Users Guide
racadm config -g cfgActiveDirectory -o cfgADRacName <RAC 共通名>
racadm sslcertupload -t 0x2 -f <ADS ルート CA 証明書>
racadm sslcertdownload -t 0x1 -f <RAC SSL 証明書>
2. DRAC/MC の DHCP が有効になっており、DHCP サーバーが提供する DNS を使用する場合は、次のコマンドを入力します。
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1
3. DRAC 5 で DHCP が無効になっている場合や、手動で DNS IP アドレスを入力する場合は、次の racadm コマンドを入力します。
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <一次 DNS IP アドレス>
racadm config -g cfgLanNetworking -o cfgDNSServer2 <二次 DNS IP アドレス>
Enter を押して DRAC 5 Active Directory 機能の設定を完了させます。
DRAC 5 に Active Directory サーバーを探させる代わりに、DRAC 5 の接続先サーバーを指定して、ユーザーを認証することもできます。サーバーを指定する RACADM コマンドについては、
「Active Directory 設定のためのサーバー指定」を参照してください。
拡張スキーマを使用した権限の蓄積
拡張スキーマ認証機構は、異なる関連オブジェクトを通して同じユーザーに関連付けられた異なる権限オブジェクトからの権限の蓄積をサポートしています。つまり、拡張スキーマ認証は権限を蓄積し
て、同じユーザーに関連付けられた異なる権限オブジェクトに対応して割り当てられた権限すべてのスーパーセットをユーザーに許可します。
図6-5 に、拡張スキーマを使用した権限の蓄積例を示します。
図 6-5ユーザーの権限の蓄積
この図には、A01 と A02 の 2 つの関連オブジェクトが示されています。これらの関連オブジェクトは、同じドメインまたは異なるドメインの一部とします。ユーザー 1 は、両方の関連オブジェクトを通し
て RAC1 と RAC2 に関連付けられています。このため、ユーザー 1 は、権限 1 と権限 2 のオブジェクトの権限セットを結合した蓄積権限を持つことになります。
たとえば、権限 1 にログイン、仮想メディア、ログのクリア権限が含まれ、権限 2 にはログイン、DRAC の設定、テストアラートの権限が含まれるとします。この場合、ユーザー 1 には、ログイン、仮想メ
ディア、ログのクリア、DRAC の設定、テスト警告の権限、つまり、Priv1 と Priv2 を組合わせた権限セットが設定されます。
拡張スキーマ認証は、同じユーザーに関連付けられている異なる権限オブジェクトに割り当てられている権限を考慮してこのように権限を蓄積することでユーザーに最大限の権限を与えます。
Active Directory 設定のためのサーバー指定
DNS サーバーが返したサーバーを使用する代わりに LDAP、グローバルカタログサーバー、または関係オブジェクト(拡張スキーマのみに適用)のドメインを指定してユーザー名を検索する場合は、次
のコマンドを入力して サーバーの指定 オプションを有効にします。
racadm config -g cfgActive Directory -o cfgADSpecifyServer Enable 1
サーバーの指定 オプションを有効にした後、LDAP サーバーまたはグローバルカタログサーバーを IP アドレスまたはサーバーの完全修飾ドメイン名(FQDN)を使用して指定できます。 FQDN はサ
ーバーのホスト名とドメイン名で構成されます。
メモ: このオプションを使用すると、CA 証明書のホスト名は指定されたサーバーの名前と適合しません。IP アドレスだけでなくホスト名を入力できるため、これは DRAC システム管理者にとっ
ては特に便利です。
メモ: Kerberos に基づく Active Directory 認証を使用する場合は、サーバーの完全修飾ドメイン名 のみを指定してください。IP アドレスはサポートされていません。詳細については、
「Kerberos 認証を有効にする方法」を参照してください。