Users Guide
iDRAC7 の Active Directory ルートドメインへのコンピュータとしての登録
Active Directory ルートドメインに iDRAC7 を登録するには、次の手順を実行します。
1. 概要 → iDRAC 設定 → ネットワーク → ネットワーク とクリックします。
ネットワーク ページが表示されます。
2. 有効な 優先 / 代替 DNS サーバー の IP アドレスを指定します。この値は、ルートドメインの一部である
有効な DNS サーバーの IP アドレスです。
3. iDRAC の DNS への登録 を選択します。
4. 有効な DNS ドメイン名 を入力します。
5. ネットワーク DNS の設定が Active Directory の DNS 情報と一致することを確認します。
オプションの詳細については、『
iDRAC7 オンラインヘルプ
』を参照してください。
Kerberos Keytab ファイルの生成
SSO およびスマートカードログイン認証をサポートするために、iDRAC7 は Windows Kerberos ネットワーク上
の Kerberos 化されたサービスとして、自らを有効にする設定をサポートします。iDRAC7 での Kerberos 設定で
は、Windows Server Active Directory で、Windows Server 以外の Kerberos サービスをセキュリティプリンシパル
として設定する手順と同じ手順を実行します。
ktpass
ツール(サーバーインストール CD / DVD の一部として Microsoft から入手できます)を使用して、ユー
ザーアカウントにバインドするサービスプリンシパル名(SPN)を作成し、信頼情報を MIT 形式の Kerberos
keytab
ファイルにエクスポートします。これにより、外部ユーザーやシステムとキー配布センター(KDC)の
間の信頼関係が有効になります。keytab ファイルには暗号キーが含まれており、サーバーと KDC の間での情
報の暗号化に使用されます。ktpass ツールによって、Kerberos 認証をサポートする UNIX ベースのサービスは
Windows Server Kerberos KDC サービスが提供する相互運用性機能を利用できるようになります。ktpass ユー
ティリティの詳細については、マイクロソフトの Web サイト technet.microsoft.com/en-us/library/cc779157(WS.
10).aspx を参照してください。
keytab ファイルを生成する前に、ktpass コマンドの -mapuser オプションと使用する Active Directory ユーザ
ーアカウントを作成する必要があります。さらに、このアカウントは、生成した
keytab ファイルをアップロ
ードする iDRAC7 DNS 名と同じ名前にする必要があります。
ktpass ツールを使用して keytab ファイルを生成するには、次の手順を実行します。
1.
ktpass
ユーティリティを、Active Directory 内のユーザーアカウントに iDRAC7 をマップするドメインコン
トローラ
(Active Directory サーバー)上で実行します。
2. 次の ktpass コマンドを使用して、Kerberos keytab ファイルを作成します。
C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -
mapuser DOMAINNAME\username -mapOp set -crypto AES256-SHA1 -ptype
KRB5_NT_PRINCIPAL -pass [パスワード] -out c:\krbkeytab
暗号化タイプは、DES-CBC-MD5 です。プリンシパルタイプは、KRB5_NT_PRINCIPAL です。サービスプリ
ンシパル名がマップされているユーザーアカウントのプロパティは、このアカウントプロパティを有効
にするために、
AES 256 暗号化タイプを使用する必要があります。
メモ: iDRAC7name および サービスプリンシパル名 には小文字を使用します。ドメイン名には、例
に示されているように大文字を使用します。
152