Users Guide
3. Verwenden Sie den folgenden Befehl, um eine Kerberos-Keytab auf dem Active Directory-Server zu erstellen:
ktpass -princ HOST/idracname.domainname.com@DOMAINNAME.COM -mapuser keytabuser -crypto DES-
CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:\krbkeytab
Hinweis für erweitertes Schema
• Ändern Sie die Delegierungseinstellung des Kerberos-Benutzers.
• Gehen Sie zu Kerberos-Benutzer>Eigenschaften>Delegierung>Diesem Benutzer für die Delegierung zu einem beliebigen
Dienst vertrauen (nur Kerberos)
ANMERKUNG: Abmelden und anmelden über den Management Station-Active Directory-Benutzer nach dem Ändern der
Einstellung oben.
Kerberos Keytab-Datei generieren
Zur Unterstützung der SSO- und Smart Card-Anmeldeauthentifizierung unterstützt iDRAC die Konfiguration zur Selbstaktivierung als
Kerberos-Dienst in einem Windows-Kerberos-Netzwerk. Die Kerberos-Konfiguration in iDRAC umfasst dieselben Schritte wie die
Konfiguration eines Kerberos-Dienstes als Sicherheitsprinzipal in Windows Server Active Directory auf einem Nicht-Windows-Server.
Mit dem Dienstprogramm ktpass (wird von Microsoft mit der Serverinstallations-CD/-DVD bereitgestellt) werden die Bindungen des
Dienstprinzipalnamens (SPN =Service Principal Name) zu einem Benutzerkonto erstellt und die Vertrauensinformationen in eine MIT-
artige Kerberos-Keytab-Datei exportiert. Diese ermöglicht eine Vertrauensbeziehung zwischen einem externen Benutzer oder System und
dem Schlüsselverteilungscenter (KDC = Key Distribution Center). Die Keytab-Datei enthält einen kryptografischen Schlüssel, mit dem die
Informationen zwischen Server und KDC verschlüsselt werden. Das Hilfsprogramm „ktpass“ ermöglicht es UNIX-basierten Diensten, die
Kerberos-Authentifizierung unterstützen, die von einem Kerberos-KDC-Dienst für Windows Server bereitgestellten
Interoperabilitätsfunktionen zu verwenden. Weitere Informationen zum Dienstprogramm
ktpass finden Sie auf der Microsoft-Website
unter: technet.microsoft.com/en-us/library/cc779157(WS.10).aspx.
Sie müssen vor dem Erstellen einer Keytab-Datei ein Active Directory-Benutzerkonto zur Benutzung mit der Option -mapuser des
Befehls ktpass erstellen. Außerdem müssen Sie denselben Namen verwenden wie den iDRAC-DNS-Namen, an den Sie die erstellte
Keytab-Datei hochladen.
So generieren Sie eine Keytab-Datei mithilfe des ktpass-Tools:
1. Führen Sie das Dienstprogramm ktpass auf dem Domänen-Controller (Active Directory-Server) aus, auf dem Sie den iDRAC einem
Benutzerkonto in Active Directory zuordnen möchten.
2. Verwenden Sie den folgenden ktpass-Befehl, um die Kerberos-Keytab-Datei zu erstellen:
C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -mapuser DOMAINNAME
\username -mapOp set -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass [password] -out
c:\krbkeytab
Der Verschlüsselungstyp lautet AES256-SHA1. Der Prinzipaltyp lautet KRB5_NT_PRINCIPAL. Für die Eigenschaften des
Benutzerkontos, dem der Dienstprinzipalname zugeordnet ist, muss die Eigenschaft Use AES 256 encryption types for this
account (AES 256-Verschlüsselungstypen für dieses Konto verwenden) ordnungsgemäß aktiviert sein.
ANMERKUNG:
Verwenden Sie Kleinbuchstaben für iDRACname und Service Principal Name (Dienstprinzipalname).
Verwenden Sie für den Domänennamen Großbuchstaben wie im Beispiel gezeigt.
3. Führen Sie den folgenden Befehl aus:
C:\>setspn -a HTTP/iDRACname.domainname.com username
Es wird eine Keytab-Datei generiert.
ANMERKUNG:
Wenn beim iDRAC-Benutzer, für den die Keytab-Datei erstellt wird, Probleme auftreten, erstellen Sie
bitte einen neuen Benutzer und eine neue Keytab-Datei. Wenn dieselbe Keytab-Datei, die ursprünglich erstellt
wurde, erneut ausgeführt wird, wird sie nicht korrekt konfiguriert.
iDRAC-SSO-Anmeldung für Active Directory-Benutzer
über die Webschnittstelle konfigurieren
So konfigurieren Sie iDRAC für die Active Directory-SSO-Anmeldung:
164
iDRAC für die einfache Anmeldung oder Smart Card-Anmeldung konfigurieren