Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.2

141

142

143

144

145

146

147

148

149

150

目次ページに戻る

 Kerberos 認証を有効にする方法

IntegratedDell™RemoteAccessController6（iDRAC6）バージョン 1.2 ユーザーズガイド

シングルサインオンとスマートカードを使用した Active Directory 認証の必要条件

iDRAC6 にシングルサインオン認証とスマートカード使用の Active Directory 認証を設定する方法

シングルサインオンログインに使用する Active Directory ユーザーの設定

Active Directory ユーザーのシングルサインオンを使用した iDRAC6 へのログイン

Active Directory ユーザーに対するスマートカードログオンの設定

Kerberos は、セキュリティ保護されていないネットワークでシステムが安全に通信できるネットワーク認証プロトコルです。システムが本物であることをシステム自体が証明できるようになっています。

高レベルの認証基準を満たすため、iDRAC6 では Kerberos ベースの Active Directory

認証を使用して、Active Directory のスマートカードログインとシングルサインオンログインをサポートす

るようになりました。

MicrosoftR Windows

2000、 Windows XP、Windows ServerR 2003、WindowsVistaR、および Windows Server 2008 では、デフォルトの認証方式として Kerberos を使用して

います。

iDRAC6 では、Kerberos を使用して Active Directory シングルサインオンと Active Directory スマートカードログインという 2 種類の認証方式をサポートしています。シングルサインオンでログ

インする場合は、ユーザーが有効な Active Directory アカウントでログインした後、オペレーティングシステムにキャッシュされているユーザー資格情報が使用されます。

Active Directory スマートカードでログインする場合は、Active Directory ログインを有効にするために、スマートカードベースの 2 要素認証（TFA）が資格情報として使用されます。これは、ローカ

ルのスマートカード認証の追加機能です。

iDRAC6 の時刻がドメインコントローラの時刻と異なる場合は、iDRAC6 の Kerberos 認証に失敗します。最大 5 分のオフセットが許可されています。認証に成功するには、サーバーの時刻をドメイ

ンコントローラの時刻と同期してから iDRAC6 をリセットしてください。

また、次の RACADM タイムゾーンオフセットコマンドを使用して時刻を同期することもできます。

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset <オフセット値>

シングルサインオンとスマートカードを使用した Active Directory 認証の必要条件

l iDRAC6 に Active Directory ログインを設定します。詳細については、「Active Directory を使用した iDRAC6 へのログイン」を参照してください。

l Active Directory のルートドメインに iDRAC6 をコンピュータとして登録します。

a. リモートアクセス® 設定タブ ® ネットワークサブタブをクリックします。

b. 有効な優先 / 代替 DNS サーバーの IP アドレスを入力します。この値は、ルートドメインの一部である DNS の IP アドレスで、ユーザーの Active Directory アカウントを認証

します。

c. DNS に iDRAC を登録するを選択します。

d. 有効な DNS ドメイン名を入力します。

詳細については、iDRAC6 のオンラインヘルプを参照してください。

新しい 2 種類の認証方式をサポートするため、Windows Kerberos ネットワークで Kerberos サービスとして iDRAC6 が自動的に有効になる設定がサポートされています。iDRAC6 で

Kerberos を設定するには、Windows Server の Active Directory で Windows Server 以外の Kerberos サービスをセキュリティプリンシパルとして設定するのと同じ手順を実行し

ます。

Microsoft ツール ktpass（Microsoft がサーバーインストール CD/DVD の一部として提供）は、ユーザーアカウントにバインドされているサービスプリンシパル名（SPN）を作成し、信頼情報

を MIT 形式の Kerberos keytab ファイルにエクスポートするときに使用します。これにより、外部ユーザーまたはシステムと、キー配付センター（KDC）の間の信頼関係が確立されます。

keytab ファイルには暗号鍵が含まれており、これを使用してサーバーと KDC の間の情報を暗号化します。ktpass ツールを使用すると、Kerberos 認証をサポートする UNIX ベースのサ

ービスは Windows Server の Kerberos KDC サービスによって提供される相互運用性を使用できます。

ktpass ユーティリティから取得した keytab はファイルアップロードとして iDRAC6 で使用可能になり、Kerberos 対応サービスとしてネットワーク上で有効になります。

iDRAC6 は Windows 以外のオペレーティングシステム搭載デバイスであるため、iDRAC6 を Active Directory のユーザーアカウントにマッピングするドメインコントローラ（Active

Directory サーバー）で、ktpass ユーティリティ（Microsoft Windows の一部）を実行する必要があります。

たとえば、次の ktpass コマンドを使用して、Kerberos keytab ファイルを作成します。

C:¥>ktpass -princ HOST/dracname.domainname.com@DOMAINNAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out

c:¥krbkeytab

iDRAC6 が Kerberos 認証に使用する暗号タイプは DES-CBC-MD5 です。プリンシパルタイプは KRB5_NT_PRINCIPAL です。サービスプリンシパル名がマッピングされているユーザー

アカウントのプロパティで、次のアカウントプロパティが有効になっている必要があります。

l このアカウントに DES 暗号化を使用する

l Kerberos 事前認証が不要

この手順によって、iDRAC6 にアップロードする keytab ファイルが生成されます。

メモ：最新の ktpass ユーティリティを使用して keytab ファイルを作成することをお勧めします。