Dell Chassis Management Controller Version 3.0 ユーザーガイド

DellChassisManagementControllerファームウェア

バージョン 3.0 ユーザーガイド



メモおよび注意

____________________

本書の内容は予告なく変更されることがあります。

©2010すべての著作権は Dell Inc. にあります。

Dell Inc. の書面による許可のない複製は、いかなる形態においても厳重に禁じられています。本書で使用されている商標：Dell™、DELL のロゴ、FlexAddress™、OpenManage™、PowerEdge™、および PowerConnect™

は、Dell Inc. の商標です。Microsoft®、Active Directory®、Internet Explorer®、Windows®、Windows Server®、および Windows Vista® は、米国およびその他の国における Microsoft Corporation の商標

または登録商標です。Red Hat® および Red Hat Enterprise Linux® は、米国およびその他の国における Red Hat, Inc. の登録商標です。Novell® は、米国およびその他の国における Novell Inc. の登録商標です。

SUSE™ は、米国およびその他の国における Novell Inc. の商標です。Intel®

は、Intel Corporation の登録商標です。UNIX® は、米国およびその他の国における The Open Group の登録商標です。Avocent® は、

Avocent Corporation の商標です。OSCAR® は、Avocent Corporation またはその関連会社の登録商標です。

す。このライセンスのコピーは、配布パッケージ内の最上位レベルのディレクトリに入っている LICENSE ファイル、または http://www.OpenLDAP.org/license.html でご覧いただけます。OpenLDAP は OpenLDAP

Foundation の登録商標です。個々のファイルや提供パッケージは、他社が著作権を所有している場合があり、その他の制約を受ける可能性があります。この製品はミシガン大学 LDAP v3.3 ディストリビューションから派生しています。

のソフトウェアの派生製品を推薦または宣伝する目的で使用することはできません。このソフトウェアは、明示的または黙示的を問わず、保証なしに「現状有姿」で提供されます。

商標または製品の権利を主張する事業体を表すためにその他の商標および社名が使用されていることがあります。それらの商標や会社名は、一切 Dell Inc. に帰属するものではありません。

2010 年 7 月

概要

FlexAddress Plus の使用

CMC のインストールと設定

iDRAC6 ディレクトリサービスの使用

CMC にコマンドラインコンソールの使用を設定する方法

電源管理

RACADM コマンドラインインタフェースの使用

iKVM モジュールの使用

CMC ウェブインタフェースの使用

I/O ファブリック管理

FlexAddress の使用

トラブルシューティングとリカバリ

メモ：メモは、コンピュータを使いやすくするための重要な情報を説明しています。

注意: 注意は、物的損害、けが、または死亡の原因となる可能性があることを示しています

。

目次ページに戻る

iDRAC6 ディレクトリサービスの使用

DellChassisManagementControllerファームウェアバージョン 3.0 ユーザーガイド

CMC と Microsoft Active Directory との併用

標準スキーマの Active Directory の概要

拡張スキーマの概要

シングルサインオンの設定

スマートカードによる二要素認証の設定

汎用 LDAP を伴う CMC の使用

ディレクトリサービスは、ネットワーク上のユーザー、コンピュータ、プリンタなどを制御するのに必要なすべての情報を格納する共通のデータベースを管理しています。Microsoft Active Directory ソ

フトウェアまたは LDAP ディレクトリサービスソフトウェアを使用している場合、ディレクトリベースのユーザー認証を使えるようにCMCを設定できます。

CMC と Microsoft Active Directory との併用



Active Directory スキーマ拡張

Active Directory で CMC へのユーザーアクセスを定義するには、次の 2 つの方法があります。

l 標準 Active Directory グループオブジェクトのみを使用する標準スキーマソリューション。

l デルによって定義された Active Directory オブジェクトを使用する拡張スキーマソリューション。



標準スキーマと拡張スキーマ

Active Directory を使って CMC へのアクセス権を設定するには、拡張スキーマまたは標準スキーマソリューションのどちらかを選択する必要があります。

