Dell Chassis Management Controller Version 3.0 ユーザーガイド

  • こんにちは!Dell シャーシ管理コントローラのユーザーガイドの内容を理解しています。このデバイスのインストール、設定、使用方法、Active Directory 統合、電源管理、トラブルシューティングなど、あらゆる質問にお答えしますので、お気軽にご質問ください。
  • Active Directory を使用して CMC へのユーザー認証を行うにはどうすればよいですか?
    CMC のウェブインタフェースにアクセスするにはどうすればよいですか?
    CMC のファームウェアを更新するにはどうすればよいですか?
    CMCで、複数の役割グループを設定できますか?
DellChassisManagementControllerファームウェア
バージョン 3.0 ユーザーガイド
メモおよび注意
____________________
本書 予告なく されることがあります
©2010すべての著作Dell Inc. にあります
Dell Inc. の書面による許可のない複製は、いかなる形態においても厳重に禁じられています。本書で使用されている商標:DellDELL のロゴFlexAddressOpenManagePowerEdgeおよび PowerConnect
は、Dell Inc. の商標ですMicrosoft®Active Directory®Internet Explorer®Windows®Windows Server®および Windows Vista® 、米およびその他の国における Microsoft Corporation の商標
または登録商標ですRed Hat® および Red Hat Enterprise Linux® 、米およびその他の国における Red Hat, Inc. の登録商標ですNovell® 、米およびその他の国における Novell Inc. の登録商標です
SUSE 、米およびその他の国における Novell Inc. の商標ですIntel®
は、Intel Corporation の登録商標ですUNIX® 、米およびその他の国における The Open Group の登録商標ですAvocent® は、
Avocent Corporation の商標ですOSCAR® は、Avocent Corporation またはその関連会社の登録商標です
Copyright 1998-2006 The OpenLDAP Foundation.All rights reserved.ソースおよびバイナリ形式での再配布と使用は、変更の有無をわずOpenLDAP の公開ライセンスで承認されている範囲内でのみ許可されま
す。このライセンスのコピーは、配布パッケージ内の最上位レベルのディレクトリにっている LICENSE ファイルまたは http://www.OpenLDAP.org/license.html でごいただけますOpenLDAP OpenLDAP
Foundation の登録商標です。個のファイルや提供パッケージは、他社が著作権を所有している場合がありその他の制約を受ける可能性がありますこの製品はミシガン大学 LDAP v3.3 ディストリビューションから派生しています
この製品には、公共ソースから派生した材料も含まれていますOpenLDAP する情報http://www.openldap.org/ から入手できますPortions Copyright 1998-2004 Kurt D.Zeilenga.Portions Copyright
1998-2004 Net Boolean Incorporated.Portions Copyright 2001-2004 IBM Corporation.All rights reserved.ソースおよびバイナリ形式での再配布と使用は、変更の有無を問わずOpenLDAP の公開ライセ
ンスで承認されている範囲内でのみ許可されますPortions Copyright 1999-2003 Howard Y.H.Chu.Portions Copyright 1999-2003 Symas Corporation.Portions Copyright 1998-2003 Hallvard
B.Furuseth.All rights reserved.ソースおよびバイナリ形式での再配布と使用は、変更の有無をわずこの著作権表示をめた形式でのみ許可されます。著作権所有者の名前を、書面による事前の許可なくこのソフトウェアの
生製品を推薦または宣伝する目的で使用することはできませんこのソフトウェアは、明示的または黙示的を問わず、保証なしに「現状有姿」で提供されますPortions Copyright (c) 1992-1996 Regents of the University of
Michigan.All rights reserved.ソースおよびバイナリ形式での再配布と使用は、この著作権表示を含め、米アン・アーバーのミシガン大学への謝辞を記載した場合にのみ許可されますこの大学名を、書面による事前の許可なく、こ
のソフトウェアの派生製品を推薦または宣伝する目的で使用することはできませんこのソフトウェアは、明示的または黙示的を問わず、保証なしに「現状有姿」で提供されます
商標または製品の権利を主張する事業体を表すためにその他の商標および社名が使用されていることがありますそれらの商標や会社名は、一切 Dell Inc. に帰属するものではありません
2010 7
概要
FlexAddress Plus の使用
CMC のインストールと設定
iDRAC6 ディレクトリサービスの使用
CMC にコマンドラインコンソールの使用を設定する方法
電源管理
RACADM コマンドラインインタフェースの使用
iKVM モジュールの使用
CMC ウェブインタフェースの使用
I/O ファブリック管理
FlexAddress の使用
トラブルシューティングとリカバリ
メモメモはコンピュータを使いやすくするための重要な情報を説明しています
注意: 注意、物的損害、けがまたは死亡原因となる可能性があることをしています
目次ページに戻る
iDRAC6 ディレクトリサービスの使用
DellChassisManagementControllerファームウェア バージョン 3.0 ユーザーガイド
CMC Microsoft Active Directory との
標準スキーマの Active Directory の概
拡張スキーマの
シングルサインオンの設定
スマートカードによる二要素認証の設定
汎用 LDAP を伴CMC 使用
ディレクトリサービスはネットワークのユーザーコンピュータプリンタなどを制御するのに必要なすべての情報を格納する共通のデータベースを管理していますMicrosoft Active Directory
フトウェアまたは LDAP ディレクトリサービスソフトウェアを使用している場合、ディレクトリベースのユーザー認証を使えるようにCMC設定できます
CMC Microsoft Active Directory との
Active Directory スキーマ
Active Directory CMC へのユーザーアクセスを定義するには、次2 つの方法があります
l 標準 Active Directory グループオブジェクトのみを使用する標準スキーマソリューション
l デルによって定義された Active Directory オブジェクトを使用する拡張スキーマソリューション
標準スキーマとスキーマ
Active Directory を使って CMC へのアクセス権を設定するには、拡張スキーマまたは標準スキーマソリューションのどちらかを選択する必要があります
標準スキーマソリューションの場合
l 標準スキーマでは Active Directory オブジェクトのみが使用されるためスキーマ拡張は不要です
l Active Directory の設定はシンプルです
拡張スキーマソリューションの場合
l アクセス制御オブジェクトのすべてを Active Directory で管理できます
l さまざまな CMC で異なる特権レベルのユーザーアクセスを設定できるため、最大の柔軟性を実現します
標準スキーマの Active Directory
Active Directory の統合に標準スキーマを使用する場合は、Active Directory CMC の両方で設定が必要になります
Active Directory では、標準グループオブジェクトが役割グループとして使用されますCMC のアクセス権を持つユーザーは、役割グループのメンバとなります
このユーザーに特定CMC カードへのアクセスをえるには、役割グループとそのドメイン名を特定CMC カードで設定する必要があります。拡張スキーマソリューションとはなり、役割と特権
レベルは Active Directory ではなく、各 CMC カードで定義されます。各 CMC につき最大 5 つの役割グループを設定および定義できます5-41 は役割グループの特権レベルを8-1 は役
グループのデフォルト設定を示したものです
8-1ActiveDirectory標準スキーマによる CMC 設定
メモMicrosoft Windows 2000 および Windows Server 2003 オペレーティングシステムではActive Directory を使用して CMC のユーザーを認識できますIPv6 経由
Active Directory は、Windows 2008 でのみサポートされています
8-1デフォルトの役割グループの
標準スキーマ Active Directory 有効にするには、次2 つの方法があります
l CMC ウェブインタフェースの使用。 「標準スキーマ Active Directory とウェブインタフェースを使用した CMC の設定」を参照してください
l RACADM CLI ツールの使用。 「標準スキーマ Active Directory RACADM を使用した CMC の設定」を参照してください
