Cmc; Prérequis Pour La Connexion Directe Ou Par Carte À Puce; Génération D'un Fichier Keytab Kerberos - Dell PowerEdge VRTX Guide D'utilisation

• Pour la connexion directe ou par carte à puce, le système client doit faire partie du domaine Active Directory et du
royaume Kerberos.

CMC

• Chaque CMC doit posséder un compte Active Directory.
• CMC doit faire partie du domaine Active Directory et du royaume Kerberos.
Prérequis pour la connexion directe ou par carte à puce
Les prérequis de configuration de la connexion directe (SSO) ou par carte à puce sont les suivants :
• Configurez le royaume kerberos et le KDC (Key Distribution Center, centre de distribution de clés) pour Active
Directory (ksetup).
• Installez une infrastructure NTP et DNS robuste pour éviter les problèmes de dérive d'horloge et de recherche
inversée.
• Configurez CMC avec le groupe de rôles de schéma standard Active Directory, avec des membres autorisés.
• Pour la carte à puce, créez des utilisateurs Active Directory pour chaque CMC, configurés pour utiliser le
cryptage DES Kerberos, mais pas la préauthentification.
• Configurez le navigateur pour la connexion directe (SSO) ou par carte à puce.
• Enregistrez les utilisateurs CMC auprès du centre de distribution de clés avec Ktpass (cela génère également une
clé pour le téléversement dans CMC).
Génération d'un fichier Keytab Kerberos
Pour prendre en charge l'authentification de connexion directe (SSO) et par carte à puce, le contrôleur CMC prend en
charge le réseau Windows Kerberos. L'outil ktpass (disponible auprès de Microsoft sur le CD/DVD d'installation du
serveur) permet de créer des liaisons SPN (Service Principal Name) avec un compte utilisateur et d'exporter les
informations de confiance dans un fichier keytab Kerberos de type MIT. Pour plus d'informations sur l'utilitaire ktpass,
voir le site Web Microsoft.
Avant de générer un fichier keytab, vous devez créer le compte utilisateur Active Directory à utiliser avec l'option -
mapuser de la commande ktpass. Vous devez utiliser le même nom que le nom DNS du CMC vers lequel vous téléversez
le fichier keytab généré.
Pour générer un fichier keytab à l'aide de l'outil ktpass :
ktpass sur le contrôleur de domaine (serveur Active Directory) où vous souhaitez associer le
1. Exécutez l'utilitaire
contrôleur CMC à un compte utilisateur dans Active Directory.
2. Utilisez la commande ktpass suivante pour créer le fichier keytab Kerberos :
C:\>ktpass -princ HTTP/nom_cmc.nom_domaine.com@NOM_ROYAUME.COM - mapuser
dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:
\krbkeytab
REMARQUE : La valeur cmcname.domainname.com doit être en minuscules pour respecter la
norme RFC et la valeur @REALM_NAME doit être en majuscules. Le contrôleur CMC prend également en
charge le type de cryptage DES-CBC-MD5 pour l'authentification Kerberos.
Le fichier keytab est généré et vous devez le téléverser dans CMC.
REMARQUE : Le fichier keytab contient une clé de cryptage et doit être conservé en lieu sûr. Pour plus
d'informations sur l'utilitaire
140
ktpass , voir le site Web Microsoft.