目次に戻る
iDRAC6 に対するシングルサインオンまたはスマートカードログインの設定
Integrated Dell Remote Access Controller 6( iDRAC6)バージョン 1.7 ユーザーズガイド
Kerberos 認証について
Active Directory SSO とスマートカード認証の必要条件
Microsoft Active Directory SSO の使用
スマートカード認証の設定
iDRAC6 へのスマートカードログインのトラブルシューティング
SSO についてよくあるお問い合わせ(FAQ)
本項では、iDRAC6 に対して、ローカルユーザーおよび Active Directory ユーザーのスマートカードログインの設定と Active Directory ユーザーのシングルサインオン(SSO)を設定する方法に
ついて説明します。
iDRAC6 は、Active Directory スマートカードおよび SSO ログインの Kerberos ベースの Active Directory 認証をサポートします。
Kerberos 認証について
Kerberos は、セキュリティ保護されていないネットワークでシステムが安全に通信できるようにするネットワーク認証プロトコルです。これは、システムが本物であることをシステム自体が証明できるよ
うにすることで、達成されます。高レベルの認証基準を満たすため、iDRAC6 では Kerberos ベースの Active Directory 認証を使用して、Active Directory のスマートカードログインと SSO ログ
インをサポートするようになりました。
Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista、および Windows Server 2008 では、Kerberos をデフォルト認証方式として採用しています。
iDRAC6 では、Kerberos を使用して Active Directory SSO と Active Directory スマートカードログインの 2 種類の認証方式をサポートしています。Active Directory SSO でログインする場
合は、ユーザーが有効な Active Directory アカウントでログインすると、オペレーティングシステムにキャッシュされているユーザー資格情報が使用されます。
Active Directory スマートカードでログインする場合は、スマートカードベースの 2 要素認証(TFA)がActive Directory ログインを有効にするための資格情報として使用されます。これは、ローカル
スマートカード認証の追加機能です。
iDRAC6 の時刻がドメインコントローラの時刻と異なる場合は、iDRAC6 の Kerberos 認証に失敗します。最大 5 分のオフセットが許可されています。認証を成功させるには、サーバーの時刻をドメ
インコントローラの時刻と同期してから iDRAC6 を リセット してください。
Active Directory SSO とスマートカード認証の必要条件
Active Directory SSO とスマートカード認証両方の必要条件は、次のとおりです。
l iDRAC6 を Active Directory ログイン 用に設定します。詳細については、iDRAC6 ディレクトリサービスの使用を参照してください。
l iDRAC6 を Active Directory のルートドメインにある コンピュータとして登録します。これには、次の操作を行います。
a. iDRAC の設定® ネットワーク / セキュリティ タブ® ネットワーク サブタブとクリックします。
b. 有効な 優先 / 代替 DNS サーバー の IP アドレスを入力します。この値は、ユーザーの Active Directory アカウントを認証する、ルートドメインの一部である DNS の IP アドレ
スです。
c. DNS に iDRAC を登録する を選択します。
d. 有効な DNS ドメイン名 を入力します。
詳細については、『iDRAC6 オンラインヘルプ』を参照してください。
l これら 2 種類の新しい認証方式をサポートするために、iDRAC6 は Windows Kerberos ネットワーク上の Kerberos 対応サービスとして 自らを有効になる設定をサポートしています。
iDRAC6 で Kerberos を設定するには、Windows Server の Active Directory で Windows Server 以外の Kerberos サービスをセキュリティプリンシパルとして設定するのと同じ
手順を実行します。
Microsoft ツール ktpass(Microsoft がサーバーインストール CD/DVD の一部として提供)は、サービスプリンシパル名(SPN)のユーザーアカウントへのバインドを作成し、信頼情報を
MIT 形式の Kerberos keytab ファイルにエクスポートするのに使用します。これにより、外部ユーザーまたはシステムとキー配付センター(KDC)の間の信頼関係が確立されます。keytab
ファイルには、サーバーと KDC の間の情報を暗号化するための暗号キーが含まれています。ktpass ツールを使用すると、Kerberos 認証をサポートする UNIX ベースのサービスが、
Windows Server の Kerberos KDC サービスによって提供される相互運用性機能を使用できるようにします。
ktpass ユーティリティから取得した keytab はファイルアップロードとして iDRAC6 で使用可能になり、Kerberos 対応サービスとしてネットワーク上で有効になります。
iDRAC6 は Windows 以外のオペレーティングシステム搭載デバイスであるため、iDRAC6 を Active Directory のユーザーアカウントにマッピングする先のドメインコントローラ(Active
Directory サーバー)で、ktpass ユーティリティ(Microsoft Windows の一部)を実行します。
たとえば、次の ktpass コマンドを使用すると、Kerberos keytab ファイルを作成できます。
C:
¥>ktpass -princ HOST/[email protected] -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:¥krbkeytab
iDRAC6 が Kerberos 認証に使用する暗号タイプは DES-CBC-MD5 です。プリンシパルタイプは KRB5_NT_PRINCIPAL です。サービスプリンシパル名がマッピングされているユーザー
アカウントのプロパティで、このアカウントに DES 暗号化を使用する プロパティが有効になっている必要があります。