Users Guide

ManualsBrandsDell ManualsSoftwareDell Chassis Management Controller Version 3.1

シングルサインオンの設定

Microsoft Windows 2000、Windows XP、Windows Server 2003、WindowsVista、Windows 7、および Windows Server 2008 では、ネットワーク認証プロトコル Kerberos を

認証方法として使用することが可能であるため、ドメインにサインインしたユーザーは、次に使用するアプリケーション（Exchange など）への自動的なサインインまたはシングルサインオンが可能になり

ます。

CMC バージョン 2.10 以降では、CMC は Kerberos を使ってシングルサインオンおよび Smart Card ログオンの 2 つの追加ログインタイプをサポートすることができるようになりました。シングル

サインオンでログインする場合、CMC はクライアントシステムの資格情報を使用します。この資格情報は、有効な ActiveDirectoryアカウントを使ってログインした後、オペレーティングシステムによ

ってキャッシュされます。



システム要件

Kerberos 認証を使用するには、ネットワークには次のアイテムが必要です。

l DNS サーバー

l Microsoft Active Directory Server

l Kerberos キー配付センター（Active Directory サーバーソフトウェアに同梱）

l DHCP サーバー（推奨）

l DNS サーバー用のリバース（逆引き）ゾーンには Active Directory サーバーと CMC 用のエントリが必要です。



クライアントシステム

l Smart Card でログインする場合は、クライアントシステムには Microsoft Visual C++ 2005 再頒布可能なプログラムが必要です。詳細については、

www.microsoft.com/downloads/details.aspx?FamilyID=32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en を参照してください。

l シングルサインオンと Smart Card ログインでは、クライアントシステムは Active Directory ドメインと Kerberos 領域の一部である必要があります。



デル拡張 Active Directory ユーザーとコンピュータスナップインはモードをチェックし、混合モードであれば、

ドメイン間でオブジェクトを作成するためにユーザーを制限します。

CMC と Active Directory の併用は、複数のドメイン環境をサポートしますか?

はい。ドメインフォレストの機能レベルは、ネイティブか Windows 2003 モードであることが必要です。また、

関連オブジェクト、RAC ユーザーオブジェクト、および RAC デバイスオブジェクト（関連オブジェクトを含む）に

あるグループはユニバーサルグループである必要があります。

これらの Dell 拡張オブジェクト（Dell 関連オブジェクト、Dell RAC デバイス、および

Dell 特権オブジェクト）をいくつかのドメインに分散できますか?

関連オブジェクトと特権オブジェクトは同じドメインの中に置く必要があります。Dell 拡張 Active Directory

ユーザーとコンピュータスナップインを使用する場合、これら 2 つのオブジェクトを同じドメインに作成すること

が強制されます。その他のオブジェクトは別のドメインに作成することができます。

ドメインコントローラの SSL 設定に制限はありますか?

はい。CMC では、信頼できる認証局の署名付き SSL 証明書を 1 つしかアップロードできないため、フォレスト

内の Active Directory サーバーの SSL 証明書はすべて同じルート認証局によって署名される必要があり

ます。

新しい RAC 証明書を作成しアップロードしましたが、ウェブインタフェースが起動しま

せん。

Microsoft 証明書サービスを使用して RAC 証明書を生成した場合、証明書の作成時にウェブ証明書でな

くユーザー証明書を誤って選択した可能性があります。

回復するには、CSR を生成して、Microsoft 証明書サービスから新しいウェブ証明書を作成し、次の

RACADM コマンドを入力してアップロードします。

racadm sslcsrgen [-g] [-f {ファイル名}]

racadm sslcertupload -t 1 -f {web_sslcert}

Active Directory 認証を使って CMC にログインできない場合は、どうすればよいで

すか?この問題はどのようにトラブルシューティングできますか?

1. ログインに NetBIOS 名でなく、正しいユーザードメイン名が使用されていることを確認します。

2. ローカルの CMC ユーザーアカウントがある場合は、ローカルの資格情報を使用して CMC にログイ

ンします。

ログインした後、次の手順を実行してください。

a. CMC Active Directory 設定ページの Active Directory を有効にするチェックボックスがオン

になっていることを確認します。

b. CMC ネットワーク設定ページの DNS 設定が正しいことを確認します。

c. Active Directory ルート認証局の署名付き証明書から Active Directory 証明書を CMC にアッ

プロードしたことを確認します。

d. ドメインコントローラの SSL 証明書の有効期限が切れていないことを確認します。

e. CMC 名、ルートドメイン名、および CMC ドメイン名が Active Directory の環境設定と一致す

ることを確認します。

f. CMC のパスワードが 127 文字以内であることを確認します。CMC は最大 256 文字のパスワード

をサポートしていますが、Active Directory がサポートしているパスワード長は最大 127 文字で

す。

メモ：ログイン方法を選択しても、他のログインインタフェース（SSH など）に対してポリシー属性が設定されるわけではありません。他のログインインターフェースに対しては別のポリシー属性を

設定する必要があります。すべてのログインインタフェースを無効にするには、サービスページに移動してからすべて（または一部の）ログインインタフェースを無効にします。

メモ：メモ： Windows 2003 で Active Directory を使用する場合は、クライアントシステムに最新のサービスパックとパッチがインストールされていることを確認してください。

Windows 2008 で Active Directory を使用する場合は、SP1 と次のホットフィックスがインストールされていることを確認してください。

KTPASS ユーティリティ用 Windows6.0-KB951191-x86.msu。このパッチがないと、ユーティリティで不良な keytab ファイルが生成されます。

LDAP バインド中に GSS_API および SSL トランザクションに使用する Windows6.0-KB957072-x86.msu。