CMC にアクセスするための標準スキーマ Active Directory 設定
Active Directory ユーザーが CMC にアクセスできるようにするには、次の手順を実行して Active Directory を設定します
1. Active Directory サーバードメインコントローラ)で、Active Directory ユーザーとコンピュータスナップイン をきます
2. グループを作成するか、既存のグループを選択しますグループの名前とこのドメインの名前は、ウェブインタフェースまたは RACADM を使って CMC 上で設定する必要があります
詳細については、「標準スキーマ Active Directory とウェブインタフェースを使用した CMC の設定および 標準スキーマ Active Directory RACADM を使用した CMC の設定」を参照
してください
3. Active Directory ユーザーをCMC にアクセスする Active Directory グループのメンバとして追加します
役割
デフォルトの
レベル
許可する
ビットマスク
1
なし
l CMC ログインユーザー
l シャーシ設定システム管理者
l ユーザー設定システム管理者
l ログのクリアシステム管理者
l シャーシ制御システム管理者(電源コマンド
l スーパーユーザー
l サーバー管理者
l テスト警告ユーザー
l デバッグコマンドユーザー
l ファブリック A システム管理者
l ファブリック B システム管理者
l ファブリック C システム管理者
0x00000fff
2
なし
l CMC ログインユーザー
l ログのクリアシステム管理者
l シャーシ制御システム管理者(電源コマンド
l サーバー管理者
l テスト警告ユーザー
l ファブリック A システム管理者
l ファブリック B システム管理者
l ファブリック C システム管理者
0x000000f9
3
なし
CMC ログインユーザー
0x00000001
4
なし
権限の割り当てなし
0x00000000
5
なし
権限の割り当てなし
0x00000000
メモビットマスク値は、RACADM で標準スキーマを設定する場合にのみ使用します
メモユーザー権限の詳細についてはユーザータイプ参照してください
標準スキーマ Active Directory とウェブインタフェースを使用した CMC 設定
1. CMC ウェブインタフェースにログインします
2. システムツリーで シャーシ選択します
3. ユーザー認証®ディレクトリサービスをクリックしますディレクトリサービスページが表示されます
4. Microsoft Active Directory (標準スキーマ)の隣にあるラジオボタンを選択しますActive Directory 設定管理 ページが表示されます
5. 共通設定 セクションで以下の操作を行います
a. Active Directory にする チェックボックスをオンにします
b. ルートドメイン を入力します
c. タイムアウト時間を秒単位で入力しますタイムアウト範囲は 15300 ですデフォルトのタイムアウト期間は 90 です
6. ドメインコントローラとグローバルカタログの検索を直接呼び出す場合は、 する AD サーバーの索(オプション チェックボックスをオンにし、以下の操作を行います
a. ドメインコントローラ テキストフィールドにActive Directory サービスがインストールされているサーバーを入力します
b. グローバルカタログ テキストフィールドにActive Directory ドメインコントローラのグローバルカタログの場所を入力しますグローバルカタログは Active Directory フォレスト
を検索するためのリソースを提供します
7. 適用 をクリックして設定を保存します
8. 標準スキーマの設定 セクションで役割グループ をクリックします役割グループの設定 ページが表示されます
9. グループ を入力しますグループ名は、CMC カードに関連付けられた Active Directory で役割グループを識別します
10. グループドメイン入力しますグループドメイン はフォレストのルートドメインの完全修飾名です
11. 役割グループの ページでグループの特権を選択します
特権を変更すると、既存の役割グループのシステム管理者、パワーユーザーゲストユーザーがカスタムグループまたは適切な役割グループの特権に変更されます。 「5-41」を参照
してください
12. 適用 をクリックして、役割グループの設定を保存します
13. ユーザー設定ページにをクリックします
14. ドメインフォレストのルート認証局の署名付き証明書CMC にアップロードします証明書のアップロード ページで、証明書のファイルパスを入力するか、証明書ファイルの場所を指定しま
す。ファイルを CMC に移動するにはアップロード ボタンをクリックします
ドメインコントローラの SSL 証明書は、ルート認証局の署名付き証明書で署名されていなければなりませんCMC にアクセスする管理ステーションでルート認証局の署名付き証明書
が使用可能でなければなりません
15. 適用 をクリックします適用 をクリックした後、CMC ウェブサーバー が自動的に再起動します
16. CMC Active Directory 機能の設定を完了するにはログアウトしてから CMC にログインします
17. システムツリーで シャーシ選択します
18. ネットワーク タブをクリックします
19. ネットワーク サブタブをクリックしますネットワーク設定 ページが表示されます
20. ネットワーク設定 DHCP 使用(CMC ネットワークインターフェース IP アドレス用)が選択されている場合、DHCP 使用して DNS サーバーアドレスを取得 を選択します
メモルードメインx.y という命名規則に従った有効なドメインでなければなりませんこの x は文字間に空白文字が入っていない 1256 文字 ASCII 文字列、y com
edugovintmilnetorg などの有効なドメインタイプで指定します
メモ次の手順に進む前に、設定を適用する必要があります。設定を適用しなければ、次のページへ移動したとき、入力した設定が失われます
メモアップロードする証明書の相対ファイルパスが ファイルパス値に表示されますフルパスとしいファイルとファイル拡張子を含む絶対ファイルパスを入力する必要がありま
す。
DNS サーバーの IP アドレスを手動で入力するにはDHCP 使用して DNS サーバーアドレスを取得する チェックボックスをオフにしプライマリおよび代替 DNS サーバーの IP アドレ
スを入力します
21. 適用 をクリックします
これでCMC 標準スキーマ Active Directory 機能の設定が完了します
標準スキーマ Active Directory RACADM 使用した CMC 設定
標準スキーマの CMC Active Directory 機能RACADM CLI 使用して設定するには、次のコマンドを使用します
1. CMC へのシリアル /Telnet/SSH テキスト コンソールをいて、以下を入力します
racadm config -g cfgActiveDirectory -o cfgADEnable 1
racadm config -g cfgActiveDirectory -o cfgADType 2
racadm config -g cfgActiveDirectory -o cfgADRootDomain <完全修飾ルートドメイン>
racadm config -g cfgStandardSchema -i <インデックス> -o cfgSSADRoleGroupName <役割グループのコモンネーム>
racadm config -g cfgStandardSchema -i <インデックス> -o cfgSSADRoleGroupDomain <完全修飾ドメイン>
racadm config -g cfgStandardSchema -i <インデックス> -o cfgSSADRoleGroupPrivilege <特定のユーザー権限のビットマスク番号>
racadm sslcertupload -t 0x2 -f <ADS ルート CA 証明書>
racadm sslcertdownload -t 0x1 -f <RAC SSL 証明書>
2. のいずれかのオプションを使用して DNS サーバーを指定します
l CMC DHCP が有効になりDHCP サーバーによって自動的に取得された DNS アドレスを使用する場合は、次のコマンドを入力します
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1
l CMC DHCP が無効になっている場合や、手動DNS IP アドレスを入力する場合は、次のコマンドを入力します
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <プライマリ DNS IP アドレス>
racadm config -g cfgLanNetworking -o cfgDNSServer2 <セカンダリ DNS IP アドレス>
スキーマの
Active Directory で拡張スキーマを有効にするには、次2 つの方法があります
l CMC ウェブインタフェースを使用する 手順については、「拡張スキーマ Active Directory とウェブインタフェースを使用した CMC の設定」を参照してください
l RACADM CLI ツールを使用する。手順については、「拡張スキーマ Active Directory RACADM 使用した CMC の設定」を参照してください
Active Directory スキーマ
