Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.2

151

152

153

154

155

156

157

158

159

160

ンターフェイスからしかできません。システムの電源投入時自己診断テストが完了し、オペレーティングシステムが起動したら、cfgRacTuneLocalConfigDisable オプションが適用されます。オペレ

ーティングシステムとしては、ローカル RACADM コマンドを実行できる Microsoft®Windows Server®または Enterprise Linux 、あるいは Dell OpenManage Deployment Toolkit のロ

ーカル RACADM コマンドを実行するために限定的に使用される Microsoft Windows Preinstallation Environment や vmlinux などが挙げられます。

次のような場合には、システム管理者がローカル設定を無効にする必要があります。たとえば、サーバーやリモートアクセスデバイスの管理者が複数人いるデータセンターでは、サーバーのソフトウェア

スタックの保守担当者はリモートアクセスデバイスへの管理者権限を必要としない場合があります。同様に、技術者はシステムの定期保守作業中、サーバーへの物理的なアクセス権限を持ち、この間、

システムを再起動し、パスワード保護されている BIOS にもアクセスできますが、リモートアクセスデバイスの設定はできないようにする必要があります。このような状況では、リモートアクセスデバイス

の管理者がローカル設定を無効にすることができます。

ただし、ローカル設定を無効にすると、iDRAC6 をデフォルト設定に戻す能力を含め、ローカル設定権限が著しく制限されるため、これらのオプションは必要なときのみ使用し、通常は一度に 1 つだけの

インターフェイスを無効にし、ログイン権限を完全に失わないように注意してください。たとえば、管理者がローカル iDRAC6 ユーザー全員を無効にし、Microsoft Active Directory

ディレクトリサー

ビスのユーザーだけが iDRAC6 にログインできるようにした後、Active Directory の認証インフラストラクチャにエラーが発生すると、管理者がログインできなくなる可能性があります。同様に、管理者

がすべてのローカル設定を無効にし、動的ホスト構成プロトコル（DHCP）サーバーを含むネットワークに静的 IP アドレスを使って iDRAC6 を配置した後、DHCP サーバーが iDRAC6 の IP アドレス

をネットワーク上の別のデバイスに割り当てた場合、その競合によって DRAC の帯域外の接続が無効になり、管理者がシリアル接続を通してファームウェアをデフォルト設定に戻すことが必要になりま

す。



iDRAC6 リモート仮想 KVM を無効にする

管理者は iDRAC6 リモート KVM を選択的に無効にすることで、コンソールリダイレクトを通して他のユーザーから見られることなくローカルユーザーがシステムを操作するための柔軟でセキュアなメ

カニズムを提供できます。この機能を使用するには、サーバーに iDRAC 管理下ノードソフトウェアをインストールする必要があります。管理者は次のコマンドを使用して、リモート vKVM を無効にできま

す。

racadm LocalConRedirDisable 1

LocalConRedirDisable コマンドは、引数 1 を使って実行すると既存のリモート vKVM セッションウィンドウを無効にします。

リモートユーザーがローカルユーザーの設定を上書きするのを防ぐために、このコマンドはローカル RACADM でのみ使用可能です。管理者は、Microsoft Windows Server 2003 および SUSE

Linux Enterprise Server 10 など、ローカル RACADM 対応のオペレーティングシステムでこのコマンドを使用できます。このコマンドはシステム再起動後も有効であるため、リモート vKVM を再

度有効にするには、管理者がこのコマンドを無効にする必要があります。これには、次のように引数 0 を使用します。

racadm LocalConRedirDisable 0

状況によっては、iDRAC6 リモート vKVM を無効にする必要が生じます。たとえば、管理者は自分が設定した BIOS 設定をリモート iDRAC6 ユーザーに見られたくない場合、

LocalConRedirDisable コマンドを使ってシステム POST 中にリモート vKVM を無効にできます。また、管理者がシステムにログインするたびにリモート vKVM を自動的に無効にすることでセキュ

リティを強化できます。これには、ユーザーログオンスクリプトから LocalConRedirDisable コマンドを実行します。

ログオンスクリプトの詳細については、technet2.microsoft.com/windowsserver/en/library/31340f46-b3e5-4371-bbb9-6a73e4c63b621033.mspx を参照してくださ

い。

SSL とデジタル証明書を使用した iDRAC6 通信のセキュリティ確保

ここでは、iDRAC6 に組み込まれているデータセキュリティの機能について説明します。

l 「SSL (Secure Sockets Layer)」

l 「証明書署名要求 (CSR)」

l 「SSL メインメニューへのアクセス」

l 「証明書署名要求の生成」



SSL (Secure Sockets Layer)

iDRAC6 には、業界標準の SSL セキュリティプロトコルを使用してインターネットで暗号化データを送信するように構成されたウェブサーバーが含まれています。公開鍵と秘密鍵の暗号技術に基づく

SSL は、クライアントとサーバー間で認証済みの暗号化通信を使用して、ネットワーク上の盗聴を防止するために広く受け入れられているセキュリティ方式です。

SSL に対応したシステムの特徴

l SSL 対応のクライアントに対して自己認証する

l クライアントがサーバーに対して認証できるようにする

l 両方のシステムが暗号化された接続を確立できる

この暗号処理は高度なデータ保護を提供します。iDRAC6 では、北米のインターネットブラウザで一般的に使用されている最も安全な暗号化方式である 128 ビットの SSL 暗号化標準を採用していま

す。

iDRAC6 ウェブサーバーには、デルが署名をした SSL デジタル証明書（サーバー ID）が含まれています。インターネットで高度なセキュリティを確保するには、新しい証明書署名要求（CSR）を生成す

る要求を iDRAC6 に送信して、ウェブサーバー SSL 証明書を置き換えてください。



証明書署名要求 (CSR)

CSR は、認証局（CA）に対してセキュアサーバー証明書の発行を求めるデジタル要求です。セキュアサーバー証明書は、リモートシステムの身元を保護して、リモートシステムとやり取りする情報を他

のユーザーが表示したり変更したりできないようにします。DRAC のセキュリティを確保するため、CSR を生成して CSR を CA に送信し、CA から返された証明書をアップロードすることをお勧めしま

メモ：詳細については、デルサポートサイト support.dell.com にあるホワイトペーパー「DRAC 上のローカル設定とリモート仮想 KVM を無効にする」をお読みください。