Настройка kerberos, Генерация файла служебного ключа – Инструкция по эксплуатации Dell PowerVault ML6000
Страница 49
Конфигурирование библиотеки
file:///T|/htdocs/stor-sys/ML6000/ru/html/ch04.htm[9/17/2012 2:37:47 PM]
После настройки параметров протокола LDAP сохраните конфигурацию библиотеки.
Примечание.
Пошаговые инструкции по настройке LDAP в библиотеке см. в интерактивной справке по библиотеке. Для доступа к
интерактивной справочной системе щелкните по значку Help (Справка) в правом верхнем углу окна веб-клиента.
Просматривать, включать и настраивать параметры LDAP можно в веб-клиенте библиотеки. Нельзя использовать панель оператора для
настройки параметров LDAP.
Для перехода к соответствующему экрану выполните следующие действия:
•
В веб-клиенте выберите Setup (Настройка) > User Management (Управление пользователями) > Remote Authentication
(Удаленная аутентификация).
Настройка Kerberos
Используйте Kerberos при необходимости усилить безопасность при удаленной аутентификации.
Убедитесь, что время в библиотеке и на сервере Kerberos/Active Directory® совпадает (допускается разница в 5 минут). В противном случае
произойдет сбой аутентификации. Для синхронизации времени между библиотекой и сервером Kerberos рекомендуется использовать сетевой
протокол времени (NTP). См. раздел
Установка даты и времени с использованием протокола службы времени
.
Заполните следующие поля, относящиеся к Kerberos, а также все поля LDAP:
•
Realm (Область) — имя области Kerberos, все буквы в верхнем регистре. Обычно оно совпадает с доменным именем DNS.
Пример: MYCOMPANY.COM
•
KDC (Сервер AD) — Центр распределения ключей (другими словами, сервер на котором установлена программа Kerberos/Active
Directory).
Пример: mycompany.com:88
•
Domain Mapping (Сопоставление домена) — часть полностью квалифицированного доменного имени библиотеки, относящаяся к
домену.
Пример: mycompany.com
•
Service Keytab (Служебный ключ) — нажмите кнопку Browse (Обзор) и выберите файл служебного ключа. Этот файл генерируется на
сервере Kerberos/Active Directory® (AD). См. раздел
Генерация файла служебного ключа
.
Просматривать, включать и настраивать параметры Kerberos можно в веб-клиенте. Нельзя использовать панель оператора для настройки
параметров Kerberos.
Для перехода к соответствующему экрану выполните следующие действия:
•
В веб-клиенте выберите Setup (Настройка) > User Management (Управление пользователями) > Remote Authentication
(Удаленная аутентификация).
Генерация файла служебного ключа
Эти инструкции служат для генерации служебного файла таблицы ключей для использования с программой Microsoft® Active Directory®. При
использовании Active Directory, обратитесь к поставщику программы Kerberos для получения инструкций для генерации этого файла.
1
Настройте домен Active Directory на сервере Windows.
2
Если Active Directory еще не настроена, запустите dcpromo.
3
Только для серверов Windows 2003: установите средства поддержки Windows Support Tools на сервере Windows 2003 следующим
образом:
a
выполните поиск по запросу «windows server 2003 support tools sp2» или щелкните следующую ссылку:
b
Загрузите файлы support.cab и suptools.msi.
c
Запустите файл suptools.msi для начала установки.
4
Создайте учетную запись компьютера в Active Directory.
•
В процессе создания не устанавливайте никакие флажки.
•
Имя учетной записи будет использоваться для полей <учетная запись компьютера>, показанных в следующих шагах.
5
В командной строке сопоставьте имя SPN с этой учетной записью компьютера. Воспользуйтесь следующим форматом:
setspn -A library/<fqdn библиотеки> <учетная запись компьютера>
Например:
setspn -A library/delos.dvt.mycompany.com kerbtest
6
В командной строке создайте файл ключа для SPN. Воспользуйтесь одним из следующих форматов:
•
Для Windows 2003:
ktpass -out library.keytab -princ