Active Directory データは、属性とクラスの分散データベースですActive Directory スキーマにはデータベースに追加または挿入するデータタイプを決定する規則があります
データベースに格納されるクラスの一例としてユーザークラスがありますユーザークラスの属性にはユーザーの姓、名、電話番などがまれます
貴社の環境の固有なニーズをたす独自の属性やクラスを追加してデータベースを拡張できますデルではスキーマを拡張してリモート管理の認証と許可をサポートするために必要な変更を含め
ました
既存Active Directory スキーマに追加した属性やクラスはそれぞれ固有ID で定義する必要があります。業界全体で一意ID を維持できるようMicrosoft Active Directory オブジ
ェクト識別子(OIDのデータベースを管理していますMicrosoft Active Directory でスキーマを拡張するためにデルは固有OID、固有の名前拡張子、デル固有の属性とクラスに一意に関
連付けたID を確立しました
デルの拡張子:dell
デルのベース OID1.2.840.113556.1.8000.1280
RAC LinkID 範囲:12070-2079
メモビットマスクの番号については、『Dell Chassis Management Controller 管理者リファレンスガイドのデータベースプロパティの3-1 を参照してください
RAC スキーマ
デルは管理者が設定できるプロパティのグループを提供していますデルの拡張スキーマには、関連、デバイス、特などのプロパティがまれます
関連プロパティは、特定の特権セットのあるユーザーまたはグループを 1 または複数台RAC デバイスに関連付けますこのモデルではユーザーRAC 特権、およびネットワークRAC
バイスを組み合わせる際に最大限の柔軟性が得られる一方、複になりぎることはありません
Active Directory オブジェクトの
認証と承認Active Directory と統合したい CMC 2 つネットワークにある場合は、各 CMC につきなくとも 1 つの関連オブジェクトと 1 つの RAC デバイスオブジェクトを作成する必要があ
ります。関連オブジェクトは必要なだけいくつでも作成でき、各関連オブジェクトにリンクできるユーザーユーザーグループRAC デバイスオブジェクトのにも制限はありませんユーザーと RAC
バイスオブジェクトは、企業のどのドメインのメンバでもかまいません
ただし、各関連オブジェクトは 1 つの特権オブジェクトにしかリンクできずユーザーユーザーグループRAC デバイスオブジェクトを 1 つの特権オブジェクトにしかリンクできませんこのでは、シ
ステム管理者 は特定CMC で各ユーザーの権限を制御できます
RAC デバイスオブジェクトはActive Directory に照会して認証と許可を実行するための RAC ファームウェアへのリンクですRAC をネットワークに追加した場合、システム管理者RAC とその
デバイスオブジェクトをその Active Directory 名で設定してユーザーが Active Directory で認証と認可を実行できるようにする必要がありますさらにユーザーが認証できるようにRAC を少
なくとも 1 つの関連オブジェクトに追加する必要があります
8-2 は、関連オブジェクトがすべての認証と認可に必要な関連付けを提供する仕組みをしています
作成する関連オブジェクトの数に制限はありませんただし、関連オブジェクトをなくとも 1 つ作成する必要がありActive Directory 統合するRACCMCにつき 1 つの RAC デバイスオブジ
ェクトが必要です
8-2ActiveDirectoryオブジェクトの標準的なセットアップ
関連オブジェクトにむことができるユーザーグループRAC デバイスオブジェクトの数に制限はありませんただし、関連オブジェクトにむことができる特権オブジェクトは、関連オブジェクト 1
1 つだけです。関連オブジェクトはRACCMC)に「特権」を持つユーザー」を接続します
またActive Directory オブジェクトは、単一ドメイン、複のドメインのいずれに設定することも可能ですたとえばCMC 2 つ(RAC1RAC2)と、既存Active Directory ユーザーが 3
ユーザー 1ユーザー 2ユーザー 3あるとしユーザー 1 とユーザー 2 両方CMC へのシステム管理者特権を与え、ユーザー 3 RAC2 カードへのログイン特権を与えたいとします
8-3 に、このシナリオで Active Directory オブジェクトを設定する方法を示します
のドメインからユニバーサルグループを追加する場合、ユニバーサルスコープで関連オブジェクトを作成しますDell Schema Extender ユーティリティで作成されたデフォルトの関連オブジェクト
はドメインローカルグループであり、他のドメインからのユニバーサルグループとは連動しません
8-3ドメインでの Active Directory オブジェクトの設定
メモRAC 特権オブジェクトは DRAC 4DRAC 5および CMC に適用します
単一ドメインのシナリオでオブジェクトを設定するには
1. 関連オブジェクトを 2 作成します
2. 2 つの CMC 2 つの RAC デバイスオブジェクトRAC1 RAC2 を作成します
3. 2 つの特権オブジェクト、特 1 と特権 2 を作成します。特 1 にはすべての特権(システム管理者)、特 2 にはログイン特権を与えます
4. ユーザー 1 とユーザー 2 をまとめてグループ 1 とします
5. グループ 1 関連オブジェクト 1A01のメンバ、特 1 A01 の特権オブジェクトとしてRAC1 RAC2 A01 RAC デバイスとして追加します
6. ユーザー 3 を関連オブジェクト 2A02のメンバ、特 2 A02 の特権オブジェクトRAC2 A02 RAC デバイスとして追加します
詳細な手順については、「Active Directory への CMC ユーザーと特権の追加」を参照してください
8-4 、複ドメインの Active Directory オブジェクトの例を示しますこのシナリオではCMC 2 つ(RAC1 RAC2)と、既存Active Directory ユーザーが 3 つ(ユーザー 1ユーザ
2ユーザー 3あるとしますユーザー 1 はドメイン 1 に存在し、ユーザー 2 とユーザー 3 はドメイン 2 存在していますこのシナリオではユーザー 1 とユーザー 2 に両方CMC へのシ
ステム管理者特権をつように設定し、ユーザー 3 RAC2 カードへのログイン特権を持つようにします
8-4ドメインでの Active Directory オブジェクトの設定
複数ドメインのシナリオでオブジェクトを設定するには
1. ドメインのフォレスト機能がネイティブまたは Windows 2003 モードになっていることを確認します
2. 2 つの関連オブジェクト A01ユニバーサルスコープのA02 を任意のドメインに作成します
8-4 に、ドメイン 2 のオブジェクトをします
3. 2 つの CMC 2 つの RAC デバイスオブジェクトRAC1 RAC2 を作成します
4. 2 つの特権オブジェクト、特 1 と特権 2 を作成します。特 1 にはすべての特権(システム管理者)、特 2 にはログイン特権を与えます
5. ユーザー 1 とユーザー 2 をまとめてグループ 1 としますグループ 1 のグループスコープはユニバーサルでなければなりません
6. グループ 1 関連オブジェクト 1A01のメンバ、特 1 A01 の特権オブジェクトとしてRAC1 RAC2 A01 RAC デバイスとして追加します
7. ユーザー 3 を関連オブジェクト 2A02のメンバ、特 2 A02 の特権オブジェクトRAC2 A02 RAC デバイスとして追加します
CMC にアクセスするためのスキーマ Active Directory 設定
Active Directory を使用して CMC にアクセスする前に、Active Directory ソフトウェアと CMC を設定します
1. Active Directory スキーマを拡張します(「Active Directory スキーマの拡張」を参照)。
2. Active Directory ユーザーおよびコンピュータスナップイン を拡張します(「Active Directory ユーザーとコンピュータスナップインへの Dell 拡張のインストール」を参照)。
3. CMC ユーザーとその権限Active Directory に追加します(「Active Directory への CMC ユーザーと特権の追加照)。
4. ドメインコントローラSSL を有効にします
5. CMC ウェブインタフェースまたは RACADM 使用してCMC Active Directory プロパティを設定します( 「拡張スキーマ Active Directory とウェブインタフェースを使用した CMC の設
または拡張スキーマ Active Directory RACADM を使用した CMC の設定」を参照)。
Active Directory スキーマの
Active Directory スキーマを拡張するとデルの組織単位、スキーマのクラスと性、サンプル特権、および関連オブジェクトが Active Directory スキーマに追加されますスキーマを拡張する
に、ドメインフォレストのスキーママスター Flexible Single Master OperationFSMORole Owner にスキーマ管理者特権をっていることを確認してください
のいずれかの方法を使用してスキーマを拡張できます
l Dell Schema Extender ユーティリティ
l LDIF スクリプトファイル
LDIF スクリプトファイルを使用するとDell の組織単位はスキーマに追加されません
LDIF ファイルと Dell Schema Extender はそれぞれDell Systems Management Tools and Documentation DVD』の次のディレクトリにっています
