Regresaralapáginadecontenido
ActivacióndelaautentificaciónconKerberos
IntegratedDell™RemoteAccessController6(iDRAC6)EnterpriseparaservidoresBladeversión2.2Guíadelusuario
PrerrequisitosparaeliniciodesesiónúnicoylaautentificacióndeActiveDirectorymediantetarjetainteligente
ConfiguracióndeliDRAC6paraeliniciodesesiónúnicoylaautentificacióndeActiveDirectorymediantetarjetainteligente
ConfiguracióndeusuariosdeActiveDirectoryparaeliniciodesesiónúnico
IniciodesesióneneliDRAC6conlafuncióndeiniciodesesiónúnicoparausuariosdeActiveDirectory
ConfiguracióndeusuariosdeActiveDirectoryparainiciodesesióncontarjetainteligente
SituacionesdeiniciodesesióneneliDRAC6conTFAySSO
Kerberosesunprotocolodeautentificaciónderedquepermitequelossistemassecomuniquendeformaseguraatravésdeunaredsinprotección.Paraello,
lossistemasdebendemostrarsuautenticidad.Paramantenerlosmásaltosestándaresdecumplimientodeautentificación,eliDRAC6ahoraadmitela
autentificacióndeActiveDirectory
®
conKerberosparapermitireliniciodesesiónúnico(SSO)ycontarjetainteligenteenActiveDirectory.
Microsoft
®
Windows
®
2000, Windows XP, Windows Server
®
2003,WindowsVista
®
yWindowsServer2008utilizanKerberoscomométododeautentificación
predeterminado.
EliDRAC6utilizaKerberosparaadmitirdostiposdemecanismosdeautentificación:EliniciodesesiónúnicoycontarjetainteligenteenActiveDirectory.Para
eliniciodesesiónúnico,eliDRAC6emplealascredencialesdeusuarioalmacenadasencachéenelsistemaoperativoaliniciarsesiónmedianteunacuenta
válidadeActiveDirectory.
ParaeliniciodesesióncontarjetainteligentedeActiveDirectory,eliDRAC6utilizalaautentificacióndedosfactores(TFA)contarjetainteligenteamodode
credencialesparapermitireliniciodesesiónenActiveDirectory.
LaautentificacióndeKerberoseneliDRAC6fallarásilahoradeliDRAC6difieredelahoradelcontroladordedominio.Sepermiteunadiferenciamáximade5
minutos.Parapermitirunaautentificacióncorrecta,sincronicelahoradelservidorconlahoradelcontroladordedominioydespuésrestablezca el iDRAC6.
TambiénpuedeutilizarelsiguientecomandodediferenciadezonahorariadeRACADMparasincronizarlahora:
racadm config -g cfgRacTuning -o
cfgRacTuneTimeZoneOffset <valor de diferencia>
PrerrequisitosparaeliniciodesesiónúnicoylaautentificacióndeActiveDirectory
mediante tarjeta inteligente
l ConfigureeliDRAC6paraeliniciodesesióndeActiveDirectory.
l RegistreeliDRAC6comoequipoeneldominioraízdeActiveDirectory.
a. Haga clic en Sistema® Acceso remoto® iDRAC6® Red/Seguridad® subficha Red.
b. IndiqueunadirecciónIPdeservidor DNS alternativo/preferidoqueseaválida.EstevalorseñalaladirecciónIPdelservidorDNSqueforma
partedeldominioraíz,queautentificalascuentasdeActiveDirectorydelosusuarios.
c. Seleccione Registrar el iDRAC6 en el DNS.
d. Brinde un nombre de dominio DNSválido.
e. VerifiquequelaconfiguracióndeDNSdelaredcoincidaconlainformacióndeDNSdeActiveDirectory.
ConsultelaayudaenlíneadeliDRAC6paraobtenermásinformación.
Parapermitirelusodelosdosnuevosmecanismosdeautentificación,eliDRAC6admitelaconfiguraciónparaactivarsecomoservicio"kerberizado"en
unaredWindowsconKerberos.LaconfiguracióndeKerberoseneliDRAC6requierelosmismospasosquelaconfiguracióndeunservicioKerberos
externoaWindowsServercomoprincipalfuncióndeseguridadenWindowsServerActiveDirectory.
La herramienta ktpass deMicrosoft(proporcionadaporMicrosoftcomopartedelCD/DVDdeinstalacióndelservidor)seutilizaparacrearelenlacedel
nombreprincipaldeservicio(SPN)conunacuentadeusuarioyexportarlainformacióndeconfianzaaunarchivokeytab de Kerberos de tipo MIT, lo que
permiteestablecerunarelacióndeconfianzaentreunusuarioosistemaexternoyelcentrodedistribucióndeclaves(KDC).Elarchivokeytabcontienen
unaclavecriptográficaqueseusaparacifrarlainformaciónentreelservidoryelKDC.Laherramientaktpasspermiteelusodeserviciosbasadosen
UNIXqueadmitenlaautentificaciónKerberosparaejecutarlasfuncionesdeinteroperabilidadproporcionadasporunservicioKerberosKDCdeWindows
Server.
ElarchivokeytabqueseobtienedelautilidadktpassestádisponibleparaeliDRAC6comoarchivoparacargaryestáactivadoparaactuarcomoun
servicio kerberizado en la red.
Como el iDRAC6 es un dispositivo con un sistema operativo que no es Windows, ejecute la utilidad ktpass (que es parte de Microsoft Windows) en el
controlador de dominio (servidor Active Directory) donde desea asignar el iDRAC6 a una cuenta de usuario de Active Directory.
Por ejemplo, utilice el comando ktpassacontinuaciónparacrearelarchivokeytabdeKerberos:
C:\> ktpass.exe
-princ HTTP/[email protected] -mapuser DOMAINNAME\username -mapOp set -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass<contraseña>+DesOnly-out c:\krbkeytab
Luego de que el comando anterior se ejecute correctamente, ejecute el siguiente comando: