HP Integrated Lights-Out 2 Benutzerhandbuch
Seite 55
Um sicherzustellen, dass das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt
wurde, vergleicht iLO 2 die Signatur des Zertifikats mit dem in iLO 2 konfigurierten CA-Zertifikat.
iLO 2 stellt sicher, dass das Zertifikat nicht gesperrt wurde und einem Benutzer in der lokalen
Benutzerdatenbank von iLO 2 zugewiesen ist. Wenn das Zertifikat alle Tests besteht, wird die
normale iLO 2 Benutzeroberfläche angezeigt.
Wenn die Authentifizierung Ihrer Anmeldeinformationen fehlschlägt, wird die Seite „Login Failed“
(Anmeldung fehlgeschlagen) angezeigt. Nach einer fehlgeschlagenen Anmeldung werden Sie
aufgefordert, den Browser zu schließen, eine neue Browserseite zu öffnen und einen erneuten
Verbindungsversuch zu starten. Wenn die Verzeichnisauthentifizierung aktiviert ist und die lokale
Benutzerauthentifizierung fehlschlägt, zeigt iLO 2 eine Anmeldeseite an, in dem das Feld für den
Verzeichnisbenutzernamen bereits mit dem ersten Benutzernamen aus dem Zertifikat oder mit dem
eindeutigen Namen von dem Zertifikatantragsteller ausgefüllt ist. Sie werden von iLO 2 aufgefordert,
das Kennwort für das Konto anzugeben. Nach Eingabe des Kennwortes sind Sie authentifiziert.
Verwenden der 2-Faktor-Authentifizierung mit der Verzeichnisauthentifizierung
Die Konfiguration der 2-Faktor-Authentifizierung zusammen mit der Verzeichnisauthentifizierung
kann sich in manchen Fällen schwierig gestalten. Um iLO 2 in Verzeichnisdienste zu integrieren,
kann entweder ein HP erweitertes Schema oder das Standard-Verzeichnisschema verwendet
werden. Um die Sicherheit bei aktivierter 2-Faktor-Authentifizierung zu gewährleisten, verwendet
iLO 2 ein Attribut aus dem Client-Zertifikat als Anmeldename für den Verzeichnisbenutzer. Welches
Zertifikatattribut iLO 2 verwendet, wird durch die Einstellung für „Certificate Owner Field“
(Zertifikatseigentümer-Feld) festgelegt, die auf der Seite „Two-Factor Authentication Settings“
(2-Faktor-Authentifizierung – Einstellungen) konfiguriert wird. Wenn für „Certificate Owner Feld“
(Zertifikatseigentümer-Feld) die Einstellung „SAN“ (Alternativer Antragstellername) festgelegt ist,
erhält iLO 2 den Anmeldenamen des Verzeichnisbenutzers aus dem UPN-Attribut des SAN. Wenn
für „Certificate Owner Field“ (Zertifikatseigentümer-Feld) die Einstellung „Subject“ (Antragsteller)
festgelegt ist, erhält iLO 2 den eindeutigen Namen des Verzeichnisbenutzers vom
Zertifikatsantragsteller.
Die Konfiguration dieser Einstellung hängt von der verwendeten Methode für die
Verzeichnisintegration ab, von der Verzeichnisarchitektur und von den Informationen, die in den
ausgestellten Benutzerzertifikaten enthalten sind. In den folgenden Beispielen wird vorausgesetzt,
dass Sie über die entsprechenden Berechtigungen verfügen.
Authentifizierung unter Verwendung des Standard-Verzeichnisschemas, Teil 1: Der eindeutige
Name eines Benutzers im Verzeichnis lautet CN=John Doe, OU=IT, DC=MyCompany, DC=com.
Die Attribute des Zertifikats des Benutzers John Doe lauten:
•
Subject: (Antragsteller:) DC=com/DC=MyCompany/OU=IT/CN=John Doe
•
SAN/UPN: [email protected]
Die Authentifizierung bei iLO 2 mit dem Benutzernamen [email protected] und dem
Kennwort ist nur dann erfolgreich, wenn die 2-Faktor-Authentifizierung nicht erzwungen wird.
Nachdem die 2-Faktor-Authentifizierung erzwungen wurde, wird bei Auswahl von SAN auf der
Seite „Two-Factor Authentication Settings“ (2-Faktor-Authentifizierungseinstellungen) das Feld
„Directory User“ (Verzeichnisbenutzer) auf der Anmeldeseite automatisch mit
[email protected]
ausgefüllt. Das Kennwort kann eingegeben werden, der Benutzer
wird jedoch nicht authentifiziert. Der Benutzer wird nicht authentifiziert, da der aus dem Zertifikat
Sicherheit
55