Users Guide

ManualsBrandsDell ManualsActive System ManagerDRAC5 Version 1.50

191

192

193

194

195

196

197

198

199

200

目次ページに戻る

 Kerberos 認証を有効にする方法

Dell™RemoteAccessController5ファームウェアバージョン 1.50 ユーザーズガイド

Kerberos 認証を設定するための前提条件

DRAC 5 用の Kerberos 認証に使用する DRAC 5 を設定する方法

Kerberos は、セキュリティ保護されていないネットワークでシステムが安全に通信できるネットワーク認証プロトコルです。システムが本物であることをシステム自体が証明できるようになっています。

Microsoft

Windows

2000、Windows XP、Windows Server

2003、WindowsVista

、および Windows Server 2008 では、デフォルトの認証方式として Kerberos を使用し

ています。

DRAC5バージョン 1.40 以降は Kerberos を使用することで、シングルサインオンと Active Directory

スマートカードログインの 2 種類の認証メカニズムをサポートしています。シングルサイン

オンでは、ユーザーが有効な Active Directory アカウントでログインした後、オペレーティングシステムにキャッシュされているユーザー資格情報が使用されます。

DRAC 5 バージョン 1.40 以降、Active Directory 認証では有効な資格情報として、ユーザー名とパスワードの組み合わせに加えて、スマートカードベースの 2 要素認証（TFA）も使用されます。

Kerberos 認証を設定するための前提条件

l DRAC5に Active Directory ログインを設定します。詳細については、「Active Directory を使用して DRAC 5 にログインする」を参照してください。

l Kerberos 認証を提供する Active Directory ユーザーに対しては、次のプロパティを設定します。

l このアカウントに DES 暗号化を使用する

l Kerberos の事前認証は不要

l Active Directory のルートドメインに DRAC5をコンピュータとして登録します。

a. リモートアクセス ® 設定タブ® ネットワークサブタブ® ネットワーク設定に移動します。

b. 有効な使用する / 静的 DNS サーバーの IP アドレスを入力します。この値は、ルートドメインの一部である DNS の IP アドレスで、ユーザーの Active Directory アカウントを

認証します。

c. DNS に DRAC を登録するを選択します。

d. 有効な DNS ドメイン名を入力します。

詳細については、DRAC5オンラインヘルプを参照してください。

l DRAC 5 の時刻設定を Active Directory ドメインコントローラの時刻設定と同期します。DRAC の時刻がドメインコントローラの時刻と異なる場合は、DRAC5の Kerberos 認証に失敗し

ます。最大 5 分のオフセットが許可されています。認証に成功するには、サーバーの時刻をドメインコントローラの時刻と同期してから DRAC の時刻をリセットしてください。

また、次の RACADM タイムゾーンオフセットコマンドを使用して時刻を同期することもできます。

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset オフセット値

Offset value には、オフセット時間 (分単位) を指定します。

l クライアントシステムに Microsoft Visual C++ 2005 再配布可能パッケージをインストールします。

l Active Directory サーバーで ktpass ユーティリティを実行します。

DRAC5は非 Windows オペレーティングシステムのデバイスであるため、DRAC 5 を Active Directory のユーザーアカウントにマッピングするドメインコントローラ（Active Directory

サーバー）で、ktpass ユーティリティ（Microsoft

Windows

®

の一部）を実行する必要があります。

たとえば、次の ktpass コマンドを使用して、Kerberos keytab ファイルを作成します。

C:\>ktpass -princ HOST/dracname.domain- name.com@domain-name.COM -mapuser user-name -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -

out c:\krbkeytab

上述のコマンドでは、domain-name を大文字で実際に使用するドメイン名と置換します。user-name には、Active Directory で使用する有効なユーザー名を入力します。ユーザー名の

入力形式は domain-name.com/user-name です。

DRAC 5 が Kerberos 認証に使用する暗号タイプは DES-CBC-MD5 です。プリンシパルタイプは KRB5_NT_PRINCIPAL です。

この手順によって、DRAC 5 にアップロードする keytab ファイルが生成されます。

ktpass ユーティリティの詳細については、Microsoft ウェブサイトを参照してください。http://technet2.microsoft.com/windowsserver/en/library/64042138-9a5a-

4981-84e9-d576a8db0d051033.mspx?mfr=true

メモ： DNS 名が DNS サーバーによって解決されていることを確認します。

メモ：最新の ktpass ユーティリティを使用して keytab ファイルを作成することをお勧めします。

メモ： keytab には暗号化キーが含まれているので、安全な場所に保管してください。