Users Guide

ManualsBrandsDell ManualsActive System ManagerDRAC5 Version 1.45

191

192

193

194

195

196

197

198

199

200

目次ページに戻る

Kerberos 認証を有効にする方法

Dell™RemoteAccessController5ファームウェアバージョン 1.45 ユーザーズガイド

シングルサインオンおよびスマートカードを使用した Active Directory 認証の必要条件

DRAC 5 にシングルサインオンおよびスマートカード使用の Active Directory 認証を設定する方法

シングルサインオンを使用した DRAC5へのログイン

Kerberos は、セキュリティ保護されていないネットワークでシステムが安全に通信できるネットワーク認証プロトコルです。システムが本物であることをシステム自身が証明できるようになっています。

Microsoft®Windows®2000、 Windows XP、Windows Server®2003、WindowsVista®、および Windows Server 2008 では、デフォルトの認証方式として Kerberos を使用

しています。

DRAC5バージョン 1.40 以降は Kerberos を使用することで、シングルサインオンと Active Directory®スマートカードログインの 2 種類の認証メカニズムをサポートしています。シングルサイン

オンでは、ユーザーが有効な Active Directory アカウントでログインした後、オペレーティングシステムにキャッシュされているユーザー資格情報が使用されます。

DRAC 5 バージョン 1.40 以降、Active Directory 認証では有効な資格情報として、ユーザー名とパスワードの組み合わせに加えて、スマートカードベースの 2 要素認証（TFA）も使用されます。

DRAC の時刻がドメインコントローラの時刻と異なる場合は、DRAC5の Kerberos 認証に失敗します。最大 5 分のオフセットが許可されています。認証に成功するには、サーバーの時刻をドメイン

コントローラの時刻と同期してから DRAC をリセットしてください。

また、次の RACADM タイムゾーンオフセットコマンドを使用しても時刻を同期できます。

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset <オフセット値>

シングルサインオンおよびスマートカードを使用した Active Directory 認証の必要条件

l DRAC5に Active Directory ログインを設定します。詳細については、「Active Directory を使用して DRAC 5 にログインする」を参照してください。

l Active Directory のルートドメインに DRAC5をコンピュータとして登録します。

a. リモートアクセス ® 設定タブ® ネットワークサブタブ® ネットワーク設定に移動します。

b. 有効な使用する / 静的 DNS サーバーの IP アドレスを入力します。この値は、ルートドメインの一部である DNS の IP アドレスで、ユーザーの Active Directory アカウントを

認証します。

c. DNS に DRAC を登録するを選択します。

d. 有効な DNS ドメイン名を入力します。

詳細については、DRAC5オンラインヘルプを参照してください。

DRAC5は非 Windows オペレーティングシステムのデバイスであるため、DRAC 5 を Active Directory のユーザーアカウントにマッピングするドメインコントローラ（Active Directory

サーバー）で、ktpass ユーティリティ（Microsoft Windows）の一部）を実行します。

たとえば、次の ktpass コマンドを使用して、Kerberos keytab ファイルを作成します。

C:¥>ktpass -princ HOST/dracname.domain- name.com@domain-name.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass

* -out c:¥krbkeytab

DRAC 5 が Kerberos 認証に使用する暗号タイプは DES-CBC-MD5 です。プリンシパルタイプは KRB5_NT_PRINCIPAL です。サービスプリンシパル名がマッピングされているユーザー

アカウントのプロパティで、次のアカウントプロパティが有効になっている必要があります。

l このアカウントに DES 暗号化を使用する

l Kerberos 事前認証が不要

この手順によって、DRAC 5 にアップロードする keytab ファイルが生成されます。

ktpass ユーティリティの詳細については、Microsoft ウェブサイトを参照してください。http://technet2.microsoft.com/windowsserver/en/library/64042138-9a5a-

4981-84e9-d576a8db0d051033.mspx?mfr=true

l DRAC 5 の時刻を Active Directory ドメインコントローラと同期する必要があります。

DRAC 5 にシングルサインオンおよびスマートカード使用の Active Directory 認証を設定する方法

Active Directory のルートドメインから取得した keytab を DRAC5にアップロードします。



メモ：最新の ktpass ユーティリティを使用して keytab ファイルを作成することをお勧めします。

メモ： keytab には暗号化キーが含まれているので、安全な場所に保管してください。