Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.3

161

162

163

164

165

166

167

168

169

170

ンターフェイスからしかできません。システムの電源投入時自己診断テストが完了し、オペレーティングシステムが起動したら、cfgRacTuneLocalConfigDisable オプションが適用されます。オペレ

ーティングシステムとしては、ローカル RACADM コマンドを実行できる Microsoft

Windows Server

または Enterprise Linux 、あるいは Dell OpenManage Deployment Toolkit の

ローカル RACADM コマンドを実行するために限定的に使用される Microsoft Windows

Preinstallation Environment や vmlinux などが挙げられます。

次のような場合には、システム管理者がローカル設定を無効にする必要があります。たとえば、サーバーやリモートアクセスデバイスの管理者が複数人いるデータセンターでは、サーバーのソフトウェア

スタックの保守担当者はリモートアクセスデバイスへの管理者権限を必要としない場合があります。同様に、技術者はシステムの定期保守作業中、サーバーへの物理的なアクセス権限を持ち、この間、

システムを再起動し、パスワード保護されている BIOS にもアクセスできますが、リモートアクセスデバイスの設定はできないようにする必要があります。このような状況では、リモートアクセスデバイス

の管理者がローカル設定を無効にすることができます。

ただし、ローカル設定を無効にすると、iDRAC6 をデフォルト設定に戻す能力を含め、ローカル設定権限が著しく制限されるため、これらのオプションは必要なときのみ使用し、通常は一度に 1 つだけの

インターフェイスを無効にし、ログイン権限を完全に失わないように注意してください。たとえば、システム管理者がローカル iDRAC6 ユーザー全員を無効にし、Microsoft Active Directory

ディレク

トリサービスのユーザーだけが iDRAC6 にログインできるようにした後、Active Directory の認証インフラストラクチャにエラーが発生すると、システム管理者がログインできなくなる可能性がありま

す。同様に、システム管理者がすべてのローカル設定を無効にし、動的ホスト構成プロトコル（DHCP）サーバーを含むネットワークに静的 IP アドレスを使って iDRAC6 を配置した後、DHCP サーバ

ーが iDRAC6 の IP アドレスをネットワーク上の別のデバイスに割り当てた場合、その競合によって DRAC の帯域外の接続が無効になり、システム管理者がシリアル接続を通してファームウェアをデ

フォルト設定に戻すことが必要になります。



iDRAC6 リモート仮想 KVM を無効にする

システム管理者は iDRAC6 リモート KVM を選択的に無効にすることで、コンソールリダイレクトを通して他のユーザーから見られることなくローカルユーザーがシステムを操作するための柔軟でセキ

ュアなメカニズムを提供できます。この機能を使用するには、サーバーに iDRAC 管理下ノードソフトウェアをインストールする必要があります。システム管理者は次のコマンドを使用して、リモート

vKVM を無効にできます。

racadm LocalConRedirDisable 1

LocalConRedirDisable コマンドは、引数 1 を使って実行すると既存のリモート vKVM セッションウィンドウを無効にします。

リモートユーザーがローカルユーザーの設定を上書きするのを防ぐために、このコマンドはローカル RACADM でのみ使用可能です。システム管理者は、Microsoft Windows Server 2003 や

SUSE Linux Enterprise Server 10 など、ローカル RACADM 対応のオペレーティングシステムでこのコマンドを使用できます。このコマンドはシステム再起動後も有効であるため、リモート

vKVM を再度有効にするには、システム管理者がこのコマンドを無効にする必要があります。これには、次のように引数 0 を使用します。

racadm LocalConRedirDisable 0

状況によっては、iDRAC6 リモート vKVM を無効にする必要が生じます。たとえば、システム管理者は自分が設定した BIOS 設定をリモート iDRAC6 ユーザーに見られたくない場合、

LocalConRedirDisable コマンドを使ってシステム POST 中にリモート vKVM を無効にできます。また、システム管理者がシステムにログインするたびにリモート vKVM を自動的に無効にすること

でセキュリティを強化できます。これには、ユーザーログオンスクリプトから LocalConRedirDisable コマンドを実行します。

ログオンスクリプトの詳細については、technet2.microsoft.com/windowsserver/en/library/31340f46-b3e5-4371-bbb9-6a73e4c63b621033.mspx を参照してくださ

い。

SSL とデジタル証明書を使用した iDRAC6 通信のセキュリティ確保

ここでは、iDRAC6 に組み込まれているデータセキュリティの機能について説明します。

l 「SSL（Secure Sockets Layer）」

l 「証明書署名要求 (CSR)」

l 「SSL メインメニューへのアクセス」

l 「証明書署名要求の生成」



SSL（Secure Sockets Layer）

iDRAC6 には、業界標準の SSL セキュリティプロトコルを使用してインターネットで暗号化データを送信するように構成されたウェブサーバーが含まれています。公開キーと秘密キーの暗号技術に基

づく SSL は、クライアントとサーバー間で認証済みの暗号化通信を使用して、ネットワーク上の盗聴を防止するために広く受け入れられているセキュリティ方式です。

SSL に対応したシステムの特徴

l SSL 対応のクライアントに対して自己認証する

l クライアントがサーバーに対して認証できるようにする

l 両方のシステムが暗号化された接続を確立できる

この暗号処理は高度なデータ保護を提供します。iDRAC6 では、北米のインターネットブラウザで一般的に使用されている最も安全な暗号化方式である 128 ビットの SSL 暗号化標準を採用していま

す。

iDRAC6 ウェブサーバーには、デルが署名をした SSL デジタル証明書（サーバー ID）が含まれています。インターネットで高度なセキュリティを確保するには、新しい証明書署名要求（CSR）を生成す

る要求を iDRAC6 に送信して、ウェブサーバー SSL 証明書を置き換えてください。



証明書署名要求 (CSR)

CSR は、認証局（CA）に対してセキュアサーバー証明書の発行を求めるデジタル要求です。セキュアサーバー証明書は、リモートシステムの身元を保護して、リモートシステムとやり取りする情報を他

のユーザーが表示したり変更したりできないようにします。DRAC のセキュリティを確保するため、CSR を生成して CSR を CA に送信し、CA から返された証明書をアップロードすることをお勧めしま

メモ：詳細については、デルサポートサイト support.dell.com にあるホワイトペーパー「DRAC 上のローカル設定とリモート仮想 KVM を無効にする」をお読みください。