HP Integrated Lights-Out Benutzerhandbuch

Wenn ein Telnet, SSH- oder Serial CLI-Zugriff erforderlich ist, aktivieren Sie diese Einstellungen erneut,
nachdem Sie die Option der 2-Faktor-Authentifizierung aktiviert haben. Da diese Zugriffsmethoden
jedoch keine 2-Faktor-Authentifizierung ermöglichen, ist für den Zugriff auf iLO 2 mit Telnet, SSH oder
Serial CLI lediglich eine einfache Authentifizierung erforderlich.

Wenn die 2-Faktor-Authentifizierung aktiviert ist, wird der Zugriff mit dem CPQLOCFG-Utility deaktiviert,
da CPQLOCFG nicht alle Anforderungen für die Authentifizierung erfüllt. Das Utility HPONCFG
hingegen ist funktionsbereit, da für die Ausführung dieses Utility Administratorberechtigungen auf dem
Hostsystem erforderlich sind.

Die 2-Faktor-Authentifizierung kann nur funktionieren, wenn ein Zertifikat einer vertrauenswürdigen
Zertifizierungsstelle vorhanden ist. Der Wert für die Einstellung „Two-Factor Authentication
Enforcement“ (2-Faktor-Authentifizierung erzwingen) kann nur in „Enabled“ (Aktiviert) geändert werden,
wenn ein vertrauenswürdiges CA-Zertifikat konfiguriert ist. Wenn lokale Benutzerkonten verwendet
werden, müssen Sie das Client-Zertifikat außerdem einem lokalen Benutzerkonto zuordnen. Die
Zuordnung von Client-Zertifikaten zu lokalen Benutzerkonten ist nicht zwingend erforderlich, wenn iLO
2 die Verzeichnisauthentifizierung verwendet.

So ändern Sie die Sicherheitseinstellungen der 2-Faktor-Authentifizierung für iLO 2:

1.

Melden Sie sich bei iLO 2 mit einem Konto an, das über die Berechtigung „Configure iLO 2
Settings“ (iLO 2 Einstellungen konfigurieren) verfügt.

2.

Klicken Sie auf Administration>Security>Two-Factor Authentication
(Administration>Sicherheit>2-Faktor-Authentifizierung).

3.

Ändern Sie die Einstellungen, indem Sie die Felder entsprechend ausfüllen.

4.

Klicken Sie auf Apply (Übernehmen), um diese Änderungen zu speichern.

Die Einstellung „Certificate Revocation Checking“ (Zertifikatsperrprüfung) legt fest, ob iLO 2 mit dem
Zertifikatsattribut der CRL-Verteilungspunkte die aktuellste Zertifikatsperrliste (CRL) herunterlädt und
darin überprüft, ob das Client-Zertifikat darauf gesperrt ist. Wenn sich das Client-Zertifikat auf der
Zertifikatsperrliste (CRL) befindet oder Sie die CRL nicht heruntergeladen können, wird der Zugriff
verweigert. Wenn die Einstellung „Certificate Revocation Checking“ (Zertifikatssperrüberprüfung) auf
Yes (Ja) gesetzt ist, muss der CRL-Verteilungspunkt für iLO 2 verfügbar sein, und iLO muss auf den
Verteilungspunkt zugreifen können.

Die Einstellung „Certificate Owner Field“ (Zertifikatseigentümer-Feld) legt fest, welches Attribut im
Client-Zertifikat für die Authentifizierung beim Verzeichnis verwendet wird. Verwenden Sie die
Einstellung „Certificate Owner Field“ (Zertifikatseigentümer-Feld) nur, wenn die
Verzeichnisauthentifizierung aktiviert ist. Die Konfiguration dieser Einstellung hängt von der
verwendeten Version der Verzeichnisunterstützung, der Verzeichniskonfiguration und den Richtlinien
für die Ausstellung von Zertifikaten in Ihrem Unternehmen ab. Bei Angabe von „SAN“ (Subject
Alternative Name) extrahiert iLO 2 aus dem Attribut „Subject Alternative Name“ (Alternativer
Subjektname) den „User Principal Name“ (Erster Benutzername) und verwendet ihn bei der
Authentifizierung beim Verzeichnis (Beispiel: benutzername@domäne.erweiterung). Wenn der
Subjektname beispielsweise /DC=com/DC=domain/OU=organization/CN=user lautet, leitet iLO
2 Folgendes ab: CN=user, OU=organization, DC=domain, DC=com.

Erstmaliges Einrichten der 2-Faktor-Authentifizierung

Wenn die 2-Faktor-Authentifizierung zum ersten Mal eingerichtet wird, können Sie lokale
Benutzerkonten oder Verzeichnisbenutzerkonten verwenden. Weitere Informationen über die
Einstellungen der 2-Faktor-Authentifizierung finden Sie im Abschnitt „2-Faktor-Authentifizierung“ (siehe

„2-Faktor-Authentifizierung“ auf Seite 46

).

DEWW

Sicherheit

47