Users Guide
将 iDRAC 注册为 Active Directory 根域中的计算机
在 Active Directory 根域中注册 iDRAC:
1. 单击 Overview(概览) → iDRAC Settings(iDRAC 设置) → Network(网络) → Network(网
络)。
随即会显示 Network(网络)页面。
2. 提供有效的 Preferred/Alternate DNS Server(首选/备用 DNS 服务器)IP 地址。该值是作为根域组成部
分的有效
DNS 服务器 IP 地址。
3. 选择 Register iDRAC on DNS(向 DNS 注册 iDRAC)。
4. 提供有效 DNS Domain Name(DNS 域名)。
5. 验证网络 DNS 配置与 Active Directory DNS 信息匹配。
有关各选项的更多信息,请参阅 iDRAC Online Help(iDRAC 联机帮助)。
生成 Kerberos Keytab 文件
要支持 SSO 和智能卡登录验证,iDRAC 应支持在 Windows Kerberos 网络中启用自身作为 Kerberos 服务的
的配置。iDRAC 上的 Kerberos 配置涉及的步骤与配置非 Windows Server Kerberos 服务作为 Windows
Server Active Directory 中安全主体的步骤相同。
ktpass 工具(可作为服务器安装 CD/DVD 的组成部分从 Microsoft 获得)用于创建用户帐户的服务主体名称
(SPN) 绑定并将信任信息导出到 MIT 格式的 Kerberos keytab 文件中,这将允许外部用户或系统与密钥分发中
心 (KDC) 之间建立信任关系。keytab 文件包含加密密钥,用于加密服务器和 KDC 之间的信息。ktpass 工具允
许支持
Kerberos 验证的基于 UNIX 的服务,从而可使用 Windows Server Kerberos KDC 服务提供的互操作性
功能。有关 ktpass 公用程序的详细信息,请访问 Microsoft 网站:technet.microsoft.com/en-us/library/
cc779157(WS.10).aspx
生成 keytab 文件之前,您必须创建一个 Active Directory 用户帐户与 ktpass 命令的 -mapuser 选项一起使
用。此外,您必须拥有与上载生成的 keytab 文件使用的 iDRAC DNS 名称相同的名称。
使用 ktpass 工具生成 keytab 文件:
1. 在希望将 iDRAC 映射到 Active Directory 中用户帐户的域控制器(Active Directory 服务器)上运行
ktpass 公用程序。
2. 使用以下 ktpass 命令创建 Kerberos keytab 文件:
C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -
mapuser DOMAINNAME\username -mapOp set -crypto AES256-SHA1 -ptype
KRB5_NT_PRINCIPAL -pass [password] -out c:\krbkeytab
加密类型为 AES256-SHA1。主体类型为 KRB5_NT_PRINCIPAL。服务主体名称将映射到的目标用户帐户
的属性必须启用为此帐户使用 AES 256 加密类型属性。
注: 对 iDRACname 和服务主体名称使用小写字母,对域名使用大写字母,如示例中所示。
3. 运行以下命令:
C:\>setspn -a HTTP/iDRACname.domainname.com username
将生成一个 keytab 文件。
166