標準スキーマソリューションの場合

l 標準スキーマでは Active Directory オブジェクトのみが使用されるため、スキーマ拡張は不要です。

l Active Directory の設定はシンプルです。

拡張スキーマソリューションの場合

l アクセス制御オブジェクトのすべてを Active Directory で管理できます。

l さまざまな CMC で異なる特権レベルのユーザーアクセスを設定できるため、最大の柔軟性を実現します。

標準スキーマの Active Directory の概要

Active Directory の統合に標準スキーマを使用する場合は、Active Directory と CMC の両方で設定が必要になります。

Active Directory 側では、標準グループオブジェクトが役割グループとして使用されます。CMC のアクセス権を持つユーザーは、役割グループのメンバとなります。

このユーザーに特定の CMC カードへのアクセスを与えるには、役割グループ名とそのドメイン名を特定の CMC カードで設定する必要があります。拡張スキーマソリューションとは異なり、役割と特権

レベルは Active Directory ではなく、各 CMC カードで定義されます。各 CMC につき最大 5 つの役割グループを設定および定義できます。 5-41 は役割グループの特権レベルを、表8-1 は役

割グループのデフォルト設定を示したものです。

図 8-1ActiveDirectoryと標準スキーマによる CMC の設定

メモ： Microsoft Windows 2000 および Windows Server 2003 オペレーティングシステムでは、Active Directory を使用して CMC のユーザーを認識できます。IPv6 経由の

Active Directory は、Windows 2008 でのみサポートされています。

表 8-1デフォルトの役割グループの特権

標準スキーマ Active Directory を有効にするには、次の 2 つの方法があります。

l CMC ウェブインタフェースの使用。「標準スキーマ Active Directory とウェブインタフェースを使用した CMC の設定」を参照してください。

l RACADM CLI ツールの使用。「標準スキーマ Active Directory と RACADM を使用した CMC の設定」を参照してください。



CMC にアクセスするための標準スキーマ Active Directory の設定

Active Directory ユーザーが CMC にアクセスできるようにするには、次の手順を実行して Active Directory を設定します。



1. Active Directory サーバー（ドメインコントローラ）で、Active Directory ユーザーとコンピュータスナップインを開きます。



2. グループを作成するか、既存のグループを選択します。グループの名前とこのドメインの名前は、ウェブインタフェースまたは RACADM を使って CMC 上で設定する必要があります。

詳細については、「標準スキーマ Active Directory とウェブインタフェースを使用した CMC の設定」および「標準スキーマ Active Directory と RACADM を使用した CMC の設定」を参照

