Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.3

151

152

153

154

155

156

157

158

159

160

目次ページに戻る

 Kerberos 認証を有効にする方法

IntegratedDell™RemoteAccessController6(iDRAC6)バージョン 1.3 ユーザーガイド

シングルサインオンとスマートカードを使用した Active Directory 認証の必要条件

iDRAC6 のシングルサインオンとスマートカード使用の Active Directory 認証を設定する

Active Directory ユーザーのシングルサインオンログインの設定

シングルサインオンを使用した Active Directory ユーザーの iDRAC6 へのログイン

Active Directory ユーザーのスマートカードログオン設定

Kerberos は、セキュリティ保護されていないネットワークでシステムが安全に通信できるようにするネットワーク認証プロトコルです。これは、システムが本物であることをシステム自体が証明できるよ

うにすることで、達成されます。高レベルの認証基準に沿うために、iDRAC6 では Kerberos ベースの Active Directory

認証が Active Directory のスマートカードログインとシングルサインオン

ログインをサポートできるようになりました。

Microsoft

Windows

2000、Windows XP、Windows Server

2003、WindowsVista

、Windows Server 2008 では、デフォルトの認証方式として Kerberos が使用されてい

ます。

iDRAC6 では、Kerberos を使用して Active Directory シングルサインオンと Active Directory スマートカードログインの 2 種類の認証方式をサポートしています。シングルサインオンでログイン

する場合は、ユーザーが有効な Active Directory アカウントでログインした後、オペレーティングシステムにキャッシュされているユーザー資格情報が使用されます。

Active Directory スマートカードでログインする場合は、スマートカードベースの 2 要素認証（TFA）がActive Directory ログインを有効にするための資格情報として使用されます。これは、ローカル

スマートカード認証の追加機能です。

iDRAC6 の時刻がドメインコントローラの時刻と異なる場合は、iDRAC6 の Kerberos 認証に失敗します。最大 5 分のオフセットが許可されています。認証を成功させるには、サーバーの時刻をドメ

インコントローラの時刻と同期してから iDRAC6 をリセットしてください。

次の RACADM タイムゾーンオフセットコマンドを使用して時刻を同期することもできます。

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset <オフセット値>

シングルサインオンとスマートカードを使用した Active Directory 認証の必要条件

l iDRAC6 を Active Directory ログイン用に設定します。詳細については、「Microsoft Active Directory を使用した iDRAC6 へのログイン」を参照してください。

l iDRAC6 を Active Directory のルートドメインにあるコンピュータとして登録します。

a. リモートアクセス ® ネットワーク / セキュリティタブ® ネットワークサブタブの順にクリックします。

b. 有効な優先 / 代替 DNS サーバーの IP アドレスを入力します。この値は、ユーザーの Active Directory アカウントを認証する、ルートドメインの一部である DNS の IP アドレ

スです。

c. DNS に iDRAC を登録するを選択します。

d. 有効な DNS ドメイン名を入力します。

詳細については、iDRAC6 のオンラインヘルプを参照してください。

これら 2 種類の新しい認証方式をサポートするために、iDRAC6 は Windows Kerberos ネットワークで Kerberos サービスとして自動的に有効になる設定をサポートしています。

iDRAC6 で Kerberos を設定するには、Windows Server の Active Directory で Windows Server 以外の Kerberos サービスをセキュリティプリンシパルとして設定するのと同じ

手順を実行します。

Microsoft ツール ktpass（Microsoft がサーバーインストール CD/DVD の一部として提供）は、サービスプリンシパル名（SPN）のユーザーアカウントへのバインドを作成し、信頼情報を

MIT 形式の Kerberos keytab ファイルにエクスポートするのに使用します。これにより、外部ユーザーまたはシステムとキー配付センター（KDC）の間の信頼関係が確立されます。keytab

ファイルには、サーバーと KDC の間の情報を暗号化するための暗号キーが含まれています。ktpass ツールを使用すると、Kerberos 認証をサポートする UNIX ベースのサービスで、

Windows Server の Kerberos KDC サービスによって提供される相互運用性機能を使用できます。

ktpass ユーティリティから取得した keytab はファイルアップロードとして iDRAC6 で使用可能になり、Kerberos 対応サービスとしてネットワーク上で有効になります。

iDRAC6 は Windows 以外のオペレーティングシステム搭載デバイスであるため、iDRAC6 を Active Directory のユーザーアカウントにマッピングする先のドメインコントローラ（Active

Directory サーバー）で、ktpass ユーティリティ（Microsoft Windows の一部）を実行します。

たとえば、次の ktpass コマンドを使用すると、Kerberos keytab ファイルを作成できます。

C:\>ktpass -princ HOST/dracname.domainname.com@DOMAINNAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out

c:\krbkeytab

iDRAC6 が Kerberos 認証に使用する暗号タイプは DES-CBC-MD5 です。プリンシパルタイプは KRB5_NT_PRINCIPAL です。サービスプリンシパル名がマッピングされているユーザー

アカウントのプロパティで、次のアカウントプロパティが有効になっている必要があります。

l このアカウントに DES 暗号化を使用する

l Kerberos 事前認証を必要としない

この手順によって、iDRAC6 にアップロードする keytab ファイルが生成されます。

メモ：最新の ktpass ユーティリティを使用して keytab ファイルを作成することをお勧めします。