l <DVD ドライブ>:\SYSMGMT\ManagementStation\support\
OMActiveDirectory_Tools\<インストールの種類>\LDIF Files
l <DVD ドライブ>:\SYSMGMT\ManagementStation\support\
OMActiveDirectory_ Tools\<インストールの種類>\Schema Extender
LDIF ファイルを使用するにはLDIF_Files ディレクトリにある readme の説明を参照してくださいActive Directory スキーマを拡張するために Dell Schema Extender を利用する手順につ
いては、「Dell Schema Extender の使用」を参照してください
Schema Extender または LDIF ファイルのコピーと実行はどの場所からでもできます
Dell Schema Extender 使用
Dell Schema Extender は、SchemaExtenderOem.ini ファイルを使用しますDell Schema Extender ユーティリティがしく機能するようにこのファイルの名前は変更しないでください
1. ようこそ 画面で、 をクリックします
2. 警告を読んでからもう一度 をクリックします
3. 資格情報現在のログの使用 を選択するかスキーマ管理者権限でユーザーとパスワードを入力します
4. Dell Schema Extender を実行するには をクリックします
5. 完了 をクリックします
スキーマが拡張されますスキーマ拡張子を確認するにはMicrosoft 管理コンソールMMCActive Directory スキーマスナップインを使用して、次のものがあることを確認します
l クラス- 8-2」~「8-7」を参照
l - 8-8」を参照
MMC Active Directory スキーマスナップインを有効にして使用する方法についてはMicrosoft のマニュアルを参照してください
8-2ActiveDirectoryスキーマに追加されたクラスのクラス定義
8-3dellRacDeviceクラス
8-4dellAssociationObjectクラス
8-5dellRAC4Privilegesクラス
8-6dellPrivilegesクラス
8-7dellProductクラス
クラス
てられたオブジェクト識別番OID
dellRacDevice
1.2.840.113556.1.8000.1280.1.1.1.1
dellAssociationObject
1.2.840.113556.1.8000.1280.1.1.1.2
dellRACPrivileges
1.2.840.113556.1.8000.1280.1.1.1.3
dellPrivileges
1.2.840.113556.1.8000.1280.1.1.1.4
dellProduct
1.2.840.113556.1.8000.1280.1.1.1.5
OID
1.2.840.113556.1.8000.1280.1.1.1.1
説明
Dell RAC デバイスをしますRAC デバイスは Active Directory では dellRacDevice として設定する必要がありますこの設定にするとCMC から Active Directory
Lightweight Directory Access ProtocolLDAPクエリを送信できます
クラスの種類
構造体クラス
SuperClasses
dellProduct
属性
dellSchemaVersion
dellRacType
OID
1.2.840.113556.1.8000.1280.1.1.1.2
説明
デル関連オブジェクトをしますこの関連オブジェクトはユーザーとデバイスの間の接続を提供します
クラスの種類
構造体クラス
SuperClasses
グループ
属性
dellProductMembers
dellPrivilegeMember
OID
1.2.840.113556.1.8000.1280.1.1.1.3
説明
CMC デバイスの承認権限(特権)を定義します
クラスの種類
補助クラス
SuperClasses
なし
属性
dellIsLoginUser
dellIsCardConfigAdmin
dellIsUserConfigAdmin
dellIsLogClearAdmin
dellIsServerResetUser
dellIsTestAlertUser
dellIsDebugCommandAdmin
dellPermissionMask1
dellPermissionMask2
OID
1.2.840.113556.1.8000.1280.1.1.1.4
説明
Dell の特権(承認権限)のコンテナクラス
クラスの種類
構造体クラス
SuperClasses
ユーザー
属性
dellRAC4Privileges
OID
1.2.840.113556.1.8000.1280.1.1.1.5
説明
すべてのデル製品が派生するメインクラス
8-8ActiveDirectoryスキーマに追加されたのリスト
クラスの種類
構造体クラス
SuperClasses
コンピュータ
属性
dellAssociationMembers
てられた OID/ 構文オブジェクト識別子
性:dellPrivilegeMember
明:この属性にする dellPrivilege オブジェクトのリスト
OID: 1.2.840.113556.1.8000.1280.1.1.2.1
識別名:LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12
FALSE
性:dellProductMembers
明:この役割にする dellRacDevices オブジェクトのリストこの属性dellAssociationMembers バックワードリンクへのフォワードリンクです
リンク ID12070
OID1.2.840.113556.1.8000.1280.1.1.2.2
識別名:LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12
FALSE
性:dellIsCardConfigAdmin
明:ユーザーがデバイスの設定権限がある場合には TRUE
OID 1.2.840.113556.1.8000.1280.1.1.2.4
ブールLDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7
TRUE
性:dellIsLoginUser
明:ユーザーがデバイスでログイン権限がある場合には TRUE
OID1.2.840.113556.1.8000.1280.1.1.2.3
ブールLDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7
TRUE
性:dellIsCardConfigAdmin
明:ユーザーがデバイスの設定権限がある場合には TRUE
OID 1.2.840.113556.1.8000.1280.1.1.2.4
ブールLDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7
TRUE
性:dellIsUserConfigAdmin
明:ユーザーがデバイスのユーザー設定システム管理者権限がある場合には TRUE
OID1.2.840.113556.1.8000.1280.1.1.2.5
ブールLDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7
TRUE
性:delIsLogClearAdmin
明:ユーザーがデバイスのログのクリアシステム管理者権限がある場合には TRUE
OID1.2.840.113556.1.8000.1280.1.1.2.6
ブールLDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7
TRUE
性:dellIsServerResetUser
明:ユーザーがデバイスのサーバーリセット権限がある場合
には TRUE
OID1.2.840.113556.1.8000.1280.1.1.2.7
ブールLDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7
TRUE
性:dellIsTestAlertUser
明:ユーザーがデバイスのテスト警告ユーザー権限がある
には TRUE
OID1.2.840.113556.1.8000.1280.1.1.2.10
ブールLDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7
TRUE
性:dellIsDebugCommandAdmin
明:ユーザーがデバイスのデバッグコマンドシステム管理者権限がある場合には TRUE
OID1.2.840.113556.1.8000.1280.1.1.2.11
TRUE
Active Directory ユーザーとコンピュータスナップインへの Dell 拡張のインストール
Active Directory でスキーマを拡張する場合は、RACCMCデバイスユーザーとユーザーグループRAC 連、RAC 特権などを管理できるようにActive Directory ユーザーとコンピュータス
ナップインも拡張する必要があります
Dell Systems Management Tools and Documentation DVD』を使ってシステム管理ソフトウェアをインストールする場合、インストール手順中Active Directory ユーザーとコンピュ
ータ スナップインのデル を選択するとスナップインを拡張できますシステム管理ソフトウェアのインストールの手順については、『Dell OpenManage ソフトウェアクイックインストールガイド