してください。



3. Active Directory ユーザーを、CMC にアクセスする Active Directory グループのメンバとして追加します。



役割

グループ



デフォルトの権

限

レベル



許可する権限



ビットマスク

1

なし

l CMC ログインユーザー

l シャーシ設定システム管理者

l ユーザー設定システム管理者

l ログのクリアシステム管理者

l シャーシ制御システム管理者（電源コマンド）

l スーパーユーザー

l サーバー管理者

l テスト警告ユーザー

l デバッグコマンドユーザー

l ファブリック A システム管理者

l ファブリック B システム管理者

l ファブリック C システム管理者

0x00000fff

2

なし

l CMC ログインユーザー

l ログのクリアシステム管理者

l シャーシ制御システム管理者（電源コマンド）

l サーバー管理者

l テスト警告ユーザー

l ファブリック A システム管理者

l ファブリック B システム管理者

l ファブリック C システム管理者

0x000000f9

3

なし

CMC ログインユーザー

0x00000001

4

なし

権限の割り当てなし

0x00000000

5

なし

権限の割り当てなし

0x00000000

メモ：ビットマスク値は、RACADM で標準スキーマを設定する場合にのみ使用します。

メモ：ユーザー権限の詳細については、「ユーザータイプ」を参照してください。



標準スキーマ Active Directory とウェブインタフェースを使用した CMC の設定



1. CMC ウェブインタフェースにログインします。



2. システムツリーでシャーシを選択します。



3. ユーザー認証®ディレクトリサービスをクリックします。ディレクトリサービスページが表示されます。



4. Microsoft Active Directory （標準スキーマ）の隣にあるラジオボタンを選択します。Active Directory の設定と管理ページが表示されます。



5. 共通設定セクションで以下の操作を行います。

a. Active Directory を有効にするチェックボックスをオンにします。

b. ルートドメイン名を入力します。

c. タイムアウトの時間を秒単位で入力します。タイムアウト範囲は 15～300 秒です。デフォルトのタイムアウト期間は 90 秒です。



6. ドメインコントローラとグローバルカタログの検索を直接呼び出す場合は、検索する AD サーバーの検索（オプション）チェックボックスをオンにし、以下の操作を行います。

a. ドメインコントローラテキストフィールドに、Active Directory サービスがインストールされているサーバーを入力します。

b. グローバルカタログテキストフィールドに、Active Directory ドメインコントローラ上のグローバルカタログの場所を入力します。グローバルカタログは Active Directory フォレスト

を検索するためのリソースを提供します。



7. 適用をクリックして設定を保存します。



8. 標準スキーマの設定セクションで、役割グループをクリックします。役割グループの設定ページが表示されます。



9. グループ名を入力します。グループ名は、CMC カードに関連付けられた Active Directory で役割グループを識別します。



10. グループドメインを入力します。グループドメインはフォレストのルートドメインの完全修飾名です。



11. 役割グループの特権ページで、グループの特権を選択します。

特権を変更すると、既存の役割グループの特権（システム管理者、パワーユーザー、ゲストユーザー）がカスタムグループまたは適切な役割グループの特権に変更されます。「5-41」を参照

してください。



12. 適用をクリックして、役割グループの設定を保存します。



13. ユーザー設定ページに戻るをクリックします。



14. ドメインフォレストのルート認証局の署名付き証明書を CMC にアップロードします。証明書のアップロードページで、証明書のファイルパスを入力するか、証明書ファイルの場所を指定しま

す。ファイルを CMC に移動するには、アップロードボタンをクリックします。

ドメインコントローラの SSL 証明書は、ルート認証局の署名付き証明書で署名されていなければなりません。CMC にアクセスする管理ステーションで、ルート認証局の署名付き証明書

が使用可能でなければなりません。



15. 適用をクリックします。適用をクリックした後、CMC ウェブサーバーが自動的に再起動します。



16. CMC Active Directory 機能の設定を完了するには、ログアウトしてから CMC にログインします。



17. システムツリーでシャーシを選択します。



18. ネットワークタブをクリックします。



19. ネットワークサブタブをクリックします。ネットワーク設定ページが表示されます。



20. ネットワーク設定で DHCP を使用（CMC ネットワークインターフェース IP アドレス用）が選択されている場合、DHCP を使用して DNS サーバーアドレスを取得を選択します。

メモ：ルードメイン名は x.y という命名規則に従った有効なドメイン名でなければなりません。この x は文字間に空白文字が入っていない 1～256 文字 ASCII 文字列、y は com、

edu、gov、int、mil、net、org などの有効なドメインタイプで指定します。

メモ：次の手順に進む前に、設定を適用する必要があります。設定を適用しなければ、次のページへ移動したとき、入力した設定が失われます。

メモ：アップロードする証明書の相対ファイルパスがファイルパスの値に表示されます。フルパスと正しいファイル名とファイル拡張子を含む絶対ファイルパスを入力する必要がありま

す。

DNS サーバーの IP アドレスを手動で入力するには、DHCP を使用して DNS サーバーアドレスを取得するチェックボックスをオフにし、プライマリおよび代替 DNS サーバーの IP アドレ

