Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Blade Servers Version 2.1

151

152

153

154

155

156

157

158

159

160

目次ページに戻る

 Kerberos 認証を有効にする方法

IntegratedDell™RemoteAccessController6（ iDRAC6）EnterpriseforBladeServersバージョン 2.1 ユーザーガイド

シングルサインオンとスマートカードを使用した Active Directory 認証の必要条件

iDRAC6 にシングルサインオン認証とスマートカード使用の Active Directory 認証を設定する方法

シングルサインオンログインに使用する Active Directory ユーザーの設定

Active Directory ユーザーのシングルサインオンを使用した iDRAC6 へのログイン

Active Directory ユーザーに対するスマートカードログオンの設定

TFA と SSO を使用する iDRAC6 ログインのシナリオ

Kerberos は、セキュリティ保護されていないネットワークでシステムが安全に通信できるネットワーク認証プロトコルです。システムが本物であることをシステム自体が証明できるようになっています。

高レベルの認証基準を満たすため、iDRAC6 では Kerberos ベースの Active Directory®認証を使用して、Active Directory のスマートカードログインとシングルサインオンログインをサポート

するようになりました。

Microsoft®Windows®2000、Windows XP、Windows Server®2003、WindowsVista®、および Windows Server 2008 では、デフォルトの認証方式として Kerberos を使用し

ています。

iDRAC6 では、Kerberos を使用して Active Directory シングルサインオンと Active Directory スマートカードログインという 2 種類の認証方式をサポートしています。シングルサインオンでログ

インする場合は、ユーザーが有効な Active Directory アカウントでログインした後、オペレーティングシステムにキャッシュされているユーザー資格情報が使用されます。

Active Directory スマートカードでログインする場合は、Active Directory ログインを有効にするために、スマートカードベースの 2 要素認証（TFA）が資格情報として使用されます。

iDRAC6 の時刻がドメインコントローラの時刻と異なる場合は、iDRAC6 の Kerberos 認証に失敗します。最大 5 分のオフセットが許可されています。認証に成功するには、サーバーの時刻をドメイ

ンコントローラの時刻と同期してから iDRAC6 をリセットしてください。

また、次の RACADM タイムゾーンオフセットコマンドを使用して時刻を同期することもできます。

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset <オフセット値>

シングルサインオンとスマートカードを使用した Active Directory 認証の必要条件

l iDRAC6 に Active Directory ログインを設定します。

l Active Directory のルートドメインに iDRAC6 をコンピュータとして登録します。

a. システム ® リモートアクセス ® iDRAC6 ® ネットワーク / セキュリティ ® ネットワークサブタブの順にクリックします。

b. 有効な優先 / 代替 DNS サーバーの IP アドレスを入力します。この値は、ルートドメインの一部である DNS の IP アドレスで、ユーザーの Active Directory アカウントを認証

します。

c. DNS に iDRAC6 を登録するを選択します。

d. 有効な DNS ドメイン名を入力します。

e. ネットワーク DNS の設定が Active Directory の DNS 情報と一致することを確認します。

詳細については、iDRAC6 オンラインヘルプを参照してください。

新しい 2 種類の認証方式をサポートするため、Windows Kerberos ネットワークで Kerberos サービスとして iDRAC6 が自動的に有効になる設定がサポートされています。iDRAC6 で

Kerberos を設定するには、Windows Server の Active Directory で Windows Server 以外の Kerberos サービスをセキュリティプリンシパルとして設定するのと同じ手順を実行し

ます。

Microsoft ツール ktpass（Microsoft がサーバーインストール CD/DVD の一部として提供）は、ユーザーアカウントにバインドされているサービスプリンシパル名（SPN）を作成し、信頼情報

を MIT 形式の Kerberos keytab ファイルにエクスポートするときに使用します。これにより、外部ユーザーまたはシステムと、キー配付センター（KDC）の間の信頼関係が確立されます。

keytab ファイルには暗号キーが含まれており、これを使用してサーバーと KDC の間の情報を暗号化します。ktpass ツールを使用すると、Kerberos 認証をサポートする UNIX ベースの

サービスは Windows Server の Kerberos KDC サービスによって提供される相互運用性を使用できます。

ktpass ユーティリティから取得した keytab はファイルアップロードとして iDRAC6 で使用可能になり、ネットワークで Kerberos 対応サービスとして有効になります。

iDRAC6 は Windows 以外のオペレーティングシステムを搭載するデバイスであるため、iDRAC6 を Active Directory のユーザーアカウントにマッピングするドメインコントローラ（Active

Directory サーバー）で、ktpass ユーティリティ（Microsoft Windows の一部）を実行します。

たとえば、次の ktpass コマンドを使用して、Kerberos keytab ファイルを作成します。

C:\> ktpass.exe -princ HTTP/idracname.domainname.com@DOMAINNAME.COM -mapuser DOMAINNAME\username -mapOp set -crypto DES-CBC-MD5 -ptype

KRB5_NT_PRINCIPAL -pass <パスワード> +DesOnly -out c:\krbkeytab

上記のコマンドが正しく実行されたら、次のコマンドを実行します。

C:\>setspn -a HTTP/idracname.domainname.com username

iDRAC6 が Kerberos 認証に使用する暗号タイプは DES-CBC-MD5 です。プリンシパルタイプは KRB5_NT_PRINCIPAL です。サービスプリンシパル名のマッピング先ユーザーアカウン

トのプロパティで、次のアカウントプロパティが有効になっている必要があります。

メモ：作成した keytab ファイルの iDRAC6 ユーザーに問題が検出された場合は、新しいユーザーと keytab ファイルを作成してください。最初に作成したファイルを再実行すると、

正しく設定されません。