Users Guide
DRAC 5 の追加セキュリティオプションを有効にする
リモートシステムへの不正アクセスを防ぐため、DRAC 5 では次の機能を提供しています。
l IP アドレスのフィルタ(IPRange)— DRAC 5 にアクセスできる特定の IP アドレス範囲を定義します。
l IP アドレスのブロック — 特定の IP アドレスからのログイン試行の失敗回数を制限します。
これらの機能は DRAC 5 のデフォルト設定では無効になっています。 次のサブコマンドまたはウェブインタフェースを使用して、これらの機能を有効にしてください。
racadm config -g cfgRacTuning -o <オブジェクト名> <値>
さらに、これらの機能をセッションのアイドルタイムアウト値や、ネットワークに定義済みのセキュリティプランと一緒に使用してください。
以下のサブセクションでは、これらの機能について詳しく説明します。
IP フィルタ(IpRange)
IP アドレスフィルタ(または IP 範囲チェック)を使用すると、ユーザーが特定した範囲内にある IP アドレスのクライアントワークステーションや管理ワークステーションからのみ DRAC 5 へのアクセスを
許可できます。 その他のログインはすべて拒否されます。
IP フィルタは着信ログインの IP アドレスを、次の cfgRacTuning プロパティで指定する IP アドレス範囲と比べます。
l cfgRacTuneIpRangeAddr
l cfgRacTuneIpRangeMask
cfgRacTuneIpRangeMask プロパティは着信 IP アドレスと cfgRacTuneIpRangeAddr プロパティの両方に適用されます。 両方のプロパティの結果が同じであれば、着信ログイン要求が DRAC 5
へのアクセスを許可されます。 この範囲外の IP アドレスからのログインはエラーを受け取ります。
次の式がゼロと等しい場合に、ログインが続行します。
cfgRacTuneIpRangeMask & (<着信 IP アドレス> ^ cfgRacTuneIpRangeAddr)
& は数量のビットワイズの AND で、^ はビットワイズの exclusive-OR です。
cfgRacTune の全リストは「DRAC 5 プロパティのデータベースグループとオブジェクトの定義」に掲載されています。
表 3-7. IP アドレスフィルタ( IpRange) のプロパティ
IP フィルタを有効にする
以下は、IP フィルタ設定のコマンド例です。
RACADM と RACADM コマンドの詳細に関しては、「RACADM の使用」を参照してください。
l 3DES-192-CBC
l ARCFOUR-128
メッセージの整合性
l HMAC-SHA1-160
l HMAC-SHA1-96
l HMAC-MD5-128
l HMAC-MD5-96
認証
l パスワード
メモ:SSHv1 はサポートされていません。
プロパティ
説明
cfgRacTuneIpRangeEnable
IP アドレスのチェック機能を有効にします。
cfgRacTuneIpRangeAddr
サブネットマスクの 1 によって、受け入れる IP アドレスビットパターンを決定します。
このプロパティはビットワイズの AND'd と cfgRacTuneIpRangeMask で、許可する IP アドレスの上位部分を決定します。 上位ビットにこのビットパターンを含んで
いる IP アドレスは、DRAC 5 とのセッションを確立できます。 この範囲外の IP アドレスからのログインは失敗します。 DRAC 5 セッションを確立するには、各プロパテ
ィのデフォルト値に 192.168.1.0 ~ 192.168.1.255 を使用できます。
cfgRacTuneIpRangeMask
IP アドレスの重要なビット位置を定義します。 サブネットマスクはネットマスクの形態で、より重要なビットがすべて 1 となり、下位のビットでは 1 回の遷移ですべてゼ
ロになります。
メモ:次の RACADM コマンドは 192.168.0.57 以外のすべての IP アドレスをブロックします。