Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC9 - 3.0x Series

141

142

143

144

145

146

147

148

149

150

5. 有効な DNS ドメイン名を入力します。

6. ネットワーク DNS の設定が Active Directory の DNS 情報と一致することを確認します。

オプションの詳細については、『iDRAC

オンラインヘルプ

』を参照してください。

Kerberos Keytab ファイルの生成

SSO およびスマートカードログイン認証をサポートするために、iDRAC は Windows Kerberos ネットワーク上の Kerberos 化された

サービスとして、自らを有効にする設定をサポートします。iDRAC での Kerberos 設定では、Windows Server Active Directory で、

Windows Server 以外の Kerberos サービスをセキュリティプリンシパルとして設定する手順と同じ手順を実行します。

ktpass ツール（サーバインストール CD / DVD の一部として Microsoft から入手できます）を使用して、ユーザーアカウントにバイ

ンドするサービスプリンシパル名（SPN）を作成し、信頼情報を MIT 形式の Kerberos keytab ファイルにエクスポートします。これ

により、外部ユーザーやシステムとキー配布センター（KDC）の間の信頼関係が有効になります。keytab ファイルには暗号キーが含

まれており、サーバと KDC の間での情報の暗号化に使用されます。ktpass ツールによって、Kerberos 認証をサポートする UNIX ベ

ースのサービスは Windows Server Kerberos KDC サービスが提供する相互運用性機能を利用できるようになります。ktpass ユーテ

ィリティの詳細については、マイクロソフトの Web サイト technet.microsoft.com/en-us/library/cc779157(WS.10).aspx を参照

してください。

keytab ファイルを生成する前に、ktpass コマンドの -mapuser オプションと使用する Active Directory ユーザーアカウントを作成

する必要があります。さらに、このアカウントは、生成した keytab ファイルをアップロードする iDRAC DNS 名と同じ名前にする

必要があります。

ktpass ツールを使用して keytab ファイルを生成するには、次の手順を実行します。

1. ktpass ユーティリティを、Active Directory 内のユーザーアカウントに iDRAC をマップするドメインコントローラ（Active Directory

サーバー）上で実行します。

2. 次の ktpass コマンドを使用して、Kerberos keytab ファイルを作成します。

C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -mapuser DOMAINNAME

\username -mapOp set -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass [password] -out

c:\krbkeytab

暗号化タイプは、AES256-SHA1 です。プリンシパルタイプは、KRB5_NT_PRINCIPAL です。サービスプリンシパル名がマップ

されているユーザーアカウントのプロパティは、Use AES 256 encryption types for this account(このアカウントに AES 暗号

化タイプを使用する) プロパティが有効になっている必要があります。

メモ: iDRACname およびサービスプリンシパル名には小文字を使用します。ドメイン名には、例に示されているように大

文字を使用します。

3. 次のコマンドを実行します。

C:\>setspn -a HTTP/iDRACname.domainname.com username

keytab ファイルが生成されます。

メモ: keytab ファイルが作成される iDRAC ユーザーに問題がある場合は、新しいユーザーと新しい keytab ファイルを作成

します。最初に作成されたファイルと同じ keytab ファイルが再度実行されると、正しく設定されません。

Active Directory オブジェクトの作成と権限の付与

Active Directory 拡張スキーマベースの SSO ログイン用に、次の手順を実行します。

1. Active Directory サーバーで、デバイスオブジェクト、権限オブジェクト、および関連オブジェクトを作成します。

2. 作成された権限オブジェクトにアクセス権限を設定します。一部のセキュリティチェックを省略できることから、管理者権限

を付与しないことを推奨します。

3. 関連オブジェクトを使用して、デバイスオブジェクトと権限オブジェクトを関連付けます。

4. デバイスオブジェクトに先行 SSO ユーザー（ログインユーザー）を追加します。

5. 作成した関連オブジェクトにアクセスするためのアクセス権を、

認証

済

みユ

ー

ザ

ーに与えます。

Active Directory ユーザーのための iDRAC SSO ログ

インの設定

iDRAC を Active Directory SSO ログイン用に設定する前に、すべての前提条件を満たしていることを確認してください。

148 シングルサインオンまたはスマートカードログインのための iDRAC の設定