HP Integrated Lights-Out 2 Benutzerhandbuch
Seite 56
Verbindungsversuch zu starten. Wenn die Verzeichnisauthentifizierung aktiviert ist und die lokale
Benutzerauthentifizierung fehlschlägt, zeigt iLO 2 eine Anmeldeseite an, in dem das Feld für den
Verzeichnisbenutzernamen bereits mit dem ersten Benutzernamen aus dem Zertifikat oder mit dem
eindeutigen Namen von dem Zertifikatantragsteller ausgefüllt ist. Sie werden von iLO 2 aufgefordert,
das Kennwort für das Konto anzugeben. Nach Eingabe des Kennwortes sind Sie authentifiziert.
Verwenden der 2-Faktor-Authentifizierung mit der Verzeichnisauthentifizierung
Die Konfiguration der 2-Faktor-Authentifizierung zusammen mit der Verzeichnisauthentifizierung
kann sich in manchen Fällen schwierig gestalten. Um iLO 2 in Verzeichnisdienste zu integrieren,
kann entweder ein HP erweitertes Schema oder das Standard-Verzeichnisschema verwendet
werden. Um die Sicherheit bei aktivierter 2-Faktor-Authentifizierung zu gewährleisten, verwendet
iLO 2 ein Attribut aus dem Client-Zertifikat als Anmeldename für den Verzeichnisbenutzer. Welches
Zertifikatattribut iLO 2 verwendet, wird durch die Einstellung für „Certificate Owner Field“
(Zertifikatseigentümer-Feld) festgelegt, die auf der Seite „Two-Factor Authentication Settings“
(2-Faktor-Authentifizierung – Einstellungen) konfiguriert wird. Wenn für „Certificate Owner Feld“
(Zertifikatseigentümer-Feld) die Einstellung „SAN“ (Alternativer Antragstellername) festgelegt ist,
erhält iLO 2 den Anmeldenamen des Verzeichnisbenutzers aus dem UPN-Attribut des SAN. Wenn
für „Certificate Owner Field“ (Zertifikatseigentümer-Feld) die Einstellung „Subject“ (Antragsteller)
festgelegt ist, erhält iLO 2 den eindeutigen Namen des Verzeichnisbenutzers vom
Zertifikatsantragsteller.
Die Konfiguration dieser Einstellung hängt von der verwendeten Methode für die
Verzeichnisintegration ab, von der Verzeichnisarchitektur und von den Informationen, die in den
ausgestellten Benutzerzertifikaten enthalten sind. In den folgenden Beispielen wird vorausgesetzt,
dass Sie über die entsprechenden Berechtigungen verfügen.
Authentifizierung unter Verwendung des Standard-Verzeichnisschemas, Teil 1: Der eindeutige
Name eines Benutzers im Verzeichnis lautet CN=John Doe,OU=IT,DC=MyCompany,DC=com.
Die Attribute des Zertifikats des Benutzers John Doe lauten:
•
Subject: DC=com/DC=MyCompany/OU=IT/CN=John Doe
•
SAN/UPN: [email protected]
Die Authentifizierung für iLO 2 mit dem Benutzernamen username:[email protected]
und dem Kennwort ist nur dann erfolgreich, wenn die 2-Faktor-Authentifizierung nicht erzwungen
wird. Nachdem die 2-Faktor-Authentifizierung erzwungen wurde, wird bei Auswahl von „SAN“
auf der Seite „Two-Factor Authentication Settings“ (2-Faktor-Authentifizierungseinstellungen) das
Feld „Directory User“ (Verzeichnisbenutzer) auf der Anmeldeseite automatisch mit
[email protected]
ausgefüllt. Das Kennwort kann eingegeben werden, der Benutzer
wird jedoch nicht authentifiziert. Der Benutzer wird nicht authentifiziert, da der aus dem Zertifikat
abgeleitete Name [email protected] nicht mit dem eindeutigen Namen des Benutzers
im Verzeichnis übereinstimmt. In diesem Fall müssen Sie auf der Seite „Two-Factor Authentication
Settings“ (2-Faktor-Authentifizierung – Einstellungen) die Option Subject (Antragsteller) wählen. Da
Feld „Directory User“ (Verzeichnisbenutzer) auf der Anmeldeseite wird dann mit dem tatsächlichen
eindeutigen Namen des Benutzers ausgefühlt, wie beispielsweise:
CN=John Doe,OU=IT,DC=MyCompany,DC=com
Bei Eingabe des korrekten Kennwortes wird der Benutzer authentifiziert.
Authentifizierung unter Verwendung des Standard-Verzeichnisschemas, Teil 2: Der eindeutige
Name eines Benutzers im Verzeichnis lautet
[email protected],OU=IT,DC=MyCompany,DC=com
. Die Attribute des Zertifikats
des Benutzers John Doe lauten:
•
Subject: DC=com/DC=MyCompany/OU=Employees/CN=John Doe/
•
SAN/UPN: [email protected]
56
Konfigurieren von iLO 2