Users Guide
ティングシステムとしては、ローカル RACADM コマンドを実行できる Microsoft Windows Server または Enterprise Linux 、あるいは Dell OpenManage Deployment Toolkit のローカ
ル RACADM コマンド を実行するために限定的に使用される Microsoft Windows Preinstallation Environment や vmlinux などが挙げられます。
次のような場合には、システム管理者がローカル設定を無効にする必要があります。たとえば、サーバーやリモートアクセスデバイスの管理者が複数人いるデータセンターでは、サーバーのソフトウェア
スタックの保守担当者はリモートアクセスデバイスへの管理者権限を必要としない場合があります。同様に、技術者はシステムの定期保守作業中、サーバーへの物理的なアクセス権限を持ち、この間、
システムを再起動し、パスワード保護されている BIOS にもアクセスできますが、リモートアクセスデバイスの設定はできないようにする必要があります。このような状況では、リモートアクセスデバイス
の管理者がローカル設定を無効にすることができます。
ただし、ローカル設定を無効にすると、iDRAC6 をデフォルト設定に戻す能力を含め、ローカル設定権限が著しく制限されるため、これらのオプションは必要なときのみ使用し、通常は一度に 1 つだけの
インタフェースを無効にし、ログイン権限を完全に失わないように注意してください。たとえば、システム管理者がローカル iDRAC6 ユーザー全員を無効にし、Microsoft Active Directory ディレクトリ
サービスのユーザーだけが iDRAC6 にログインできるようにした後、Active Directory の認証インフラストラクチャにエラーが発生すると、システム管理者がログインできなくなる可能性があります。
同様に、システム管理者がすべてのローカル設定を無効にし、動的ホスト構成プロトコル(DHCP)サーバーを含むネットワークに静的 IP アドレスを使って iDRAC6 を配置した後、DHCP サーバーが
iDRAC6 の IP アドレスをネットワーク上の別のデバイスに割り当てた場合、その競合によって DRAC の帯域外の接続が無効になり、システム管理者がシリアル接続を通してファームウェアをデフォル
ト設定に戻すことが必要になります。
iDRAC6 仮想コンソールを無効にする
システム管理者は iDRAC6 リモート仮想コンソールを選択的に無効にすることで、仮想コンソールを通して他のユーザーから見られることなくローカルユーザーがシステムを操作するための柔軟でセ
キュアなメカニズムを提供できます。この機能を使用するには、サーバーに iDRAC 管理下ノードソフトウェアをインストールする必要があります。システム管理者は次のコマンドを使用して、仮想コンソ
ール を無効にできます。
racadm LocalConRedirDisable 1
LocalConRedirDisable コマンドは、引数 1 を使って実行すると既存のリモート仮想コンソール セッションウィンドウを無効にします。
リモートユーザーがローカルユーザーの設定を上書きするのを防ぐために、このコマンドはローカル RACADM でのみ使用可能です。システム管理者は、Microsoft Windows Server 2003 や
SUSE Linux Enterprise Server 10 など、ローカル RACADM 対応のオペレーティングシステムでこのコマンドを使用できます。このコマンドはシステム再起動後も有効であるため、仮想コンソー
ルを再度有効にするには、システム管理者がこのコマンドを無効にする必要があります。これには、次のように引数 0 を使用します。
racadm LocalConRedirDisable 0
状況によっては、iDRAC6 仮想コンソール を無効にする必要が生じます。たとえば、システム管理者は自分が設定した BIOS 設定をリモート iDRAC6 ユーザーに見られたくない場合、
LocalConRedirDisable コマンドを使ってシステム POST 中に仮想コンソール を無効にできます。また、システム管理者がシステムにログインするたびに仮想コンソール を自動的に無効にするこ
とでセキュリティを強化できます。これには、ユーザーログオンスクリプトから LocalConRedirDisable コマンドを実行します。
ログオンスクリプトの詳細については、technet2.microsoft.com/windowsserver/en/library/31340f46-b3e5-4371-bbb9-6a73e4c63b621033.mspx を参照してくださ
い。
SSL とデジタル証明書を使用した iDRAC6 通信のセキュリティ確保
ここでは、iDRAC6 に組み込まれているデータセキュリティの機能について説明します。
l SSL(セキュアソケットレイヤー)
l 証明書署名要求(CSR)
l SSL メインメニューへのアクセス
l 証明書署名要求の生成
SSL(セキュアソケットレイヤー)
iDRAC6 には、業界標準の SSL セキュリティプロトコルを使用してインターネットで暗号化データを送信するように構成されたウェブサーバーが含まれています。公開キーと秘密キーの暗号技術に基
づく SSL は、クライアントとサーバー間で認証済みの暗号化通信を使用して、ネットワーク上の盗聴を防止するために広く受け入れられているセキュリティ方式です。
SSL に対応したシステムの特徴
l SSL 対応のクライアントに対して自己認証する
l クライアントがサーバーに対して認証できるようにする
l 両方のシステムが暗号化された接続を確立できる
この暗号処理は高度なデータ保護を提供します。iDRAC6 では、北米のインターネットブラウザで一般的に使用されている最も安全な暗号化方式である 128 ビットの SSL 暗号化標準を採用していま
す。
iDRAC6 ウェブサーバーには、デルが署名をした SSL デジタル証明書(サーバー ID)が含まれています。インターネットにおける高度なセキュリティを確実にするには、次の手順を実行します。
1. デフォルトのウェブサーバー SSL 証明書を、認証局(CA)からの有効な証明書に置き換えます。
2. iDRAC6 に要求を送信することにより、証明書署名要求(CSR) を生成します。
3. 認証局(CA)に CSR を提供して、有効な証明書を取得します。
メモ:詳細については、デルサポートサイト support.dell.com にあるホワイトペーパー『DRAC 上のローカル設定とリモート仮想 KVM を無効にする』をお読みください。