Activación De La Autentificación Con Kerberos; Requisitos Previos Para El Inicio De Sesión Único Y La Autentificación De Active; Directory Mediante Tarjeta Inteligente - Dell iDRAC6 Guia Del Usuario
Ocultar thumbs
Ver también para iDRAC6:
- Guia del usuario (416 páginas) ,
- Guía de usuario (171 páginas) ,
- Guia del usuario (238 páginas)
Tabla de contenido
Publicidad
Regresar a la página de contenido
Activación de la autentificación con Kerberos
Guía del usuario de Integrated Dell™ Remote Access Controller 6 (iDRAC6) Enterprise para servidores Blade versión 2.1
Requisitos previos para el inicio de sesión único y la autentificación de Active Directory mediante tarjeta inteligente
Configuración del iDRAC6 para el inicio de sesión único y la autentificación de Active Directory mediante tarjeta inteligente
Configuración de usuarios de Active Directory para el inicio de sesión único
Inicio de sesión en el iDRAC6 con la función de inicio de sesión único para usuarios de Active Directory
Configuración de usuarios de Active Directory para inicio de sesión con tarjeta inteligente
Situaciones de inicio de sesión en el iDRAC6 con TFA y SSO
Kerberos es un protocolo de autentificación de red que permite que los sistemas se comuniquen de forma segura a través de una red sin protección. Para ello,
los sistemas deben demostrar su autenticidad. Para mantener los más altos estándares de cumplimiento de autentificación, el iDRAC6 ahora admite la
autentificación de Active Directory® con Kerberos para permitir el inicio de sesión único (SSO) y con tarjeta inteligente en Active Directory.
Microsoft® Windows® 2000, Windows XP, Windows Server® 2003, Windows Vista® y Windows Server 2008 utilizan Kerberos como método de autentificación
predeterminado.
El iDRAC6 utiliza Kerberos para admitir dos tipos de mecanismos de autentificación: el inicio de sesión único y con tarjeta inteligente en Active Directory. Para
el inicio de sesión único, el iDRAC6 emplea las credenciales de usuario almacenadas en caché en el sistema operativo al iniciar sesión mediante una cuenta
válida de Active Directory.
Para el inicio de sesión con tarjeta inteligente de Active Directory, el iDRAC6 utiliza la autentificación de dos factores (TFA) con tarjeta inteligente a modo de
credenciales para permitir el inicio de sesión en Active Directory.
La autentificación de Kerberos en el iDRAC6 fallará si la hora del iDRAC6 difiere de la hora del controlador de dominio. Se permite una diferencia máxima de 5
minutos. Para permitir una autentificación correcta, sincronice la hora del servidor con la hora del controlador de dominio y después restablezca el iDRAC6.
También puede utilizar el siguiente comando de diferencia de zona horaria de RACADM para sincronizar la hora:
racadm config -g cfgRacTuning -o
cfgRacTuneTimeZoneOffset <valor de diferencia>
Requisitos previos para el inicio de sesión único y la autentificación de Active
Directory mediante tarjeta inteligente
Configure el iDRAC6 para el inicio de sesión de Active Directory.
l
Registre el iDRAC6 como computadora en el dominio raíz de Active Directory.
l
a. Haga clic en Sistema® Acceso remoto® iDRAC6® Red/Seguridad® subficha Red.
b. Indique una dirección IP de servidor DNS alternativo/preferido que sea válida. Este valor señala la dirección IP del servidor DNS que forma
parte del dominio raíz, que autentifica las cuentas de Active Directory de los usuarios.
c. Seleccione Registrar el iDRAC6 en el DNS.
d. Brinde un nombre de dominio DNS válido.
e. Verifique que la configuración de DNS de la red coincida con la información de DNS de Active Directory.
Consulte la ayuda en línea del iDRAC6 para obtener más información.
Para permitir el uso de los dos nuevos mecanismos de autentificación, el iDRAC6 admite la configuración para activarse como servicio "kerberizado" en
una red Windows con Kerberos. La configuración de Kerberos en el iDRAC6 requiere los mismos pasos que la configuración de un servicio Kerberos
externo a Windows Server como principal función de seguridad en Windows Server Active Directory.
La herramienta ktpass de Microsoft (proporcionada por Microsoft como parte del CD/DVD de instalación del servidor) se utiliza para crear el enlace del
nombre principal de servicio (SPN) con una cuenta de usuario y exportar la información de confianza a un archivo keytab de Kerberos de tipo MIT, lo que
permite establecer una relación de confianza entre un usuario o sistema externo y el centro de distribución de claves (KDC). El archivo keytab contienen
una clave criptográfica que se usa para cifrar la información entre el servidor y el KDC. La herramienta ktpass permite el uso de servicios basados en
UNIX que admiten la autentificación Kerberos para ejecutar las funciones de interoperabilidad proporcionadas por un servicio Kerberos KDC de Windows
Server.
El archivo keytab que se obtiene de la utilidad ktpass está disponible para el iDRAC6 como archivo para cargar y está activado para actuar como un
servicio kerberizado en la red.
Como el iDRAC6 es un dispositivo con un sistema operativo que no es Windows, ejecute la utilidad ktpass (que es parte de Microsoft Windows) en el
controlador de dominio (servidor Active Directory) donde desea asignar el iDRAC6 a una cuenta de usuario de Active Directory.
Por ejemplo, utilice el comando ktpass a continuación para crear el archivo keytab de Kerberos:
C:\> ktpass.exe -princ HTTP/nombre_de_idrac.nombre_de_dominio.com@NOMBRE_DE_DOMINIO.COM -mapuser NOMBRE_DE_DOMINIO\nombre_de_usuario -
mapOp set -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass <contraseña> +DesOnly -out c:\krbkeytab
NOTA:
Si tiene algún problema con el usuario de iDRAC6 para quien se crea el archivo keytab, cree un nuevo usuario y un nuevo archivo keytab.
Si se ejecuta nuevamente el mismo archivo keytab que se creó inicialmente, no se configurará correctamente.
Luego de que el comando anterior se ejecute correctamente, ejecute el siguiente comando:
Publicidad
Tabla de contenido
Solución de problemas