スを入力します。



21. 変更の適用をクリックします。

これで、CMC 標準スキーマ Active Directory 機能の設定が完了します。



標準スキーマ Active Directory と RACADM を使用した CMC の設定

標準スキーマの CMC Active Directory 機能を RACADM CLI を使用して設定するには、次のコマンドを使用します。



1. CMC へのシリアル /Telnet/SSH テキストコンソールを開いて、以下を入力します。

racadm config -g cfgActiveDirectory -o cfgADEnable 1

racadm config -g cfgActiveDirectory -o cfgADType 2

racadm config -g cfgActiveDirectory -o cfgADRootDomain <完全修飾ルートドメイン名>

racadm config -g cfgStandardSchema -i <インデックス> -o cfgSSADRoleGroupName <役割グループのコモンネーム>

racadm config -g cfgStandardSchema -i <インデックス> -o cfgSSADRoleGroupDomain <完全修飾ドメイン名>

racadm config -g cfgStandardSchema -i <インデックス> -o cfgSSADRoleGroupPrivilege <特定のユーザー権限のビットマスク番号>

racadm sslcertupload -t 0x2 -f <ADS ルート CA 証明書>

racadm sslcertdownload -t 0x1 -f <RAC SSL 証明書>



2. 次のいずれかのオプションを使用して DNS サーバーを指定します。

l CMC で DHCP が有効になり、DHCP サーバーによって自動的に取得された DNS アドレスを使用する場合は、次のコマンドを入力します。

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1

l CMC で DHCP が無効になっている場合や、手動で DNS の IP アドレスを入力する場合は、次のコマンドを入力します。

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0

racadm config -g cfgLanNetworking -o cfgDNSServer1 <プライマリ DNS IP アドレス>

racadm config -g cfgLanNetworking -o cfgDNSServer2 <セカンダリ DNS IP アドレス>

拡張スキーマの概要

Active Directory で拡張スキーマを有効にするには、次の 2 つの方法があります。

l CMC ウェブインタフェースを使用する。手順については、「拡張スキーマ Active Directory とウェブインタフェースを使用した CMC の設定」を参照してください。

l RACADM CLI ツールを使用する。手順については、「拡張スキーマ Active Directory と RACADM を使用した CMC の設定」を参照してください。



Active Directory スキーマ拡張

Active Directory データは、属性とクラスの分散データベースです。Active Directory スキーマには、データベースに追加または挿入するデータタイプを決定する規則があります。

データベースに格納されるクラスの一例として、ユーザークラスがあります。ユーザークラスの属性には、ユーザーの姓、名、電話番号などが含まれます。

貴社の環境の固有なニーズを満たす独自の属性やクラスを追加して、データベースを拡張できます。デルでは、スキーマを拡張して、リモート管理の認証と許可をサポートするために必要な変更を含め

ました。

既存の Active Directory スキーマに追加した属性やクラスは、それぞれ固有の ID で定義する必要があります。業界全体で一意の ID を維持できるよう、Microsoft は Active Directory オブジ

ェクト識別子（OID）のデータベースを管理しています。Microsoft の Active Directory でスキーマを拡張するために、デルは固有の OID、固有の名前拡張子、デル固有の属性とクラスに一意に関

連付けた属性 ID を確立しました。

デルの拡張子：dell

デルのベース OID：1.2.840.113556.1.8000.1280

RAC LinkID 範囲：12070-2079



メモ：ビットマスクの番号については、『Dell Chassis Management Controller 管理者リファレンスガイド』のデータベースプロパティの表 3-1 を参照してください。

RAC スキーマ拡張の概要

デルは管理者が設定できるプロパティのグループを提供しています。デルの拡張スキーマには、関連、デバイス、特権などのプロパティが含まれます。

関連プロパティは、特定の特権セットのあるユーザーまたはグループを 1 台または複数台の RAC デバイスに関連付けます。このモデルでは、ユーザー、RAC 特権、およびネットワーク上の RAC デ

