Users Guide

ManualsBrandsDell ManualsActive System ManagerDRAC5 Version 1.60

201

202

203

204

205

206

207

208

209

210

目次に戻る

 Kerberos 認証を有効にする方法

Dell Remote Access Controller 5 ファームウェアバージョン 1.60 ユーザーズガイド

Kerberos 認証を設定するための前提条件

DRAC 5 用の Kerberos 認証に使用する DRAC 5 を設定する方法

Kerberos は、セキュリティ保護されていないネットワークでシステムが安全に通信できるようにするネットワーク認証プロトコルです。これは、システムが本物であることをシステム自体が証明できるよ

うにすることで、達成されます。

Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista、および Windows Server 2008 では、Kerberos をデフォルト認証方式として採用しています。

DRAC5バージョン 1.40 以降、DRAC 5 は Kerberos を使用して 2 種類の認証メカニズム（シングルサインオンと Active Directory スマートカードログイン）をサポートしています。シングルサイ

ンオンでは、ユーザーが有効な Active Directory アカウントでログインした後、オペレーティングシステムにキャッシュされているユーザー資格情報が使用されます。

DRAC 5 バージョン 1.40 以降、Active Directory 認証では有効な資格情報として、ユーザー名とパスワードの組み合わせに加えて、スマートカードベースの 2 要素認証（TFA）も使用されます。

Kerberos 認証を設定するための前提条件

l DRAC5に Active Directory ログインを設定します。詳細については、Active Directory を使用して DRAC 5 にログインするを参照してください。

l Kerberos 認証を提供する Active Directory ユーザーに対しては、次のプロパティを設定します。

l このアカウントに DES 暗号化を使用する

l Kerberos の事前認証は不要

l Active Directory のルートドメインに DRAC5をコンピュータとして登録します。

a. リモートアクセス® 設定タブ® ネットワークサブタブ® ネットワーク設定に移動します。

b. 有効な使用する / 静的 DNS サーバーの IP アドレスを入力します。この値は、ルートドメインの一部である DNS の IP アドレスで、ユーザーの Active Directory アカウントを

認証します。

c. DNS に DRAC を登録するを選択します。

d. 有効な DNS ドメイン名を入力します。

詳細については、『DRAC5オンラインヘルプ』を参照してください。

l DRAC 5 の時刻設定を Active Directory ドメインコントローラの時刻設定と同期します。DRAC の時刻がドメインコントローラの時刻と異なる場合は、DRAC5の Kerberos 認証に失敗し

ます。最大 5 分のオフセットが許可されています。認証に成功するには、サーバーの時刻をドメインコントローラの時刻と同期してから DRAC の時刻をリセットしてください。

次の RACADM タイムゾーンオフセットコマンドを使用して時刻を同期することもできます。

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset オフセット値

Offset value には、オフセット時間（分単位）を指定します。

l クライアントシステムに Microsoft Visual C++ 2005 再配布可能パッケージをインストールします。

l Active Directory サーバーで ktpass ユーティリティを実行します。

DRAC5は非 Windows オペレーティングシステムのデバイスであるため、DRAC 5 を Active Directory のユーザーアカウントにマッピングするドメインコントローラ（Active Directory

サーバー）で、ktpass ユーティリティ（Microsoft Windows

の一部）を実行する必要があります。これには、次の操作を行います。

a. Active Directory 管理ツールを起動します。

b. ユーザーフォルダを右クリックし、新規を選択してからユーザーをクリックします。

c. Kerberos サポートを追加したい DRAC5 ホストの名前を入力します。

d. ユーザーを保存します。

e. コマンドプロンプトを開き、次のコマンドを入力します。

C:\>ktpass -princ HOST/dracname.domain-name.com@DOMAIN-NAME.COM -mapuser account -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass

password -out c:\krbkeytab

ここで、

l dracname は DRAC 5 の DNS 名です。

l domain-name は、認証したい Active Directory ドメイン名です。これを、実際のドメイン名（大文字）と入れ替えてください。

l account はユーザー名で、Active Directoryの手順 b および手順ｃで作成した有効なユーザーアカウントです。ユーザー名の入力形式は domain-name.com/user-

name です。

メモ： DNS 名が DNS サーバーによって解決されていることを確認します。