Comptes utilisateur, Génération d'un fichier keytab, Comptes utilisateur génération d'un fichier keytab – HP Integrated Lights-Out 4 Manuel d'utilisation

•

Nom du domaine parent : example.net

•

Nom du domaine iLO (pleinement qualifié) : iloname.example.net

Comptes utilisateur

Un compte utilisateur doit être présent et activé dans l'annuaire de domaine pour chaque utilisateur
autorisé à se connecter à iLO.

Génération d'un fichier keytab

Cette section décrit la façon de générer un fichier keytab pour iLO dans un environnement Windows.

Le nom d'hôte iLO que vous utilisez pour la génération d'un fichier keytab doit être identique au
nom d'hôte iLO configuré. Les noms d'hôte iLO font la distinction entre les majuscules et les
minuscules.
1.

Utilisez la commande ktpass pour générer un fichier de clés et définissez le secret partagé.

La commande est sensible à la casse et comporte des caractères spéciaux.

ktpass -out iloname.keytab +rndPass -ptype KRB5_NT_SRV_HST -mapuser

[email protected] -princ HTTP/[email protected]

La sortie doit être similaire à la suivante :

Targeting domain controller: domaincontroller.example.net
Using legacy password setting method
Successfully mapped HTTP/iloname.example.net to iloname.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to iloname.
keytab: Keytab version: 0x502
keysize 69 HTTP/[email protected] ptype 3
(KRB5 _NT_SRV_HST) vno 3 etype 0x17 (RC4-HMAC) keylength 16
(0x5a5c7c18ae23559acc2 9d95e0524bf23)

REMARQUE :

La commande ktpass est susceptible d'afficher un message indiquant que

le système ne peut pas définir l'UPN. Cela est acceptable car iLO est un service et non un
utilisateur. Vous pouvez être invité à confirmer la modification du mot de passe sur l'objet
ordinateur. Cliquez sur OK pour fermer la fenêtre et continuer à créer le fichier keytab.
N'utilisez pas l'option -kvno de la commande ktpass. Cela entraîne que l'option knvo
dans le fichier de clés est en décalage avec l'option kvno dans Active Directory.

2.

Utilisez la commande SetSPN pour attribuer le SPN Kerberos à l'objet ordinateur. Par
exemple :

SetSPN -A HTTP/iloname.example.net iloname

Si la commande SetSPN affiche un message d'erreur, procédez comme suit :
a.

Utilisez MMC avec le composant logiciel intégrable ADSIEdit et recherchez l'objet
ordinateur pour iLO.

b.

Définissez la propriété DNSHostName sur le nom DNS iLO. Par exemple :

cn=iloname,ou=us,ou=clients,dc=example,dc=net

3.

Utilisez la commande SetSPN -L iloname pour afficher les SPN et le DN d'iLO.

Vérifiez que le service HTTP/iloname.example.net est affiché.

REMARQUE :

La commande SetSPN est susceptible d'afficher un message indiquant que

le système ne peut pas définir l'UPN. Cela est acceptable car iLO est un service et non un
utilisateur. Vous pouvez être invité à confirmer la modification du mot de passe sur l'objet
ordinateur. Cliquez sur OK pour fermer la fenêtre et continuer à créer le fichier keytab.

274

Services d'annuaire