を参照してください
Active Directory ユーザーとコンピュータスナップインの詳細についてはMicrosoft のマニュアルを参照してください
Administrator Pack のインストール
Active Directory CMC オブジェクトを管理しているシステムにAdministrator Pack をインストールする必要がありますAdministrator Pack をインストールしないとコンテナDell
RAC オブジェクトを表示できません
Active Directory ユーザーとコンピュータスナップインの開始
Active Directory ユーザーとコンピュータスナップインをくには
1. ドメインコントローラにログインしている場合は、スタート管理ツール®Active Directory ユーザーとコンピュータにクリックします
ドメインコントローラにログインしていない場合は、適切Microsoft Administrator Pack がローカルシステムにインストールされている必要がありますこの Administrator Pack をイン
ストールするにはスタート® ファイル指定して の順にクリックしMMC と入力して <Enter> を押します
Microsoft Management ConsoleMMC)が表示されます
2. コンソール 1 ウィンドウでファイル または Windows 2000 が稼動するシステムでは コンソールをクリックします
3. スナップインの追加削除 をクリックします
4. Active Directory ユーザーとコンピュータ スナップインを選択し、追加 をクリックします
5. じる をクリックして OK をクリックします
Active Directory への CMC ユーザーと追加
ブールLDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7
性:dellSchemaVersion
明:現在のスキーマバージョンを使用してスキーマをアップ
デートします
OID1.2.840.113556.1.8000.1280.1.1.2.12
Case Ignore String(LDAPTYPE_CASEIGNORESTRING
1.2.840.113556.1.4.905
TRUE
性:dellRacType
明:この属性dellRacDevice オブジェクトの現在RAC タイプでdellAssociationObjectMembers フォワードリンクへのバックワードリンクです
OID1.2.840.113556.1.8000.1280.1.1.2.13
Case Ignore String(LDAPTYPE_CASEIGNORESTRING
1.2.840.113556.1.4.905
TRUE
性:dellAssociationMembers
明:この製品にする dellAssociationObjectMembers のリストこの属性dellProductMembers リンク属性へのバックワードリンクです
リンク ID12071
OID1.2.840.113556.1.8000.1280.1.1.2.14
識別名(LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12
FALSE
性:dellPermissionsMask1
OID1.2.840.113556.1.8000.1280.1.6.2.1 整数(LDAPTYPE_INTEGER
性:dellPermissionsMask2
OID1.2.840.113556.1.8000.1280.1.6.2.2 整数(LDAPTYPE_INTEGER
Dell の拡Active Directory ユーザーとコンピュータスナップインを使用してRAC、関連、および特権オブジェクトを作成するとCMC のユーザーと特権を追加できます。各オブジェクトタイプを
するには
1. RAC デバイスオブジェクトの作成
2. 特権オブジェクトの作成
3. 関連オブジェクトの作成
4. 関連オブジェクトへのオブジェクトの追加
RAC デバイスオブジェクトの作成
1. MMC コンソールルート ウィンドウでコンテナをクリックします
2. 新規® Dell RAC オブジェクト順に選択します
新規オブジェクト ウィンドウが表示されます
3. しいオブジェクトの名前を入力しますこの名前は、拡張スキーマ Active Directory とウェブインタフェースを使用した CMC の設定 手順 8a で入力する CMC 名と同一でなければなり
ません
4. RAC デバイスオブジェクト選択します
5. OK をクリックします
オブジェクトの作成
1. コンソールのルートMMCウィンドウでコンテナをクリックします
2. 新規® Dell RAC オブジェクト順に選択します
新規オブジェクト ウィンドウが表示されます
3. しいオブジェクトの名前を入力します
4. オブジェクト選択します
5. OK をクリックします
6. 作成した特権オブジェクトをクリックして プロパティ選択します
7. RAC タブをクリックしユーザーにえる権限を選択しますCMC のユーザー権限の詳細についてはユーザータイプ参照してください
オブジェクトの作成
関連オブジェクトはグループから派生し、グループタイプがまれている必要があります関連スコープは関連オブジェクトのセキュリティグループの種類を指定します。関連オブジェクトを作成する
合は、追加するオブジェクトの種類に適用される関連スコープを選択します
たとえばユニバーサル選択すると、関連オブジェクトは Active Directory ドメインがネイティブモード以上で機能している場合にのみ使用可能になります
1. コンソールのルートMMCウィンドウでコンテナをクリックします
2. 新規® Dell RAC オブジェクト順に選択します
新規オブジェクト ウィンドウがきます
3. しいオブジェクトの名前を入力します
4. オブジェクト選択します
5. オブジェクト のスコープを選択します
メモ特権オブジェクトは、関係する関連オブジェクトとじドメインに作成する必要があります
6. OK をクリックします
オブジェクトへのオブジェクトの追加
オブジェクトプロパティ ウィンドウを使用するとユーザーまたはユーザーグループ、特オブジェクトRAC デバイスまたは RAC デバイスグループ間の関連付けができますWindows
2000 モード以降のシステムを使用している場合は、ユニバーサルグループを使ってユーザーまたは RAC オブジェクトでドメインを拡張する必要があります
ユーザーおよび RAC デバイスのグループを追加できますデル関連グループとデルに関連しないグループを作成する手順は同じです
ユーザーまたはユーザーグループの追加
1. オブジェクトクリックしプロパティ選択します
2. ユーザー タブを選択して追加 を選択します
3. ユーザーまたはユーザーグループの名前を入力しOK をクリックします
オブジェクト タブをクリックしてRAC デバイスに認証するときにユーザーまたはユーザーグループの特権を定義する関連に、特オブジェクトを追加します。関連オブジェクトに追加できる特権
オブジェクトは 1 つだけです
追加
1. オブジェクト タブを選択し、追加 をクリックします
2. 特権オブジェクト名を入力しOK をクリックします
製品 タブをクリックして1 または複数台RAC デバイスを関連に追加します。関連デバイスはネットワークに接続している RAC デバイスのうち、定義したユーザーまたはユーザーグループが
使用できるものを指定します。関連オブジェクトには複数RAC デバイスを追加できます
RAC デバイスまたは RAC デバイスグループの追加
RAC デバイスまたは RAC デバイスグループを追加するには、次の手順に従います
1. 製品 タブを選択して 追加 をクリックします
2. RAC デバイスまたは RAC デバイスグループの名前を入力しOK をクリックします
3. プロパティ ウィンドウで適用OK の順にクリックします
スキーマ Active Directory とウェブインタフェースを使用した CMC 設定
1. CMC ウェブインタフェースにログインします
2. システムツリーで シャーシ選択します
3. ユーザー認証®ディレクトリサービスをクリックします
ディレクトリサービスページが表示されます
4. Microsoft Active Directory スキーマを選択します
5. 共通設定 セクションで以下の操作を行います。:
a. Active Directory にする チェックボックスが選択されていることを確認します
b. ルートドメイン を入力します
c. タイムアウト時間を秒単位で入力します設定範 15 300デフォルト90
メモルートドメインx.y の命名規則に従う有効なドメインでなければなりませんx 1 256 文字ASCII 文字列で文字間にスペースは挿入できませんy com
edugovintmilnetorg などの有効なドメイン名の種類です
6. オプションドメインコントローラとグローバルカタログの検索を直接呼び出す場合は、する AD サーバーの索(オプション チェックボックスをオンにし、以下の操作を行います
a. ドメインコントローラ テキストフィールドにActive Directory サービスがインストールされているサーバーを入力します
b. グローバルカタログ テキストフィールドにActive Directory ドメインコントローラのグローバルカタログの場所を入力しますグローバルカタログは Active Directory フォレスト
を検索するためのリソースを提供します
7. スキーマの設定 セクションで、以下の操作を行います
a. CMC を入力しますCMC Active Directory CMC カードを一意に識別しますCMC は、ドメインコントローラで作成したしい CMC オブジェクトのコモンネーム
