Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.0

321

322

323

324

325

326

327

328

329

330

ターフェイスからのみできるようになっています。システムの電源投入時自己診断テストが完了し、オペレーティングシステムが起動したら、cfgRacTuneLocalConfigDisable オプションが適用され

ます。オペレーティングシステムとしては、ローカル RACADM コマンドを実行できる Microsoft

Windows Server

または Enterprise Linux 、あるいは Dell OpenManage Deployment

Toolkit のローカル RACADM コマンドを実行するために限定的に使用される Microsoft Windows

Preinstallation Environment や vmlinux などが挙げられます。

次のような場合には、システム管理者がローカル設定を無効にする必要があります。たとえば、サーバーおよびリモートアクセスデバイスの管理者が複数人いるデータセンターでは、サーバースタック

の保守担当者はリモートアクセスデバイスへの管理者権限を必要としない場合があります。同様に、技術者はシステムの定期保守作業中、サーバーへの物理的なアクセス権限を持ちます。この間、シ

ステムを再起動し、パスワード保護されている BIOS にアクセスできますが、リモートアクセスデバイスの設定は許可されるべきではありません。このような状況下では、リモートアクセスデバイスの管

理者はローカル設定を無効にします。

管理者は、ローカル設定を無効にすると、iDRAC6 をデフォルト設定に戻す能力を含めてローカル設定権限が著しく制限されるため、これらのオプションは必要なときのみ使用すべきで、通常一度に 1

つだけのインターフェイスを無効にし、ログイン権限を完全に失わないようにすべきです。たとえば、管理者がローカル iDRAC6 ユーザー全員を無効にし、Microsoft Active Directory

ディレクトリ

サービスのユーザーだけが iDRAC6 にログインできるようにした後、Active Directory の認証インフラストラクチャにエラーが発生すると、管理者がログインできなくなる可能性があります。同様に、管

理者がすべてのローカル設定を無効にし、動的ホスト構成プロトコル（DHCP）サーバーを含むネットワークに静的 IP アドレスを使って iDRAC6 を配置した後、DHCP サーバーが iDRAC6 の IP アド

レスをネットワーク上の別のデバイスに割り当てた場合、その競合によって DRAC の帯域外の接続が無効になり、管理者がシリアル接続を通してファームウェアをデフォルト設定に戻すことが必要にな

ります。



iDRAC6 リモート仮想 KVM を無効にする

管理者は iDRAC6 リモート KVM を選択的に無効にすることで、コンソールリダイレクトを通して他のユーザーから見られることなくローカルユーザーがシステムを操作するための柔軟でセキュアなメ

カニズムを提供できます。この機能を使用するには、サーバーに iDRAC 管理下ノードソフトウェアをインストールする必要があります。管理者は次のコマンドを使って、リモート vKVM を無効にできま

す。

racadm LocalConRedirDisable 1

LocalConRedirDisable コマンドは、引数 1 を使って実行すると既存のリモート vKVM セッションウィンドウを無効にします。

リモートユーザーがローカルユーザーの設定を上書きするのを防ぐために、このコマンドはローカル RACADM でのみ使用可能です。管理者は、Microsoft Windows Server 2003 および SUSE

Linux Enterprise Server 10 など、ローカル RACADM 対応のオペレーティングシステムで使用できます。このコマンドはシステム再起動後も有効であるため、リモート vKVM を再度有効にするた

めには管理者がこのコマンドを無効にする必要があります。これには、次のように引数 0 を使用します。

racadm LocalConRedirDisable 0

次のように、iDRAC6 リモート vKVM を無効にする必要が生じる状態がいくつかあります。たとえば、管理者は自分が設定した BIOS 設定をリモート iDRAC6 ユーザーに見られたくない場合、

LocalConRedirDisable コマンドを使ってシステム POST 中にリモート vKVM を無効にできます。また、管理者がシステムにログインするたびにリモート vKVM を自動的に無効にすることでセキュ

リティを強化できます。これには、ユーザーログオンスクリプトから LocalConRedirDisable コマンドを実行します。

ログオンスクリプトの詳細については、technet2.microsoft.com/windowsserver/en/library/31340f46-b3e5-4371-bbb9-6a73e4c63b621033.mspx を参照してくださ

い。

SSL とデジタル証明書を使用した iDRAC6 通信のセキュリティ確保

ここでは、iDRAC6 に組み込まれているデータセキュリティの機能について説明します。

l 「SSL (Secure Sockets Layer)」

l 「証明書署名要求 (CSR)」

l 「SSL メインメニューへのアクセス」

l 「証明書署名要求の生成」



SSL (Secure Sockets Layer)

iDRAC6 には、業界標準の SSL セキュリティプロトコルを使用してインターネットで暗号化データを送信するように設定されたウェブサーバーが含まれています。公開鍵と秘密鍵の暗号技術に基づく

SSL は、クライアントとサーバー間の認証済みの暗号化された通信により、ネットワーク上での盗聴を防止する広く受け入れられているセキュリティ方式です。

SSL 対応システム：

l SSL 対応のクライアントに対して認証する

l クライアントがサーバーに対して認証できるようにする

l 両システムが暗号化された接続を確立できるようにする

この暗号処理は高度なデータ保護を提供します。iDRAC6 では、北米のインターネットブラウザで一般的に使用されている最も安全な暗号化方式である 128 ビットの SSL 暗号化標準を採用していま

す。

iDRAC6 ウェブサーバーには、デルが署名をした SSL デジタル証明書（サーバー ID）が含まれています。インターネットで高度なセキュリティを確保するには、新しい証明書署名要求（CSR）を生成す

る要求を iDRAC6 に送信して、ウェブサーバー SSL 証明書を置き換えてください。



証明書署名要求 (CSR)

CSR は、認証局 (CA) に対してセキュアサーバー証明書の発行を求めるデジタル要求です。セキュアサーバー証明書は、リモートシステムの身元を保護して、リモートシステムとやり取りする情報を

他のユーザーが閲覧または変更できないようにします。DRAC のセキュリティを確保するため、CSR を生成して CSR を CA に送信し、CA から返された証明書をアップロードすることをお勧めします。

メモ：詳細については、デルサポートサイト support.dell.com にあるホワイトペーパー「DRAC 上のローカル設定とリモート仮想 KVM を無効にする」をお読みください。