Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Blade Servers Version 3.2

目次に戻る

 iDRAC6 へのシングルサインオンとスマートカードログインの設定

Integrated Dell Remote Access Controller 6（ iDRAC6）EnterpriseforBladeServersバージョン 3.2 ユーザーガイド

本項では、iDRAC6 に対して、ローカルユーザーおよび Active Directory ユーザーのスマートカードログインの設定と Active Directory ユーザーのシングルサインオン（SSO）を設定する方法に

ついて説明します。

iDRAC6 は Kerberos ベースの Active Directory 認証を使用して、Active Directory スマートカードログインとシングルサインオン（SSO）ログインをサポートしています。

Kerberos 認証について

Kerberos は、セキュリティ保護されていないネットワークでシステムが安全に通信できるようにするネットワーク認証プロトコルです。これは、システムが本物であることをシステム自体が証明できるよ

うにすることで、達成されます。高レベルの認証基準を満たすため、iDRAC6 では Kerberos ベースの Active Directory 認証を使用して、Active Directory のスマートカードログインとシングルサ

インオンログインをサポートするようになりました。

Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista、および Windows Server 2008 では、Kerberos をデフォルト認証方式として採用しています。

iDRAC6 では、Kerberos を使用して Active Directory シングルサインオンと Active Directory スマートカードログインという 2 種類の認証方式をサポートしています。シングルサインオンでログ

インする場合は、ユーザーが有効な Active Directory アカウントでログインした後、オペレーティングシステムにキャッシュされているユーザー資格情報が使用されます。

Active Directory スマートカードでログインする場合は、スマートカードベースの 2 要素認証（TFA）がActive Directory ログインを有効にするための資格情報として使用されます。

iDRAC6 の時刻がドメインコントローラの時刻と異なる場合は、iDRAC6 の Kerberos 認証に失敗します。最大 5 分のオフセットが許可されています。認証に成功するには、サーバーの時刻をドメイ

ンコントローラの時刻と同期してから iDRAC6 をリセットしてください。

次の RACADM タイムゾーンオフセットコマンドを使用して時刻を同期することもできます。

racadm config -g cfgRacTuning -o

cfgRacTuneTimeZoneOffset <オフセット値>

Active Directory SSO とスマートカード認証の必要条件

Active Directory SSO とスマートカード認証両方の必要条件は、次のとおりです。

l iDRAC6 に Active Directory ログインを設定します。詳細については、iDRAC6 ディレクトリサービスの使用を参照してください。

l Active Directory のルートドメインに iDRAC6 をコンピュータとして登録します。

a. システム® iDRAC 設定® ネットワーク / セキュリティ® ネットワークサブタブをクリックします。

b. 有効な優先 / 代替 DNS サーバーの IP アドレスを入力します。この値は、ユーザーの Active Directory アカウントを認証する、ルートドメインの一部である DNS の IP アドレ

スです。

c. DNS に iDRAC6 を登録するを選択します。

d. 有効な DNS ドメイン名を入力します。

e. ネットワーク DNS の設定が Active Directory の DNS 情報と一致することを確認します。

詳細については、iDRAC6 オンラインヘルプを参照してください。

l これら 2 種類の新しい認証方式をサポートするために、iDRAC6 は Windows Kerberos ネットワーク上の Kerberos 対応サービスとして自らを有効になる設定をサポートしています。

iDRAC6 で Kerberos を設定するには、Windows Server の Active Directory で Windows Server 以外の Kerberos サービスをセキュリティプリンシパルとして設定するのと同じ

手順を実行します。

Microsoft ツール ktpass（Microsoft がサーバーインストール CD/DVD の一部として提供）は、サービスプリンシパル名（SPN）のユーザーアカウントへのバインドを作成し、信頼情報を

MIT 形式の Kerberos keytab ファイルにエクスポートするのに使用します。これにより、外部ユーザーまたはシステムとキー配付センター（KDC）の間の信頼関係が確立されます。keytab

ファイルには、サーバーと KDC の間の情報を暗号化するための暗号キーが含まれています。ktpass ツールを使用すると、Kerberos 認証をサポートする UNIX ベースのサービスが、

Windows Server の Kerberos KDC サービスによって提供される相互運用性機能を使用できるようにします。

ktpass ユーティリティから取得した keytab はファイルアップロードとして iDRAC6 で使用可能になり、ネットワークで Kerberos 対応サービスとして有効になります。

iDRAC6 は Windows 以外のオペレーティングシステムを搭載するデバイスであるため、iDRAC6 を Active Directory のユーザーアカウントにマッピングするドメインコントローラ（Active

Directory サーバー）で、ktpass ユーティリティ（Microsoft Windows の一部）を実行します。

たとえば、次の ktpass コマンドを使用すると、Kerberos keytab ファイルを作成できます。

C:¥> ktpass.exe -princ HTTP/idracname.domainname.com@DOMAINNAME.COM -mapuser DOMAINNAME¥username -mapOp set -crypto DES-CBC-MD5 -ptype

KRB5_NT_PRINCIPAL -pass <パスワード> +DesOnly -out c:¥krbkeytab

Kerberos 認証について

Active Directory SSO とスマートカード認証の必要条件

Active Directory SSO の使用

スマートカード認証の設定

iDRAC6 へのスマートカードログインの設定

Active Directory スマートカード認証を使用した iDRAC6 へのログイン

SSO についてよくあるお問い合わせ（FAQ）

iDRAC6 へのスマートカードログインのトラブルシューティング