CN)と同じでなければなりませんCMC 1 256 文字ASCII 文字列で、文字間にスペースは挿入できません
b. CMC ドメイン を入力します(例:cmc.com)。CMC ドメイン は、Active Directory CMC オブジェクトがあるドメインの DNS 名(文字列)です。名前x.y から成る有効なドメ
インにしますx は文字間に空白文字のない 1 256 ASCII 文字列でy comedugovintmilnetorg などの有効なドメインタイプです
8. 適用 をクリックして設定を保存します
9. 証明書管理 セクションでテキストフィールドに証明書のファイルパスを入力するかまたは をクリックして証明書ファイルを選択しますファイルを CMC に移動するにはアップロー
ボタンをクリックします
デフォルトではSSL 証明書の検証が必要ですcfgActiveDirectory RACADM GUI では、証明書の検証を無効にするしい設定があります
証明書の検証を無効にするとリスクをいます
SSL 証明書検証を有効にするにはデフォルト):
racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 1
SSL 証明書検証を無効にするには
racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 0
ドメインコントローラの SSL 証明書にはルート認証局による署名が必要ですCMC にアクセスする管理ステーションでルート認証局の署名付き証明書が使用可能でなければなりません
10. 適用 をクリックします適用 をクリックした後、CMC ウェブサーバーが自動的に再起動します
11. CMC ウェブインタフェースにびログインします
12. システムツリーで シャーシ選択し、ネットワーク タブをクリックしてから ネットワーク サブタブをクリックしますネットワーク設定ページが表示されます
13. DHCP 使用(CMCネットワークインターフェース IP アドレス用)が有効(チェックボックスがオン)の場合は、以下のいずれかをいます
l DHCP 使用して DNS サーバーアドレスを取得する選択してDHCP サーバーが DNS サーバーアドレスを自動的に取得できるようにするか
l DHCP 使用して DNS サーバーアドレスを取得する チェックボックスをオフにしたままでフィールドにプライマリおよび代替 DNS サーバーの IP アドレスを入力して DNS サー
バーの IP アドレスを手動で設定します
14. 適用 をクリックします
CMC 拡張スキーマ Active Directory 機能の設定が完了します
スキーマ Active Directory RACADM 使用した CMC 設定
ウェブインタフェースでなくRACADM CLI ツールを使用した拡張スキーマで CMC Active Directory 機能を設定するには、次のコマンドを使用します
1. CMC へのシリアル /Telnet/SSH テキスト コンソールをいてログイン後、以下を入力します
racadm config -g cfgActiveDirectory -o cfgADEnable 1
racadm config -g cfgActiveDirectory -o cfgADType 1
racadm config -g cfgActiveDirectory -o cfgADRacDomain <CMC の完全修飾ドメイン>
racadm config -g cfgActiveDirectory -o cfgADRootDomain <完全修飾ルートドメイン>
メモIP アドレスを 0.0.0.0 設定するとCMC のサーバー検索が無効になります
メモコンマ区切りのドメインコントローラまたはグローバルカタログサーバーのリストを指定できますCMC では、最大 3 IP アドレスまたはホスト名を指定できます
メモドメインコントローラまたはグローバルカタログサーバーがすべてのドメインとアプリケーションにしてしく設定されていない場合は、既存のアプリケーション / ドメインの動作中
に予期しない結果が生成される可能性があります
メモのステップにんでのページへ移動する前に、設定適用する必要があります。設定を適用しなければ、次のページへ移動したとき、入力した設定が失われます
メモアップロードする証明書の相対ファイルパスが ファイルパス値に表示されますフルパスとしいファイルとファイル拡張子を含む絶対ファイルパスを入力する必要がありま
す。
racadm config -g cfgActiveDirectory -o cfgADRacName <CMC のコモンネーム>
racadm sslcertupload -t 0x2 -f <ADS ルート CA 証明書> -r
racadm sslcertdownload -t 0x1 -f <CMC SSL 証明書>
オプションDNS サーバーからされたサーバーを使用せずにLDAP またはグローバルカタログサーバーを指定してユーザー名を検索する場合は、次サーバーの指定 オプションを
にします
racadm config -g cfgActiveDirectory -o cfgADSpecifyServerEnable 1
サーバーの指定 オプションを有効にした後、サーバーの IP アドレスまたは完全修飾ドメイン名(FQDN)を伴LDAP サーバーとグローバルカタログを指定できますFQDN はサーバーのホ
ストとドメイン名で構成されます
LDAP サーバーを指定するには以下のように入力します
racadm config -g cfgActiveDirectory -o cfgADDomainController <AD ドメインコントローラの IP アドレス>
グローバルカタログサーバーを指定するには以下のように入力します
racadm config -g cfgActiveDirectory -o cfgADGlobalCatalog <AD グローバルカタログの IP アドレス>
2. のいずれかのオプションを使用して DNS サーバーを指定します
l CMC DHCP が有効になりDHCP サーバーによって自動的に取得された DNS アドレスを使用する場合は、次のコマンドを入力します
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1
l CMC DHCP が無効になっている場合や、DHCP が有効でも DNS IP アドレスを手動で指定したい場合は、次のコマンドを入力します
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <プライマリ DNS IP アドレス>
racadm config -g cfgLanNetworking -o cfgDNSServer2 <セカンダリ DNS IP アドレス>
これで、拡張スキーマ機能の設定は完了しました
よくあるおわせFAQ
8-9CMCActive Directory 用:よくあるおわせ FAQ)
メモこのコマンドはリモート RACADM を介してのみ使用できますリモート RACADM の情報についてはRACADM へのリモートアクセスを参照してください
メモサーバーの指定 オプションを使用すると、認証局の署名付き証明書が、指定したサーバーの名前と照合されませんIP アドレスだけでなくホスト名も入力できるためCMC
ステム管理者にとっては特に便利です
メモIP アドレスを 0.0.0.0 設定するとCMC のサーバー検索が無効になります
メモコンマ区切りの LDAP または グローバルカタログサーバーのリストを 指定できますCMC では、最大 3 IP アドレスまたはホスト名を指定できます
メモすべてのドメインとアプリケーションに LDAP が正しく設定されていないと、既存のアプリケーション / ドメインの機能中に予期せぬ結果をくことがあります
質問
回答
複数のツリーで Active Directory を使って CMC にログインできますか?
はいCMC Active Directory クエリアルゴリズムは1 つのフォレストで複数のツリーをサポートします
混在モードでフォレストのドメインコントローラが Microsoft Windows NT
2000 Windows Server 2003 など、異なるオペレーティングシステムが
動) Active Directory を使って CMC にログインできますか?
はい。混在モードではCMC クエリプロセスで使用されるすべてのオブジェクトユーザーRAC デバイスオブジ
ェクト、関連オブジェクトなど)が同じドメインになければなりません
デルActive Directory ユーザーとコンピュータスナップインはモードをチェックし、混合モードであればドメ
インでオブジェクトを作成するためにユーザーを制限します
CMC Active Directory の併用では複数のドメイン環境をサポートしています
?
はいドメインフォレストの機能レベルはネイティブか Windows 2003 モードであることが必要ですまた、関
オブジェクトRAC ユーザーオブジェクトおよび RAC デバイスオブジェクト(関連オブジェクトを含む)にあるグ
ループはユニバーサルグループでなければなりません
これらの Dell 拡張オブジェクトDell 関連オブジェクトDell RAC デバイス、お
よび Dell 特権オブジェクトをいくつかのドメインに分散できますか?
関連オブジェクトと特権オブジェクトはじドメインの中に置く必要がありますDell Active Directory ユー
ザーとコンピュータスナップインを使用する場合、これら 2 つのオブジェクトをじドメインに作成することが強制さ
れますそののオブジェクトはのドメインに作成することができます
ドメインコントローラの SSL 設定に制限はありますか?
