Users Guide

ManualsBrandsDell ManualsActive System ManagerChassis Management Controller Version 1.40 for Dell PowerEdge FX2

111

112

113

114

115

116

117

118

119

120

CMC

• Jeder CMC muss ein Active Directory-Konto haben.

• Der CMC muss ein Teil der Active Directory-Domäne und des Kerberos-Bereichs sein.

Voraussetzungen für die Single sign-on-Anmeldung und die Smart

Card-Anmeldung

Die Voraussetzungen für die Konfiguration der SSO- oder Smart Card-Anmeldungen lauten wie folgt:

• Einrichtung des Kerberos-Bereichs und Key Distribution Centers (KDC) für Active Directory (ksetup).

• Gewährleisten Sie eine robuste NTP- und DNS-Infrastruktur zur Vermeidung von Problemen mit Clock-Drift und Reverse-

Lookup.

• Konfiguration des CMC mit der Standardschema-Rollengruppe mit autorisierten Mitgliedern.

• Erstellen Sie für Smart Card „Active Directory-Benutzer“ für jeden CMC und konfigurieren Sie Kerberos-DES-Verschlüsselung,

jedoch nicht Vorauthentifizierung.

• Browser für SSO oder Smart Card-Anmeldung konfigurieren

• Registrieren Sie die CMC-Benutzer mit Ktpass beim Schlüsselverteilungscenter (dies erzeugt auch einen Schlüssel zum

Hochladen auf den CMC).

Kerberos Keytab-Datei generieren

Zur Unterstützung der SSO- und Smart Card-Anmeldungs-Authentifizierung unterstützt CMC das Windows-Kerberos-Netzwerk.

Mit dem ktpass-Hilfsprogramm werden die Bindungen des Dienstprinzipalnamens (SPN =Service Principal Name) zu einem

Benutzerkonto erstellt und die Vertrauensinformationen in eine MIT-artige Kerberos-Keytab-Datei exportiert. Weitere Informationen

zum Dienstprogramm ktpass finden Sie auf der Microsoft-Website.

Erstellen Sie vor dem Generieren einer Keytab-Datei ein Active Directory-Benutzerkonto zur Verwendung mit der Option -mapuser

des Befehls ktpass. Verwenden Sie den Namen, der dem CMC-DNS-Namen entspricht, zu dem Sie die erstellte Keytab-Datei

hochladen.

So generieren Sie eine Keytab-Datei mithilfe des ktpass-Tools:

1. Führen Sie das Dienstprogramm ktpass auf dem Domänen-Controller (Active Directory-Server) aus, auf dem Sie den CMC

einem Benutzerkonto in Active Directory zuordnen möchten.

2. Verwenden Sie den folgenden ktpass-Befehl, um die Kerberos-Keytab-Datei zu erstellen:

C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM - mapuser dracname -mapOp

set -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:\krbkeytab

ANMERKUNG: Der cmcname.domainname.com muss gemäß RFC in Kleinbuchstaben und der @REALM_NAME in

Großbuchstaben angegeben werden. Darüber hinaus unterstützt CMC die Kryptographietypen DES-CBC-MD5 und

AES256-SHA1 für die Kerberos-Authentifizierung.

Dieses Verfahren erstellt eine Keytab-Datei, die Sie zum CMC hochladen müssen.

ANMERKUNG: Die Keytab-Datei enthält einen Verschlüsselungsschlüssel und muss an einem sicheren Ort

aufbewahrt werden. Weitere Informationen zum Dienstprogramm

ktpass

finden Sie auf der Microsoft-Website.

Konfigurieren des CMC für das Active Directory-Schema

Weitere Informationen über die Konfiguration des CMC für das Active Directory-Standardschema finden Sie unter Active Directory-

Standardschema konfigurieren.

Weitere Informationen über die Konfiguration des CMC für Erweitertes Schema für Active Directory finden Sie unter Übersicht des

Active Directory mit erweitertem Schema.

114