Users Guide
ログインを 1 つの IP アドレスに限定するには(たとえば 192.168.0.57)、次のように完全マスクを使用してください。
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.57
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.255
ログインを 4 つの連続する IP アドレスに限定するには(192.168.0.212 ~ 192.168.0.215)、次のようにマスクの最下位の 2 ビットを除くすべてを選択します。
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.212
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.252
IP フィルタのガイドライン
IP フィルタを有効にする場合は、次のガイドラインに従ってください。
l cfgRacTuneIpRangeMask がネットマスクの形態で設定されるようにします。最重要ビットがすべて 1 で(これがマスクのサブネットを定義)、下位のビットではすべてゼロに遷移します。
l 必要な範囲の基底アドレスを cfgRacTuneIpRangeAddr の値として使用します。 このアドレスの 32 ビットのバイナリ値は、マスクにゼロがある下位ビットのすべてでゼロになる必要があ
ります。
IP ブロック
IP ブロックは、事前に選択した時間内に特定の IP アドレスからのログイン失敗回数が過剰になる時を動的に決定し、そのアドレスが DRAC 5 にログインするのをブロック(防止)します。
IP ブロックのパラメータは、次のような cfgRacTuning グループ機能を使用します。
l 許可できるログインの失敗の回数(「cfgRacTuneIpBlkFailcount」)
l これらの失敗が許可される時間枠(秒)(「cfgRacTuneIpBlkFailWindow」)
l 許可できる失敗の回数の合計を超えてから、「不正な」IP アドレスがセッションを確立することが妨げられるときの秒数の合計(「cfgRacTuneIpBlkPenaltyTime」)
特定の IP アドレスからのログイン失敗が累積すると、それらは内部カウンタによって「経年」されます。 ユーザーがログインに成功すると、失敗履歴はクリアされ、内部カウンタがリセットされます。
cfgRacTune プロパティの完全なリストは、「DRAC 5 プロパティデータベースグループおよびオブジェクト定義」 を参照してください。
表 3-8 にユーザー定義のパラメータをリストにします。
表 3-8. ログイン試行制限のプロパティ
メモ: 次の RACADM コマンドは 192.168.0.57 以外のすべての IP アドレスをブロックします。
メモ: クライアント IP アドレスからのログイン試行が拒否されると、SSH に「ssh exchange identification: Connection closed by remote host」のようなメッセージが表示される場
合があります。
プロパティ
定義