はいCMC では、信できる認証局の署名付SSL 証明書1 つしかアップロードできないためフォレスト
Active Directory サーバーの SSL 証明書はすべてじルート認証局によって署名される必要があります
しい RAC 証明書を作成しアップロードしましたがウェブインタフェースが起動し
ません
Microsoft 証明書サービスを使用して RAC 証明書を生成した場合、証明書の作成時ウェブ証明書 でなく
ユーザー証明書 を誤って選択した可能性があります
回復するにはCSR を生成してMicrosoft 証明書サービスからしいウェブ証明書を作成し、次RACADM
コマンドを入力してアップロードします
シングルサインオンの設定
Microsoft Windows 2000Windows XPWindows Server 2003WindowsVistaおよび Windows Server 2008 は、ネットワーク認証プロトコル Kerberos を認証方法に採用し
ているためドメインにサインインしたユーザーは Exchange などの次に使用するアプリケーションに自動的にサインインしたりシングルサインオンできます
CMC バージョン 2.10 以降ではCMC Kerberos を使ってシングルサインオンと Smart Card ログオンという 2 つのログインタイプも使用できるようになりましたシングルサインオンでログイン
する場合、CMC はクライアントシステムの資格情報を使用しますこの資格情報は、有ActiveDirectoryアカウントを使ってログインしたでオペレーティングシステムによってキャッシュされま
す。
システム要件
Kerberos 認証を使用するにはネットワークには次の項目が必要です
l DNS サーバー
l Microsoft Active Directory Server
l Kerberos キー配付センターActive Directory サーバーソフトウェアに同梱)
l DHCP サーバー(推奨
l DNS サーバーのリバースゾーンには Active Directory サーバーと CMC のエントリが必要
クライアントシステム
l Smart Card でログインする場合は、クライアントシステムには Microsoft Visual C++ 2005 再頒布可能なプログラムが必要です。詳細については
www.microsoft.com/downloads/details.aspx?FamilyID=32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en 参照してください
l シングルサインオンと Smart Card ログインではクライアントシステムは Active Directory ドメインと Kerberos 領域の一部でなければなりません
CMC
l CMC にはファームウェアバージョン 2.10 以降が必要
l CMC には Active Directory アカウントが必要
l CMC Active Directory ドメインと Kerberos 領域の一部でなければなりません
設定
必要
l Active DirectoryADKerberos 領域とキー配付センターKDC)が設定済みであるksetup
racadm sslcsrgen [-g]
[-f {ファイル}]
racadm sslcertupload -t 1 -f {web_sslcert}
Active Directory 認証を使って CMC にログインできない場合は、どうすればよ
いですか?この問題はどのようにトラブルシューティングできますか?
1. ログインに NetBIOS でなく、正しいユーザードメイン名が使用されていることを確認します
2. ローカル CMC ユーザーアカウントがある場合は、ローカルの資格情報を使用して CMC にログインしま
ログインした後、次の手順を実行してください
a. CMC Active Directory 設定ページの Active Directory にする チェックボックスがオンに
なっていることを確認します
b. CMC ネットワーク設定ページの DNS 設定が正しいことを確認します
c. Active Directory ルート認証局の署名付き証明書から Active Directory 証明書CMC にアップロ
ードしたことを確認します
d. ドメインコントローラの SSL 証明書の有効期限が切れていないことを確認します
e. CMC ルートドメインおよび CMC ドメイン Active Directory の環境設定と一致するこ
とを確認します
f. CMC のパスワードが 127 文字以内であることを確認しますCMC 最大 256 文字のパスワードを
サポートしていますがActive Directory がサポートしているパスワード長は最大 127 文字です
メモログイン方法を選択しても、他のログインインタフェースSSH など)に対してポリシー属性が設定されるわけではありません。他のログインインターフェースにしてはのポリシー属性を
設定する必要がありますすべてのログインインタフェースを無効にするにはサービス ページに移動してからすべてまたは一部の)ログインインタフェースを無効にします
メモメモWindows 2003 Active Directory を使用する場合は、クライアントシステムに最新のサービスパックとパッチがインストールされていることを確認してください
Windows 2008 Active Directory を使用する場合は、SP1 と次のホットフィックスがインストールされていることを確認してください
KTPASS ユーティリティ Windows6.0-KB951191-x86.msuこのパッチがないとユーティリティで不良keytab ファイルが生成されます
LDAP バインドGSS_API および SSL トランザクションに使用する Windows6.0-KB957072-x86.msu
l クロックドリフトやリバースルックアップの問題を回避するための強力NTP および DNS インフラストラクチャ
l 認証されたメンバをんだ CMC 標準スキーマ役割グループ
Active Directory 設定
アカウント オプションの CMC プロパティ ダイアログボックスで、以下の設定を行います
l アカウントは委任してされている - CMC は、このオプションを選択するときに作成される、転送された資格情報を現在使用していませんこのオプションは、他のサービス条件によ
って、選できる場合とできない場合があります
l アカウントは重要なので委任できない - このオプションは、他のサービス条件によって、選できる場合とできない場合があります
l このアカウントに Kerberos DES 使- このオプションを選択します
l Kerberos 事前認証必要としない - このオプションは選択しません
Microsoft Windows の一部である ktpass ユーティリティをドメインコントローラActive Directory サーバー)上で実行し、ここで CMC Active Directory のユーザーアカウントにマッピン
グします。例:
C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out
c:\krbkeytab
この手順にうとCMC にアップロードする必要がある keytab ファイルが生成されます
CMC 設定
CMC Active Directory で設定した標準スキーマ役割グループ設定を使用するように設定します。詳細については、「CMC にアクセスするための標準スキーマ Active Directory の設定」を
してください
Kerberos Keytab ファイルのアップロード
Kerberos keytab ファイルは Kerberos データセンターKDC)に対する CMC のユーザとパスワード資格情報として使用されこれによって Active Directory にアクセスすることができます
Kerberos 領域のCMC Active Directory 使って登録し、一意keytab ファイルがあることが必要です
keytab ファイルをアップロードするには
1. ユーザー認証 タブ® ディレクトリサービス サブタブに移動しますMicrosoft Active Directory Standard または スキーマ選択されていることを確認します。選されてい
ない場合は、好みの設定を選択してから 適用 をクリックします
2. Kerberos Keytab のアップロード セクションで をクリックしkeytab ファイルの保存先フォルダに移動してから アップロード をクリックします
アップロードを完了したらアップロードに成功または失敗したかを通知するメッセージボックスが表示されます
シングルサインオンの
1. Chassis Management Controller Network Security タブ® Active Directory® Active Directory 設定 をクリックします
Active Directory 設定管理 ページが表示されます
2. Active Directory 設定管理 ページで、次を選択します
l シングルサインオン - このオプションではActive Directory にログインしたときに取得したキャッシュされた資格情報を使用してCMC にログインできます
3. ページのまでスクロールし適用 をクリックします
CLI コマンドテスト機能を使用すればKerberos 認証によって Active Directory をテストできます
のように入力します
メモcmcname.domainname.com には RFC の要求にって小文字を使用し、領域名 @REALM_NAME には大文字を使用しますさらにCMC では Kerberos 認証用DES-CBC-
MD5 タイプの暗号化もサポートされています
メモkeytab には暗号化キーがまれているので、安全な場所に保管してくださいktpass ユーティリティの詳細についてはMicrosoft ウェブサイト
technet2.microsoft.com/windowsserver/en/library/64042138-9a5a-4981-84e9-d576a8db0d051033.mspx?mfr=true を参照してください
メモ本項で説明された設定手順は、CMC のウェブアクセスにしてのみ適用されます
メモこのオプションではセキュアシェルSSH)、Telnetシリアルリモート RACADM などすべてのコマンドライン帯域外インタフェースは変更されません
testfeature -f adkrb -u <ユーザー>@<ドメイン>
ここでユーザーは有効Active Directory ユーザーアカウントをします
