Users Guide
iDRAC6 の追加のセキュリティオプションを有効にする
リモートシステムへの不正アクセスを防ぐため、iDRAC6 では次の機能を提供しています。
l IP アドレスフィルタ(IPRange)- iDRAC6 にアクセスできる特定の IP アドレス範囲を定義します。
l IP アドレスのブロック - 特定の IP アドレスからのログイン試行の失敗回数を制限します。
これらの機能は iDRAC6 のデフォルト設定では無効になっています。次のサブコマンドまたはウェブインタフェースを使用して、これらの機能を有効にしてください。
racadm config -g cfgRacTuning -o <オブジェクト名> <値>
これらの機能はまた、セッションのアイドルタイムアウト値や、ネットワークに定義済みのセキュリティプランと一緒にも使用できます。
以下の各項で、これらの機能について詳しく説明します。
IP フィルタ (IpRange)
IP アドレスフィルタ(または IP 範囲チェック)を使用すると、ユーザーが特定した範囲内にある IP アドレスのクライアントワークステーションや管理ワークステーションからのみ iDRAC6 へのアクセス
を許可します。その他のログインはすべて拒否されます。
IP フィルタは着信ログインの IP アドレスを、次の cfgRacTuning プロパティで指定する IP アドレス範囲と比較します。
l cfgRacTuneIpRangeAddr
l cfgRacTuneIpRangeMask
cfgRacTuneIpRangeMask プロパティは着信 IP アドレスと cfgRacTuneIpRangeAddr プロパティの両方に適用されます。両方のプロパティの結果が同じであれば、受信ログイン要求の
iDRAC6 へのアクセスが許可されます。この範囲外の IP アドレスからのログイン要求にはエラーが返されます。
次の式の値がゼロに等しい場合は、ログインに進みます。
cfgRacTuneIpRangeMask & (<着信 IP アドレス> ^ cfgRacTuneIpRangeAddr)
& は数量のビットワイズ AND で ^ はビットワイズ XOR です。
cfgRacTuning プロパティの完全なリストは、「iDRAC6 プロパティデータベースグループとオブジェクト定義」に掲載されています。
表 21-14IPアドレスフィルタ( IpRange) のプロパティ
IP フィルタを有効にする
以下に、IP フィルタ設定のコマンド例を示します。
RACADM と RACADM コマンドの詳細については、「RACADM のリモート使用」を参照してください。
ログインを 1 つの IP アドレスに限定するには(たとえば 192.168.0.57)、次のようにフルマスクを使用してください。
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.57
ボタン
説明
印刷
サービス ページを印刷します。
更新
サービス ページを更新します。
変更の適用
サービス ページの設定を適用します。
プロパティ
説明
cfgRacTuneIpRangeEnable
IP アドレスのチェック機能を有効にします。
cfgRacTuneIpRangeAddr
サブネットマスクの 1 によって、受け入れる IP アドレスビットパターンが決まります。
このプロパティと cfgRacTuneIpRangeMask とのビットワイズ ANDによって、許可する IP アドレスの上位部分が決定されます。上位部分にこのビットパタ
ーンを含んでいる IP アドレスは、iDRAC6 とのセッションを確立できます。この範囲外の IP アドレスからのログインは失敗します。各プロパティのデフォルト値
は、IP アドレス範囲 192.168.1.0~192.168.1.255 から iDRAC6 セッションが確立できるように設定されています。
cfgRacTuneIpRangeMask
IP アドレスの有意ビット位置を定義します。サブネットマスクは、上位ビットがすべて 1 で、下位ビットがすべてゼロであるネットマスク形式です。
メモ: 次の RACADM コマンドは 192.168.0.57 以外のすべての IP アドレスをブロックします。