Regresar a la página de contenido
Activación de la autenticación con Kerberos
Guía del usuario de Integrated Dell™ Remote Access Controller 6 (iDRAC6) versión 1.1
Requisitos previos para el inicio de sesión único y la autenticación de Active Directory mediante tarjeta inteligente
Configuración del iDRAC6 para el inicio de sesión único y la autenticación de Active Directory mediante tarjeta inteligente
Configuración de usuarios de Active Directory para el inicio de sesión único
Inicio de sesión en el iDRAC6 con la función de inicio de sesión único para usuarios de Active Directory
Configuración de usuarios de Active Directory para inicio de sesión con tarjeta inteligente
Kerberos es un protocolo de autenticación de red que permite que los sistemas se comuniquen de forma segura a través de una red sin protección. Para ello,
los sistemas deben demostrar su autenticidad. Para mantener los más altos estándares de cumplimiento de autenticación, el iDRAC6 ahora admite la
®
autenticación de Active Directory
®
®
Microsoft
Windows
2000, Windows XP, Windows Server
predeterminado.
El iDRAC6 utiliza Kerberos para admitir dos tipos de mecanismos de autenticación: el inicio de sesión único y con tarjeta inteligente en Active Directory. Para el
inicio de sesión único, el iDRAC6 emplea las credenciales de usuario almacenadas en caché en el sistema operativo al iniciar sesión mediante una cuenta válida
de Active Directory.
Para el inicio de sesión con tarjeta inteligente de Active Directory, el iDRAC6 utiliza la autenticación de dos factores (TFA) con tarjeta inteligente a modo de
credenciales para permitir el inicio de sesión en Active Directory. Ésta es la función siguiente a la autenticación con tarjeta inteligente local.
La autenticación de Kerberos en el iDRAC6 fallará si la hora del iDRAC6 difiere de la hora del controlador de dominio. Se permite una diferencia máxima de 5
minutos. Para permitir una autenticación correcta, sincronice la hora del servidor con la hora del controlador de dominio y después restablezca el iDRAC6.
También puede utilizar el siguiente comando de diferencia de zona horaria de RACADM para sincronizar la hora:
racadm config -g cfgRacTuning -o
cfgRacTuneTimeZoneOffset <valor de diferencia>
Requisitos previos para el inicio de sesión único y la autenticación de Active
Directory mediante tarjeta inteligente
Configure el iDRAC6 para el inicio de sesión de Active Directory. Para obtener más información, consulte "Uso de Active Directory para iniciar sesión en el
l
iDRAC6".
Registre el iDRAC6 como equipo en el dominio raíz de Active Directory.
l
a. Haga clic en Acceso remoto® lengüeta Configuración® sublengüeta Red.
b. Indique una dirección IP de servidor DNS alternativo/preferido que sea válida. Este valor señala la dirección IP del servidor DNS que forma
parte del dominio raíz, que autentica las cuentas de Active Directory de los usuarios.
c. Seleccione Registrar el iDRAC en DNS.
d. Brinde un nombre de dominio DNS válido.
Consulte la ayuda en línea del iDRAC6 para obtener información adicional.
Para permitir el uso de los dos nuevos mecanismos de autenticación, el iDRAC6 admite la configuración para activarse como servicio "kerberizado" en
una red Windows con Kerberos. La configuración de Kerberos en el iDRAC6 requiere los mismos pasos que la configuración de un servicio Kerberos
externo a Windows Server como principal función de seguridad en Windows Server Active Directory.
La herramienta ktpass de Microsoft (proporcionada por Microsoft como parte del CD/DVD de instalación del servidor) se utiliza para crear el enlace del
nombre principal de servicio (SPN) con una cuenta de usuario y exportar la información de confianza a un archivo keytab de Kerberos de tipo MIT, lo que
permite establecer una relación de confianza entre un usuario o sistema externo y el centro de distribución de claves (KDC). El archivo keytab contienen
una clave criptográfica que se usa para cifrar la información entre el servidor y el KDC. La herramienta ktpass permite el uso de servicios basados en
UNIX que admiten la autenticación Kerberos para ejecutar las funciones de interoperabilidad proporcionadas por un servicio Kerberos KDC de Windows
Server.
El archivo keytab que se obtiene de la utilidad ktpass está disponible para el iDRAC6 como archivo para cargar y es activado para actuar como un
servicio kerberizado en la red.
Como el iDRAC6 es un dispositivo con un sistema operativo que no es Windows, ejecute la utilidad ktpass (que es parte de Microsoft Windows) en el
controlador de dominio (servidor Active Directory) donde desea asignar el iDRAC6 a una cuenta de usuario de Active Directory.
Por ejemplo, utilice el comando ktpass a continuación para crear el archivo keytab de Kerberos:
C:\>ktpass -princ HOST/dracname.domainname.com@DOMAINNAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out
c:\krbkeytab
El tipo de cifrado admitido por el iDRAC6 para la autenticación con Kerberos es DES-CBC-MD5. El tipo principal es KRB5_NT_PRINCIPAL. Las siguientes
propiedades de la cuenta de usuario a la que está conectado el nombre principal de servicio deberán estar activadas:
Usar tipos de cifrado DES para esta cuenta
l
No requerir autenticación previa de Kerberos
l
con Kerberos para permitir el inicio de sesión único y con tarjeta inteligente en Active Directory.
®
2003, Windows Vista
®
y Windows Server 2008 utilizan Kerberos como método de autenticación