Users Guide
目次に戻る
iDRAC6 へのシングルサインオンとスマートカードログインの設定
Integrated Dell Remote Access Controller 6( iDRAC6)EnterpriseforBladeServersバージョン 3.2 ユーザーガイド
本項では、iDRAC6 に対して、ローカルユーザーおよび Active Directory ユーザーのスマートカードログインの設定と Active Directory ユーザーのシングルサインオン(SSO)を設定する方法に
ついて説明します。
iDRAC6 は Kerberos ベースの Active Directory 認証を使用して、Active Directory スマートカードログインとシングルサインオン(SSO)ログインをサポートしています。
Kerberos 認証について
Kerberos は、セキュリティ保護されていないネットワークでシステムが安全に通信できるようにするネットワーク認証プロトコルです。これは、システムが本物であることをシステム自体が証明できるよ
うにすることで、達成されます。高レベルの認証基準を満たすため、iDRAC6 では Kerberos ベースの Active Directory 認証を使用して、Active Directory のスマートカードログインとシングルサ
インオンログインをサポートするようになりました。
Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista、および Windows Server 2008 では、Kerberos をデフォルト認証方式として採用しています。
iDRAC6 では、Kerberos を使用して Active Directory シングルサインオンと Active Directory スマートカードログインという 2 種類の認証方式をサポートしています。シングルサインオンでログ
インする場合は、ユーザーが有効な Active Directory アカウントでログインした後、オペレーティングシステムにキャッシュされているユーザー資格情報が使用されます。
Active Directory スマートカードでログインする場合は、スマートカードベースの 2 要素認証(TFA)がActive Directory ログインを有効にするための資格情報として使用されます。
iDRAC6 の時刻がドメインコントローラの時刻と異なる場合は、iDRAC6 の Kerberos 認証に失敗します。最大 5 分のオフセットが許可されています。認証に成功するには、サーバーの時刻をドメイ
ンコントローラの時刻と同期してから iDRAC6 を リセット してください。
次の RACADM タイムゾーンオフセットコマンドを使用して時刻を同期することもできます。
racadm config -g cfgRacTuning -o
cfgRacTuneTimeZoneOffset <オフセット値>
Active Directory SSO とスマートカード認証の必要条件
Active Directory SSO とスマートカード認証両方の必要条件は、次のとおりです。
l iDRAC6 に Active Directory ログイン を設定します。詳細については、iDRAC6 ディレクトリサービスの使用を参照してください。
l Active Directory のルートドメインに iDRAC6 をコンピュータとして登録します。
a. システム® iDRAC 設定® ネットワーク / セキュリティ® ネットワーク サブタブをクリックします。
b. 有効な 優先 / 代替 DNS サーバー の IP アドレスを入力します。この値は、ユーザーの Active Directory アカウントを認証する、ルートドメインの一部である DNS の IP アドレ
スです。
c. DNS に iDRAC6 を登録する を選択します。
d. 有効な DNS ドメイン名 を入力します。
e. ネットワーク DNS の設定が Active Directory の DNS 情報と一致することを確認します。
詳細については、iDRAC6 オンラインヘルプ を参照してください。
l これら 2 種類の新しい認証方式をサポートするために、iDRAC6 は Windows Kerberos ネットワーク上の Kerberos 対応サービスとして 自らを有効になる設定をサポートしています。
iDRAC6 で Kerberos を設定するには、Windows Server の Active Directory で Windows Server 以外の Kerberos サービスをセキュリティプリンシパルとして設定するのと同じ
手順を実行します。
Microsoft ツール ktpass(Microsoft がサーバーインストール CD/DVD の一部として提供)は、サービスプリンシパル名(SPN)のユーザーアカウントへのバインドを作成し、信頼情報を
MIT 形式の Kerberos keytab ファイルにエクスポートするのに使用します。これにより、外部ユーザーまたはシステムとキー配付センター(KDC)の間の信頼関係が確立されます。keytab
ファイルには、サーバーと KDC の間の情報を暗号化するための暗号キーが含まれています。ktpass ツールを使用すると、Kerberos 認証をサポートする UNIX ベースのサービスが、
Windows Server の Kerberos KDC サービスによって提供される相互運用性機能を使用できるようにします。
ktpass ユーティリティから取得した keytab はファイルアップロードとして iDRAC6 で使用可能になり、ネットワークで Kerberos 対応サービスとして有効になります。
iDRAC6 は Windows 以外のオペレーティングシステムを搭載するデバイスであるため、iDRAC6 を Active Directory のユーザーアカウントにマッピングするドメインコントローラ(Active
Directory サーバー)で、ktpass ユーティリティ(Microsoft Windows の一部)を実行します。
たとえば、次の ktpass コマンドを使用すると、Kerberos keytab ファイルを作成できます。
C:¥> ktpass.exe -princ HTTP/idracname.domainname.com@DOMAINNAME.COM -mapuser DOMAINNAME¥username -mapOp set -crypto DES-CBC-MD5 -ptype
KRB5_NT_PRINCIPAL -pass <パスワード> +DesOnly -out c:¥krbkeytab
Kerberos 認証について
Active Directory SSO とスマートカード認証の必要条件
Active Directory SSO の使用
スマートカード認証の設定
iDRAC6 へのスマートカードログインの設定
Active Directory スマートカード認証を使用した iDRAC6 へのログイン
SSO についてよくあるお問い合わせ(FAQ)
iDRAC6 へのスマートカードログインのトラブルシューティング