コマンドが正常に実行されるとCMC Kerberos 資格情報を取得し、ユーザーの Active Directory アカウントにアクセスできますコマンドが正常に実行されない場合は、エラーを訂正してコマン
ドを実行し直してください。詳細についてはsupport.dell.com/manuals の『Chassis Management Controller 管理者リファレンスガイド』を参照してください
シングルサインオンのログインに使用するブラウザの設定
シングルサインオンはInternet Explorer バージョン 6.0 以降Firefox バージョン 3.0 以降でサポートされています
Internet Explorer
1. Internet Explorer で、ツール ®インターネットオプション選択します
2. セキュリティ タブの セキュリティ設定表示または するゾーンを する下で、ローカルイントラネット選択します
3. サイト をクリックします
ローカルイントラネット ダイアログボックスが表示されます
4. 詳細 をクリックします
ローカルイントラネットの詳細設定 ダイアログボックスが表示されます
5. このサイトをゾーンに追加するCMC の名前とそれがするドメインを入力し、追加 をクリックします
Mozilla Firefox
1. Firefox ではアドレスバーに about:config と入力します
2. フィルタ テキストボックスにnegotiate と入力します
ブラウザには、「negotiateという単語を含んだプリファレンスのリストが表示されます
3. 表示されたリストからnetwork.negotiate-auth.trusted-uris をダブルクリックします
4. 文字列 入力 ダイアログボックスにCMC のドメイン名を入力し、OK をクリックします
シングルサインオンを使用した CMC へのログイン
1. ネットワークアカウントを使ってクライアントシステムにログインします
2. 以下を使用して CMC ウェブページにアクセスします
https://<cmcname.domain-name>
例:cmc-6G2WXF1.cmcad.lab
ここでcmc-6G2WXF1 CMC 名を表します
cmcad.lab はドメイン名を表します
メモ次の手順は、CMC Kerberos 認証でシングルサインオンを使用する場合にのみ適用可能です
メモ対象ドメインではワイルドカード*)を使用してすべてのデバイス / ユーザーを指定できます
メモブラウザに 保証 になる場合がありますという警告が表示された場合は、注意するので 大丈夫です をクリックします
メモIP アドレスを使ってシングルサインオンまたはスマートカードにログインすることはできませんKerberos 、完全修飾ドメイン名(FQDN)に対してユーザーの資格情報を検証します
メモデフォルトの HTTPS ポート番号(ポート 80)を変更した場合は、<cmcname.domain-name>:<port number> を使って CMC ウェブページにアクセスしますここで
cmcname CMC CMC ホスト名、domain-name はドメイン名、port number HTTPS のポート番号をそれぞれします
CMC のシングルサインオン ページが表示されます
3. ログイン をクリックします
有効Active Directory アカウントを使ってログインしたときにブラウザによってキャッシュされた Kerberos 資格情報を使用するとCMC にログインできますログインに失敗するとブラウ
ザは通常CMC ログインページにリダイレクトされます
スマートカードによる二要素認証設定
従来の認証方式ではユーザーの認証にユーザーとパスワードを使用します。一方、2 要素認証ではユーザーがパスワードまたは PIN 秘密キーまたはデジタル証明書を含んだ物理カードを持っ
ている必要があるため、高レベルのセキュリティを実現できますネットワーク認証プロトコルの Kerberos ではこの 2 要素認証メカニズムを使用しておりこれによってシステムはその信頼性を確認
できますMicrosoftWindows2000Windows XPWindows Server 2003Windows Vistaおよび Windows Server 2008 ではKerberos を認証方法として優先的に使用しま
す。CMC バージョン 2.10 以降ではCMC Kerberos 使用してスマートカードログインをサポートできるようになりました
システム要件
スマートカードのシステム要件」は、シングルサインオンとじです
設定
スマートカードの必要条件」は、シングルサインオンとじです
Active Directory 設定
1. Active Dir ectory Kerberos 領域とキー配付センターKDC)が設定されていない場合は、設定してくださいksetup)。
2. CMC Active Directory を作成し、事前認証でなく Kerberos DES 暗号化を使用できるように設定します
3. Ktpass 使用して CMC ユーザーをキー配付センターに登録しますこれによりCMC にアップロードするようにキーも出力されます)。
CMC 設定
CMC Active Directory で設定した標準スキーマ役割グループ設定を使用するように設定します。詳細については、「CMC にアクセスするための標準スキーマ Active Directory の設定」を
してください
Kerberos Keytab ファイルのアップロード
Kerberos keytab ファイルは Kerberos データセンターKDC)に対する CMC のユーザとパスワード資格情報として使用されこれによって Active Directory にアクセスすることができます
Kerberos 領域のCMC Active Directory 使って登録し、一意keytab ファイルがあることが必要です
keytab ファイルをアップロードするには
1. ユーザー認証 タブ® ディレクトリサービス サブタブに移動しますMicrosoft Active Directory Standard または スキーマ選択されていることを確認します。選されてい
ない場合は、任意の設定を選択してから 適用 をクリックします
2. Kerberos Keytab のアップロード セクションで をクリックしkeytab ファイルの保存先フォルダに移動してから アップロード をクリックします
アップロードを完了したらアップロードに成功または失敗したかを通知するメッセージボックスが表示されます
スマートカード認証
メモActive Directory ドメインにログインしないで Internet Explorer 以外のブラウザを使用している場合は、ログインに失敗し、ブラウザには空白ページのみが表示されます
メモログイン方法を選択しても、他のログインインタフェースSSH など)に対してポリシー属性が設定されるわけではありません。他のログインインターフェースにしてはのポリシー属性を
設定する必要がありますすべてのログインインタフェースを無効にするにはサービス ページに移動してからすべてまたは一部の)ログインインタフェースを無効にします
メモ強力NTP および DNS インフラストラクチャによってクロックドリフトやリバースルックアップの問題を確実に回避します
メモ本項で説明された設定手順は、CMC のウェブアクセスにしてのみ適用されます
1. ユーザー認証 タブ® ディレクトリサービス サブタブに移動しますMicrosoft Active Directory Standard または スキーマ選択されていることを確認します
2. 共通設定 セクションで以下を選択します
l スマートカード - このオプションではスマートカードをリーダーに挿入し、PIN 番号を入力する必要があります
3. ページのまでスクロールし適用 をクリックします
CLI コマンドテスト機能を使用すればKerberos 認証によって Active Directory をテストできます
のように入力します
testfeature -f adkrb -u <ユーザー>@<ドメイン>
ここでユーザーは有効Active Directory ユーザーアカウントをします
コマンドが正常に実行されるとCMC Kerberos 資格情報を取得し、ユーザーの Active Directory アカウントにアクセスできますコマンドが正常に実行されない場合は、エラーを訂正してコマン
ドを実行し直してください。詳細についてはRACADM コマンドの testfeature マニュアルを参照してください
スマートカードのログインに使用するブラウザの設定
Mozilla Firefox
CMC 2.10 ではFirefox ブラウザを使ってスマートカードにログインすることはできません
Internet Explorer
インターネットブラウザが Active-X プラグインをダウンロードするように設定されていることを確認します
スマートカードを使用した CMC へのログイン
1. ネットワークアカウントを使ってクライアントシステムにログインします
2. 以下を使用して CMC ウェブページにアクセスします
https://<cmcname.domain-name>
例:cmc-6G2WXF1.cmcad.lab
ここでcmc-6G2WXF1 CMC 名を表します
cmcad.lab はドメイン名を表します
CMC のシングルサインオン ページが表示されスマートカードを挿入を求められます
3. スマートカードをリーダーに挿入して OK をクリックします
PIN ポップアップダイアログボックスが表示されます
4. オプションでセッションタイムアウトを選択しますこれはアクティビティをわずにログインしたままにできる時間を表しますデフォルト値は、ウェブサービスアイドルタイムアウトとして定義さ
れています。詳細についてはサービスの設定を参照してください
5. パスワードを入力してOK をクリックします
スマートカードログインのトラブルシューティング
以下は、スマートカードにアクセスできないときのデバッグに役立つヒントです
メモこのオプションではセキュアシェルSSH)、Telnetシリアルリモート RACADM などすべてのコマンドライン帯域外インタフェースは変更されません
メモIP アドレスを使ってシングルサインオンまたはスマートカードにログインすることはできませんKerberos 、完全修飾ドメイン名(FQDN)に対してユーザーの資格情報を検証します
メモデフォルトの HTTPS ポート番号(ポート 80)を変更した場合は、<cmcname.domain-name>:<port number> を使って CMC ウェブページにアクセスしますここで
cmcname CMC CMC ホスト名、domain-name はドメイン名、port number HTTPS のポート番号をそれぞれします
/