Users Guide
Active Directory-Objekte erstellen und Berechtigungen bereitstellen on page 163
Registrieren von iDRAC als einen Computer in der Active Directory-
Stammdomäne
So registrieren Sie iDRAC in der Active Directory-Stammdomäne:
1. Klicken Sie auf Übersicht > iDRAC-Einstellungen > Netzwerk > Netzwerk.
Die Seite Netzwerk wird angezeigt.
2. Stellen Sie eine gültige IP-Adresse für den bevorzugten/alternativen DNS-Server bereit. Dieser Wert steht für eine
gültige IP-Adresse für den DNS-Server, der Teil der Stammdomäne ist.
3. Wählen Sie iDRAC auf DNS registrieren aus.
4. Geben Sie einen gültigen DNS-Domänennamen an.
5. Stellen Sie sicher, dass die Netzwerk-DNS-Konfiguration mit den Active Directory-DNS-Informationen übereinstimmt.
Weitere Informationen zu den verfügbaren Optionen finden Sie in der iDRAC-Online-Hilfe.
Kerberos Keytab-Datei generieren
Zur Unterstützung der SSO- und Smart Card-Anmeldungs-Authentifizierung unterstützt iDRAC die Konfiguration zur
Selbstaktivierung als Kerberos-Dienst in einem Windows-Kerberos-Netzwerk. Die Kerberos-Konfiguration am iDRAC umfasst
dieselben Schritte wie die Konfiguration eines Kerberos-Dienstes als Sicherheitsprinzipal in Windows Server Active Directory auf
einem Nicht-Windows-Server.
Mit dem ktpass-Hilfsprogramm (wird von Microsoft als Teil der Server-Installations-CD/DVD bereitgestellt) werden die
Bindungen des Dienstprinzipalnamens (SPN =Service Principal Name) zu einem Benutzerkonto erstellt und die
Vertrauensinformationen in eine MIT-artige Kerberos-Keytab-Datei exportiert, die eine Vertrauensbeziehung zwischen einem
externen Benutzer oder System und dem Schlüsselverteilungscenter (KDC = Key Distribution Centre) aktiviert. Die Keytab-Datei
enthält einen kryptografischen Schlüssel, der zum Verschlüsseln der Informationen zwischen Server und KDC dient. Das
Hilfsprogramm "ktpass" ermöglicht es UNIX-basierten Diensten, die Kerberos-Authentifizierung unterstützen, die von einem
Kerberos-KDC-Dienst für Windows Server bereitgestellten Interoperabilitätsfunktionen zu verwenden. Weitere Informationen
zum Dienstprogramm ktpass finden Sie auf der Microsoft-Website unter: technet.microsoft.com/en-us/library/
cc779157(WS.10).aspx
Sie müssen vor dem Erstellen einer Keytab-Datei ein Active Directory-Benutzerkonto zur Benutzung mit der Option -mapuser
des Befehls ktpass einrichten. Außerdem müssen Sie denselben Namen verwenden wie den iDRAC-DNS-Namen, zu dem Sie
die erstellte Keytab-Datei hochladen.
So generieren Sie eine Keytab-Datei mithilfe des ktpass-Tools:
1. Führen Sie das Dienstprogramm ktpass auf dem Domänen-Controller (Active Directory-Server) aus, auf dem Sie den iDRAC
einem Benutzerkonto in Active Directory zuordnen möchten.
2. Verwenden Sie den folgenden ktpass-Befehl, um die Kerberos-Keytab-Datei zu erstellen:
C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -mapuser
DOMAINNAME\username -mapOp set -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass
[password] -out c:\krbkeytab
Der Verschlüsselungstyp lautet AES256-SHA1. Der Prinzipaltyp lautet KRB5_NT_PRINCIPAL. Die Eigenschaften des
Benutzerkontos, dem der Dienstprinzipalname zugeordnet ist, muss „AES 256“-Verschlüsselungstypen für dieses Konto
verwenden ordnungsgemäß aktiviert haben.
ANMERKUNG:
Verwenden Sie – gemäß dem Beispiel – Kleinbuchstaben für den iDRAC-Namen und die Service-
Prinzip-Bezeichnung und Großbuchstaben für den Domänennamen.
3. Führen Sie den folgenden Befehl aus:
C:\>setspn -a HTTP/iDRACname.domainname.com username
Es wird eine Keytab-Datei generiert.
ANMERKUNG:
Wenn beim iDRAC-Benutzer, für den die Keytab-Datei erstellt wird, Probleme auftreten, erstellen Sie
bitte einen neuen Benutzer und eine neue Keytab-Datei. Wenn dieselbe Keytab-Datei, die ursprünglich erstellt wurde,
erneut ausgeführt wird, wird sie nicht korrekt konfiguriert.
162 iDRAC für die einfache Anmeldung oder Smart Card-Anmeldung konfigurieren