Users Guide
ィングシステムとしては、ローカル RACADM コマンドを実行できる Microsoft Windows Server または Enterprise Linux オペレーティングシステム、あるいは Dell OpenManage
Deployment Toolkit のローカル RACADM コマンド を実行するために限定的に使用される Microsoft Windows Preinstallation Environment や vmlinux などが挙げられます。
次のような場合には、システム管理者がローカル設定を無効にする必要があります。たとえば、サーバーやリモートアクセスデバイスの管理者が複数人いるデータセンターでは、サーバーのソフトウェア
スタックの保守担当者はリモートアクセスデバイスへの管理者権限を必要としない場合があります。同様に、技術者はシステムの定期保守作業中、サーバーへの物理的なアクセス権限を持ち、この間、
システムを再起動し、パスワード保護されている BIOS にもアクセスできますが、リモートアクセスデバイスの設定はできないようにする必要があります。このような状況では、リモートアクセスデバイス
の管理者がローカル設定を無効にすることができます。
管理者は、ローカル設定を無効にすると、DRAC 5 をそのデフォルト設定に戻す能力を含めてローカル設定権限が著しく制限されるので、これらのオプションは必要なときのみ使用してください。普段
は、一度に 1 つだけのインターフェイスを無効にし、ログイン権限を完全に失わないようにしてください。たとえば、管理者がローカル DRAC 5 ユーザー全員を無効にし、Microsoft Active Directory
ディレクトリサービスユーザーだけが DRAC 5 にログインできるようにすると、Active Directory の認証インフラストラクチャに不具合が生じ、管理者自身がログインできなくなる可能性があります。同
様に、管理者がすべてのローカル設定を無効にし、Dynamic Host Configuration Protocol(DHCP)サーバーを含むネットワークに静的 IP アドレスを使って DRAC 5 を置いた後、DHCP サー
バーが DRAC 5 の IP アドレスをネットワーク上の別のデバイスに割り当てると、その競合によって DRAC の帯域外の接続が無効になり、管理者がシリアル接続を通してファームウェアをデフォルト設
定に戻すことが必要になります。
DRAC 5 リモート仮想 KVM を無効にする
管理者は DRAC 5 リモート KVM を選択的に無効にすることで、コンソールリダイレクトを通して他のユーザーから見られることなくローカルユーザーがシステムを操作するための柔軟でセキュアなメ
カニズムを提供できます。この機能を使用するには、サーバーに DRAC 管理下ノードソフトウェアをインストールする必要があります。管理者は次のコマンドを使って、リモート vKVM を無効にできま
す。
racadm LocalConRedirDisable 1
LocalConRedirDisable コマンドは、引数 1 を使って実行すると既存のリモート vKVM セッションウィンドウを無効にします。
リモートユーザーがローカルユーザーの設定を上書きするのを防ぐために、このコマンドはローカル racadm でのみ使用可能です。管理者は、Microsoft Windows Server 2003 および SUSE
Linux Enterprise Server 10 など、ローカル racadm 対応のオペレーティングシステムで使用できます。このコマンドはシステム再起動後も有効であるため、リモート vKVM を再度有効にするに
は、システム管理者がこのコマンドを無効にする必要があります。これには、次のように引数 0 を使用します。
racadm LocalConRedirDisable 0
次のように、DRAC 5 リモート vKVM を無効にする必要が生じる状態がいくつかあります。たとえば、管理者は自分が設定した BIOS 設定をリモート DRAC 5 ユーザーに見られたくない場合、
LocalConRedirDisable コマンドを使ってシステム POST 中にリモート vKVM を無効にできます。また、システム管理者がシステムにログインするたびにリモート vKVM を自動的に無効にすること
でセキュリティを強化できます。これには、ユーザーログオンスクリプトから LocalConRedirDisable コマンドを実行します。
ログオンスクリプトの詳細については、technet2.microsoft.com/windowsserver/en/library/31340f46-b3e5-4371-bbb9-6a73e4c63b621033.mspx を参照してくださ
い。
SSL とデジタル証明書を使って DRAC 5 通信をセキュリティ保護する
この項では、DRAC 5 に組み込まれている次のデータセキュリティ機能について説明します。
l SSL(セキュアソケットレイヤー)
l 証明書署名要求(CSR)
l SSL メインメニューへのアクセス
l 新しい証明書署名要求の生成
l サーバー証明書のアップロード
l サーバー証明書のアップロード
SSL(セキュアソケットレイヤー)
DRAC には、業界標準 SSL セキュリティプロトコルを使って暗号化されたデータをインターネット経由で転送するように設定されたウェブサーバーが含まれます。公開鍵と秘密鍵の暗号技術に基づく
SSL は、クライアントとサーバー間に認証と暗号化を備えた通信を提供して、ネットワーク上の盗聴を防止するセキュリティ方式として広く受け入れられています。
SSL に対応したシステムの特徴。
l SSL 対応のクライアントに対して自己認証する
l クライアントがサーバーに対して認証できるようにする
l 両方のシステムが暗号化された接続を確立できる
この暗号処理は高度なデータ保護を提供します。DRAC は、インターネットブラウザで一般的に使用できる暗号化のうち、北米で使用されている暗号規格のうち最も安全な形式のである 128 ビット
SSL 暗号規格を採用しています。
DRAC ウェブサーバーには、デルによって自己署名された SSL デジタル証明書(サーバー ID)があります。インターネット上での高度なセキュリティを確保するために、新しい証明書署名要求(CSR)
を生成する要求を DRAC に送信することでウェブサーバー SSL 証明書を置き換えます。
証明書署名要求(CSR)
メモ:詳細については、デルサポートサイト support.dell.com/manuals にあるホワイトペーパー「DRAC のローカル設定とリモート仮想 KVM を無効にする」を参照してください。