Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.9

目次に戻る

 iDRAC6 に対するシングルサインオンまたはスマートカードログインの設定

Integrated Dell Remote Access Controller 6（ iDRAC6）バージョン 1.7 ユーザーズガイド

Kerberos 認証について

Active Directory SSO とスマートカード認証の必要条件

Microsoft Active Directory SSO の使用

スマートカード認証の設定

iDRAC6 へのスマートカードログインのトラブルシューティング

SSO についてよくあるお問い合わせ（FAQ）

本項では、iDRAC6 に対して、ローカルユーザーおよび Active Directory ユーザーのスマートカードログインの設定と Active Directory ユーザーのシングルサインオン（SSO）を設定する方法に

ついて説明します。

iDRAC6 は、Active Directory スマートカードおよび SSO ログインの Kerberos ベースの Active Directory 認証をサポートします。

Kerberos 認証について

Kerberos は、セキュリティ保護されていないネットワークでシステムが安全に通信できるようにするネットワーク認証プロトコルです。これは、システムが本物であることをシステム自体が証明できるよ

うにすることで、達成されます。高レベルの認証基準を満たすため、iDRAC6 では Kerberos ベースの Active Directory 認証を使用して、Active Directory のスマートカードログインと SSO ログ

インをサポートするようになりました。

Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista、および Windows Server 2008 では、Kerberos をデフォルト認証方式として採用しています。

iDRAC6 では、Kerberos を使用して Active Directory SSO と Active Directory スマートカードログインの 2 種類の認証方式をサポートしています。Active Directory SSO でログインする場

合は、ユーザーが有効な Active Directory アカウントでログインすると、オペレーティングシステムにキャッシュされているユーザー資格情報が使用されます。

Active Directory スマートカードでログインする場合は、スマートカードベースの 2 要素認証（TFA）がActive Directory ログインを有効にするための資格情報として使用されます。これは、ローカル

スマートカード認証の追加機能です。

iDRAC6 の時刻がドメインコントローラの時刻と異なる場合は、iDRAC6 の Kerberos 認証に失敗します。最大 5 分のオフセットが許可されています。認証を成功させるには、サーバーの時刻をドメ

インコントローラの時刻と同期してから iDRAC6 をリセットしてください。

Active Directory SSO とスマートカード認証の必要条件

Active Directory SSO とスマートカード認証両方の必要条件は、次のとおりです。

l iDRAC6 を Active Directory ログイン用に設定します。詳細については、iDRAC6 ディレクトリサービスの使用を参照してください。

l iDRAC6 を Active Directory のルートドメインにあるコンピュータとして登録します。これには、次の操作を行います。

a. iDRAC の設定® ネットワーク / セキュリティタブ® ネットワークサブタブとクリックします。

b. 有効な優先 / 代替 DNS サーバーの IP アドレスを入力します。この値は、ユーザーの Active Directory アカウントを認証する、ルートドメインの一部である DNS の IP アドレ

スです。

c. DNS に iDRAC を登録するを選択します。

d. 有効な DNS ドメイン名を入力します。

詳細については、『iDRAC6 オンラインヘルプ』を参照してください。

l これら 2 種類の新しい認証方式をサポートするために、iDRAC6 は Windows Kerberos ネットワーク上の Kerberos 対応サービスとして自らを有効になる設定をサポートしています。

iDRAC6 で Kerberos を設定するには、Windows Server の Active Directory で Windows Server 以外の Kerberos サービスをセキュリティプリンシパルとして設定するのと同じ

手順を実行します。

Microsoft ツール ktpass（Microsoft がサーバーインストール CD/DVD の一部として提供）は、サービスプリンシパル名（SPN）のユーザーアカウントへのバインドを作成し、信頼情報を

MIT 形式の Kerberos keytab ファイルにエクスポートするのに使用します。これにより、外部ユーザーまたはシステムとキー配付センター（KDC）の間の信頼関係が確立されます。keytab

ファイルには、サーバーと KDC の間の情報を暗号化するための暗号キーが含まれています。ktpass ツールを使用すると、Kerberos 認証をサポートする UNIX ベースのサービスが、

Windows Server の Kerberos KDC サービスによって提供される相互運用性機能を使用できるようにします。

ktpass ユーティリティから取得した keytab はファイルアップロードとして iDRAC6 で使用可能になり、Kerberos 対応サービスとしてネットワーク上で有効になります。

iDRAC6 は Windows 以外のオペレーティングシステム搭載デバイスであるため、iDRAC6 を Active Directory のユーザーアカウントにマッピングする先のドメインコントローラ（Active

Directory サーバー）で、ktpass ユーティリティ（Microsoft Windows の一部）を実行します。

たとえば、次の ktpass コマンドを使用すると、Kerberos keytab ファイルを作成できます。

C:¥>ktpass -princ HOST/dracname.domainname.com@DOMAINNAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out

c:¥krbkeytab

iDRAC6 が Kerberos 認証に使用する暗号タイプは DES-CBC-MD5 です。プリンシパルタイプは KRB5_NT_PRINCIPAL です。サービスプリンシパル名がマッピングされているユーザー

アカウントのプロパティで、このアカウントに DES 暗号化を使用するプロパティが有効になっている必要があります。

メモ：最新の ktpass ユーティリティを使用して keytab ファイルを作成することをお勧めします。