バイスを組み合わせる際に最大限の柔軟性が得られる一方、複雑になり過ぎることはありません。



Active Directory オブジェクトの概要

認証と承認を Active Directory と統合したい CMC が 2 つネットワーク上にある場合は、各 CMC につき少なくとも 1 つの関連オブジェクトと 1 つの RAC デバイスオブジェクトを作成する必要があ

ります。関連オブジェクトは必要なだけいくつでも作成でき、各関連オブジェクトにリンクできるユーザー、ユーザーグループ、RAC デバイスオブジェクトの数にも制限はありません。ユーザーと RAC デ

バイスオブジェクトは、企業内のどのドメインのメンバでもかまいません。

ただし、各関連オブジェクトは 1 つの特権オブジェクトにしかリンクできず、ユーザー、ユーザーグループ、RAC デバイスオブジェクトを 1 つの特権オブジェクトにしかリンクできません。この例では、シ

ステム管理者は特定の CMC で各ユーザーの権限を制御できます。

RAC デバイスオブジェクトは、Active Directory に照会して認証と許可を実行するための RAC ファームウェアへのリンクです。RAC をネットワークに追加した場合、システム管理者は RAC とその

デバイスオブジェクトをその Active Directory 名で設定して、ユーザーが Active Directory で認証と認可を実行できるようにする必要があります。さらに、ユーザーが認証できるように、RAC を少

なくとも 1 つの関連オブジェクトに追加する必要があります。

図8-2 は、関連オブジェクトがすべての認証と認可に必要な関連付けを提供する仕組みを示しています。

作成する関連オブジェクトの数に制限はありません。ただし、関連オブジェクトを少なくとも 1 つ作成する必要があり、Active Directory と統合する各 RAC（CMC）につき 1 つの RAC デバイスオブジ

ェクトが必要です。

図 8-2ActiveDirectoryオブジェクトの標準的なセットアップ

関連オブジェクトに含むことができるユーザー、グループ、RAC デバイスオブジェクトの数に制限はありません。ただし、関連オブジェクトに含むことができる特権オブジェクトは、関連オブジェクト 1 つ

に 1 つだけです。関連オブジェクトは、RAC（CMC）に「特権」を持つ「ユーザー」を接続します。

また、Active Directory オブジェクトは、単一ドメイン、複数のドメインのいずれに設定することも可能です。たとえば、CMC が 2 つ（RAC1、RAC2）と、既存の Active Directory ユーザーが 3 つ

（ユーザー 1、ユーザー 2、ユーザー 3）あるとし、ユーザー 1 とユーザー 2 に両方の CMC へのシステム管理者特権を与え、ユーザー 3 に RAC2 カードへのログイン特権を与えたいとします。

図8-3 に、このシナリオで Active Directory オブジェクトを設定する方法を示します。

別のドメインからユニバーサルグループを追加する場合、ユニバーサルスコープで関連オブジェクトを作成します。Dell Schema Extender ユーティリティで作成されたデフォルトの関連オブジェクト

はドメインローカルグループであり、他のドメインからのユニバーサルグループとは連動しません。

図 8-3単一ドメインでの Active Directory オブジェクトの設定

メモ： RAC 特権オブジェクトは DRAC 4、DRAC 5、および CMC に適用します。

単一ドメインのシナリオでオブジェクトを設定するには



1. 関連オブジェクトを 2 つ作成します。



2. 2 つの CMC を表す 2 つの RAC デバイスオブジェクト、RAC1 と RAC2 を作成します。



3. 2 つの特権オブジェクト、特権 1 と特権 2 を作成します。特権 1 にはすべての特権（システム管理者）、特権 2 にはログイン特権を与えます。



4. ユーザー 1 とユーザー 2 をまとめてグループ 1 とします。



5. グループ 1 を関連オブジェクト 1（A01）のメンバ、特権 1 を A01 の特権オブジェクトとして、RAC1 と RAC2 を A01 の RAC デバイスとして追加します。



