Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Blade Servers Version 3.0

目次ページに戻る

iDRAC6 へのシングルサインオンとスマートカードログインの設定

IntegratedDellRemoteAccessController6(iDRAC6)EnterpriseforBladeServersバージョン 3.0 ユーザーガイド



本項では、ローカルユーザーおよび Active Directory ユーザーのためのスマートログインと、Active Directory ユーザーのためのシングルサインオン（SSO）ログインを iDRAC6 に設定する方法

を説明します。

iDRAC6 は Kerberos ベースの Active Directory 認証を使用して、Active Directory スマートカードログインとシングルサインオン（SSO）ログインをサポートしています。

Kerberos 認証について

Kerberos は、セキュリティ保護されていないネットワークでシステムが安全に通信できるようにするネットワーク認証プロトコルです。これは、システムが本物であることをシステム自体が証明できるよ

うにすることで、達成されます。高レベルの認証基準を満たすため、iDRAC6 では Kerberos ベースの Active Directory 認証を使用して、Active Directory のスマートカードログインとシングルサ

インオンログインをサポートするようになりました。

MicrosoftWindows2000、Windows XP、Windows Server 2003、Windows Vista、および Windows Server 2008 では、デフォルトの認証方式として Kerberos を使用していま

す。

iDRAC6 では、Kerberos を使用して Active Directory シングルサインオンと Active Directory スマートカードログインという 2 種類の認証方式をサポートしています。シングルサインオンでログ

インする場合は、ユーザーが有効な Active Directory アカウントでログインした後、オペレーティングシステムにキャッシュされているユーザー資格情報が使用されます。

Active Directory スマートカードでログインする場合は、スマートカードベースの 2 要素認証（TFA）がActive Directory ログインを有効にするための資格情報として使用されます。

iDRAC6 の時刻がドメインコントローラの時刻と異なる場合は、iDRAC6 の Kerberos 認証に失敗します。最大 5 分のオフセットが許可されています。認証に成功するには、サーバーの時刻をドメイ

ンコントローラの時刻と同期してから iDRAC6 をリセットしてください。

次の RACADM タイムゾーンオフセットコマンドを使用して時刻を同期することもできます。

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset <オフセット値>

Active Directory SSO とスマートカード認証の必要条件

Active Directory SSO 認証とスマートカード認証に必要な条件は、以下のとおりです。

l iDRAC6 に Active Directory ログインを設定します。詳細については、「iDRAC6 ディレクトリサービスの使用」を参照してください。

l Active Directory のルートドメインに iDRAC6 をコンピュータとして登録します。

a. システム ® リモートアクセス® iDRAC6 ® ネットワーク / セキュリティ® ネットワークサブタブの順にクリックします。

b. 有効な優先 / 代替 DNS サーバーの IP アドレスを入力します。この値は、ユーザーの Active Directory アカウントを認証する、ルートドメインの一部である DNS の IP アドレ

スです。

c. DNS に iDRAC6 を登録するを選択します。

d. 有効な DNS ドメイン名を入力します。

e. ネットワーク DNS の設定が Active Directory の DNS 情報と一致することを確認します。

詳細については、iDRAC6 オンラインヘルプを参照してください。

l これら 2 種類の新しい認証方式をサポートするために、iDRAC6 は Windows Kerberos ネットワークで Kerberos サービスとして自動的に有効になる設定をサポートしています。

iDRAC6 で Kerberos を設定するには、Windows Server の Active Directory で Windows Server 以外の Kerberos サービスをセキュリティプリンシパルとして設定するのと同じ

手順を実行します。

Microsoft ツール ktpass（Microsoft がサーバーインストール CD/DVD の一部として提供）は、サービスプリンシパル名（SPN）のユーザーアカウントへのバインドを作成し、信頼情報を

MIT 形式の Kerberos keytab ファイルにエクスポートするのに使用します。これにより、外部ユーザーまたはシステムとキー配付センター（KDC）の間の信頼関係が確立されます。keytab

ファイルには、サーバーと KDC の間の情報を暗号化するための暗号キーが含まれています。ktpass ツールを使用すると、Kerberos 認証をサポートする UNIX ベースのサービスで、

Windows Server の Kerberos KDC サービスによって提供される相互運用性機能を使用できます。

ktpass ユーティリティから取得した keytab はファイルアップロードとして iDRAC6 で使用可能になり、ネットワークで Kerberos 対応サービスとして有効になります。

iDRAC6 は Windows 以外のオペレーティングシステムを搭載するデバイスであるため、iDRAC6 を Active Directory のユーザーアカウントにマッピングするドメインコントローラ（Active

Directory サーバー）で、ktpass ユーティリティ（Microsoft Windows の一部）を実行します。

たとえば、次の ktpass コマンドを使用すると、Kerberos keytab ファイルを作成できます。

C:\> ktpass.exe -princ HTTP/idracname.domainname.com@DOMAINNAME.COM -mapuser DOMAINNAME\username -mapOp set -crypto DES-CBC-MD5 -ptype

Kerberos 認証について

iDRAC6 へのスマートカードログインの設定

Active Directory SSO とスマートカード認証の必要条件

Active Directory スマートカード認証を使用した iDRAC6 へのログイ

ン

Active Directory SSO の使用

よくあるお問い合わせ - シングルサインオン

スマートカード認証の設定

iDRAC6 へのスマートカードログインのトラブルシューティング

