Systèmes Clients; Cmc; Prérequis Pour La Connexion Directe Ou Par Carte À Puce; Génération D'un Fichier Keytab Kerberos - Dell PowerEdge FX2 Guide De L'utilisateur

Systèmes clients
• Pour utiliser uniquement la connexion par carte à puce, votre système client doit comporter la version redistribuable de Microsoft
Visual C++ 2005. Pour plus d'informations, visitez le site www.microsoft.com/downloads/details.aspx?FamilyID=
32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en.
• Pour la connexion directe ou par carte à puce, le système client doit faire partie du domaine Active Directory et du royaume Kerberos.

CMC

• Chaque CMC doit posséder un compte Active Directory.
• CMC doit faire partie du domaine Active Directory et du royaume Kerberos.
Prérequis pour la connexion directe ou par carte à
puce
Les prérequis de configuration de la connexion directe (SSO) ou par carte à puce sont les suivants :
• Configurez le royaume kerberos et le KDC (Key Distribution Center, centre de distribution de clés) pour Active Directory (ksetup).
• Installez une infrastructure NTP et DNS robuste pour éviter les problèmes de dérive d'horloge et de recherche inversée.
• Configurez CMC avec le groupe de rôles de schéma standard Active Directory, avec des membres autorisés.
• Pour la carte à puce, créez des utilisateurs Active Directory pour chaque CMC, configurés pour utiliser le cryptage DES Kerberos, mais
pas la préauthentification.
• Configurez le navigateur pour la connexion directe (SSO) ou par carte à puce.
• Enregistrez les utilisateurs CMC auprès du centre de distribution de clés avec Ktpass (cela génère également une clé pour le
téléversement dans CMC).
Génération d'un fichier Keytab Kerberos
Pour prendre en charge l'authentification unique (SSO) et l'authentification de connexion par carte à puce, le contrôleur CMC prend en
charge le réseau Windows Kerberos. L'outil ktpass permet de créer des liaisons SPN (Service Principal Name) avec un compte utilisateur
et d'exporter les informations d'approbation dans un fichier keytab Kerberos de type MIT. Pour en savoir plus sur l'utilitaire ktpass, voir le
site Web Microsoft.
Avant de générer un fichier keytab, vous devez créer le compte utilisateur Active Directory à utiliser avec l'option -mapuser de la
commande ktpass. Vous devez utiliser le même nom que le nom DNS du CMC vers lequel vous téléversez le fichier keytab généré.
Pour générer un fichier keytab à l'aide de l'outil ktpass :
1. Exécutez l'utilitaire ktpass sur le contrôleur de domaine (serveur Active Directory) où vous souhaitez associer le contrôleur CMC à un
compte utilisateur dans Active Directory.
2. Utilisez la commande ktpass suivante pour créer le fichier keytab Kerberos :
C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM - mapuser dracname -mapOp
set -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:\krbkeytab
REMARQUE : La valeur cmcname.domainname.com doit être en minuscules pour respecter la norme RFC et la valeur
@REALM_NAME doit être en majuscules. Le contrôleur CMC prend également en charge les types de cryptage DES-
CBC-MD5 et AES256-SHA1 pour l'authentification Kerberos.
Le fichier keytab est généré et vous devez le téléverser dans CMC.
REMARQUE : Le fichier keytab contient une clé de cryptage et doit être conservé en lieu sûr. Pour plus
d'informations sur l'utilitaire ktpass , voir le site Web Microsoft.
Configuration de CMC pour la connexion directe (SSO) ou la connexion par carte à puce 117