6. ユーザー 3 を関連オブジェクト 2（A02）のメンバ、特権 2 を A02 の特権オブジェクト、RAC2 を A02 の RAC デバイスとして追加します。

詳細な手順については、「Active Directory への CMC ユーザーと特権の追加」を参照してください。

図8-4 に、複数ドメインの Active Directory オブジェクトの例を示します。このシナリオでは、CMC が 2 つ（RAC1 と RAC2）と、既存の Active Directory ユーザーが 3 つ（ユーザー 1、ユーザ

ー 2、ユーザー 3）あるとします。ユーザー 1 はドメイン 1 に存在し、ユーザー 2 とユーザー 3 はドメイン 2 に存在しています。このシナリオでは、ユーザー 1 とユーザー 2 に両方の CMC へのシ

ステム管理者特権を持つように設定し、ユーザー 3 に RAC2 カードへのログイン特権を持つようにします。

図 8-4複数ドメインでの Active Directory オブジェクトの設定

複数ドメインのシナリオでオブジェクトを設定するには



1. ドメインのフォレスト機能がネイティブまたは Windows 2003 モードになっていることを確認します。



2. 2 つの関連オブジェクト A01（ユニバーサルスコープの）と A02 を任意のドメインに作成します。

図8-4 に、ドメイン 2 のオブジェクトを示します。



3. 2 つの CMC を表す 2 つの RAC デバイスオブジェクト、RAC1 と RAC2 を作成します。



4. 2 つの特権オブジェクト、特権 1 と特権 2 を作成します。特権 1 にはすべての特権（システム管理者）、特権 2 にはログイン特権を与えます。  
 
  
5. ユーザー 1 とユーザー 2 をまとめてグループ 1 とします。グループ 1 のグループスコープはユニバーサルでなければなりません。  
 
  
6. グループ 1 を関連オブジェクト 1（A01）のメンバ、特権 1 を A01 の特権オブジェクトとして、RAC1 と RAC2 を A01 の RAC デバイスとして追加します。  
 
  
7. ユーザー 3 を関連オブジェクト 2（A02）のメンバ、特権 2 を A02 の特権オブジェクト、RAC2 を A02 の RAC デバイスとして追加します。  
 
 
CMC にアクセスするための拡張スキーマ Active Directory の設定 
Active Directory を使用して CMC にアクセスする前に、Active Directory ソフトウェアと CMC を設定します。 
 
1. Active Directory スキーマを拡張します（「Active Directory スキーマの拡張」を参照）。  
 
  
2. Active Directory ユーザーおよびコンピュータスナップイン を拡張します（「Active Directory ユーザーとコンピュータスナップインへの Dell 拡張のインストール」を参照）。  
 
  
3. CMC ユーザーとその権限を Active Directory に追加します（「Active Directory への CMC ユーザーと特権の追加」 を参照）。  
 
  
4. 各ドメインコントローラ上で SSL を有効にします。  
 
  
5. CMC ウェブインタフェースまたは RACADM を使用して、CMC Active Directory プロパティを設定します（ 「拡張スキーマ Active Directory とウェブインタフェースを使用した CMC の設
定」または「拡張スキーマ Active Directory と RACADM を使用した CMC の設定」を参照）。  
 
 
Active Directory スキーマの拡張 
Active Directory スキーマを拡張すると、デルの組織単位、スキーマのクラスと属性、サンプル特権、および関連オブジェクトが Active Directory スキーマに追加されます。スキーマを拡張する前
に、ドメインフォレストのスキーママスター Flexible Single Master Operation（FSMO）Role Owner にスキーマ管理者特権を持っていることを確認してください。 
次のいずれかの方法を使用してスキーマを拡張できます。 
l Dell Schema Extender ユーティリティ 
 
l LDIF スクリプトファイル 
 
LDIF スクリプトファイルを使用すると、Dell の組織単位はスキーマに追加されません。 
LDIF ファイルと Dell Schema Extender はそれぞれ『Dell Systems Management Tools and Documentation DVD』の次のディレクトリに入っています。 
l <DVD ドライブ>:\SYSMGMT\ManagementStation\support\ 
OMActiveDirectory_Tools\<インストールの種類>\LDIF Files 
 
l <DVD ドライブ>:\SYSMGMT\ManagementStation\support\ 
OMActiveDirectory_ Tools\<インストールの種類>\Schema Extender 
 
