Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC7 with Lifecycle Controller Version 2.40.40.40

151

152

153

154

155

156

157

158

159

160

3. iDRAC の DNS への登録を選択します。

4. 有効な DNS ドメイン名を入力します。

5. ネットワーク DNS の設定が Active Directory の DNS 情報と一致することを確認します。

オプションの詳細については、『iDRAC オンラインヘルプ』を参照してください。

Kerberos Keytab ファイルの生成

SSO およびスマートカードログイン認証をサポートするために、iDRAC は Windows Kerberos ネットワーク上の Kerberos 化されたサービスとして、

自らを有効にする設定をサポートします。iDRAC での Kerberos 設定では、Windows Server Active Directory で、Windows Server 以外の

Kerberos サービスをセキュリティプリンシパルとして設定する手順と同じ手順を実行します。

ktpass ツール（サーバーインストール CD / DVD の一部として Microsoft から入手できます）を使用して、ユーザーアカウントにバインドするサー

ビスプリンシパル名（SPN）を作成し、信頼情報を MIT 形式の Kerberos keytab ファイルにエクスポートします。これにより、外部ユーザーやシス

テムとキー配布センター

（KDC）の間の信頼関係が有効になります。keytab ファイルには暗号キーが含まれており、サーバーと KDC の間での情

報の暗号化に使用されます。ktpass ツールによって、Kerberos 認証をサポートする UNIX ベースのサービスは Windows Server Kerberos KDC

サービスが提供する相互運用性機能を利用できるようになります。ktpass ユーティリティの詳細については、マイクロソフトの Web サイト

technet.microsoft.com/en-us/library/cc779157(WS.10).aspx を参照してください。

keytab ファイルを生成する前に、ktpass コマンドの -mapuser オプションと使用する Active Directory ユーザーアカウントを作成する必要があ

ります。さらに、このアカウントは、生成した keytab ファイルをアップロードする iDRAC DNS 名と同じ名前にする必要があります。

ktpass ツールを使用して keytab ファイルを生成するには、次の手順を実行します。

1. ktpass ユーティリティを、Active Directory 内のユーザーアカウントに iDRAC をマップするドメインコントローラ（Active Directory サーバー）

上で実行します。

2. 次の ktpass コマンドを使用して、Kerberos keytab ファイルを作成します。

C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -mapuser DOMAINNAME

\username -mapOp set -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass [password] -out

c:\krbkeytab

暗号化タイプは、AES256-SHA1 です。プリンシパルタイプは、KRB5_NT_PRINCIPAL です。サービスプリンシパル名がマップされているユー

ザーアカウントのプロパティは、

このアカウントに AES 暗号化タイプを使用するプロパティが有効になっている必要があります。

メモ: iDRACname およびサービスプリンシパル名には小文字を使用します。ドメイン名には、例に示されているように大文字を

使用します。

3. 次のコマンドを実行します。

C:\>setspn -a HTTP/iDRACname.domainname.com username

keytab ファイルが生成されます。

メモ: keytab ファイルが作成される iDRAC ユーザーに問題がある場合は、新しいユーザーと新しい keytab ファイルを作成しま

す。最初に作成されたファイルと同じ

keytab ファイルが再度実行されると、正しく設定されません。

Active Directory オブジェクトの作成と権限の付与

Active Directory 拡張スキーマベースの SSO ログイン用に、次の手順を実行します。

1. Active Directory サーバーで、デバイスオブジェクト、権限オブジェクト、および関連オブジェクトを作成します。

2. 作成された権限オブジェクトにアクセス権限を設定します。一部のセキュリティチェックを省略できることから、管理者権限を付与しないことを

推奨します。

3. 関連オブジェクトを使用して、デバイスオブジェクトと権限オブジェクトを関連付けます。

4. デバイスオブジェクトに先行 SSO ユーザー（ログインユーザー）を追加します。

5. 作成した関連オブジェクトにアクセスするためのアクセス権を、認証済みユーザーに与えます。