES 256 encryption types for this
account (Utilizar tipos de cifrado AES 256 para esta cuenta).
NOTA:
Utilice letras en minúsculas para iDRACname (Nombre de la iDRAC) y Service Principal Name (Nombre
principal de servicio). Utilice letras mayúsculas para el nombre de dominio, tal como se muestra en el ejemplo.
3. Ejecute el comando siguiente:
C:\>setspn -a HTTP/iDRACname.domainname.com username
Se genera un nuevo archivo keytab.
Configuración de iDRAC para inicio de sesión único o inicio de sesión mediante tarjeta inteligente
161