LDIF ファイルを使用するには、LDIF_Files ディレクトリにある readme の説明を参照してください。Active Directory スキーマを拡張するために Dell Schema Extender を利用する手順につ
いては、「Dell Schema Extender の使用」を参照してください。 
Schema Extender または LDIF ファイルのコピーと実行はどの場所からでもできます。 
 
Dell Schema Extender の使用  
Dell Schema Extender は、SchemaExtenderOem.ini ファイルを使用します。Dell Schema Extender ユーティリティが正しく機能するように、このファイルの名前は変更しないでください。 
 
1. ようこそ 画面で、次へ をクリックします。  
 
  
2. 警告を読んでから、もう一度 次へ をクリックします。  
 
  
3. 資格情報で現在のログの使用 を選択するか、スキーマ管理者権限でユーザー名とパスワードを入力します。  
 
  
4. Dell Schema Extender を実行するには、次へ をクリックします。  
 
  
5. 完了 をクリックします。  
 
スキーマが拡張されます。スキーマ拡張子を確認するには、Microsoft 管理コンソール（MMC）と Active Directory スキーマスナップインを使用して、次のものがあることを確認します。 
l クラス- 「表8-2」～「表8-7」を参照 
 
l 属性 - 「表8-8」を参照 
 
MMC で Active Directory スキーマスナップインを有効にして使用する方法については、Microsoft のマニュアルを参照してください。 

表 8-2ActiveDirectoryスキーマに追加されたクラスのクラス定義

表 8-3dellRacDeviceクラス

表 8-4dellAssociationObjectクラス

表 8-5dellRAC4Privilegesクラス

表 8-6dellPrivilegesクラス

表 8-7dellProductクラス



クラス名



割り当てられたオブジェクト識別番号（OID

）

dellRacDevice

1.2.840.113556.1.8000.1280.1.1.1.1

dellAssociationObject

1.2.840.113556.1.8000.1280.1.1.1.2

dellRACPrivileges

1.2.840.113556.1.8000.1280.1.1.1.3

dellPrivileges

1.2.840.113556.1.8000.1280.1.1.1.4

dellProduct

1.2.840.113556.1.8000.1280.1.1.1.5

OID

1.2.840.113556.1.8000.1280.1.1.1.1

説明

Dell RAC デバイスを表します。RAC デバイスは Active Directory では dellRacDevice として設定する必要があります。この設定にすると、CMC から Active Directory

に Lightweight Directory Access Protocol（LDAP）クエリを送信できます。

クラスの種類

構造体クラス

SuperClasses

dellProduct

属性

dellSchemaVersion

dellRacType

OID

1.2.840.113556.1.8000.1280.1.1.1.2

説明

デル関連オブジェクトを表します。この関連オブジェクトはユーザーとデバイスの間の接続を提供します。

クラスの種類

構造体クラス

SuperClasses

グループ

属性

dellProductMembers

dellPrivilegeMember

OID

1.2.840.113556.1.8000.1280.1.1.1.3

説明

CMC デバイスの承認権限（特権）を定義します。

クラスの種類

補助クラス

SuperClasses

なし

属性

dellIsLoginUser

dellIsCardConfigAdmin

dellIsUserConfigAdmin

dellIsLogClearAdmin

dellIsServerResetUser

dellIsTestAlertUser

dellIsDebugCommandAdmin

dellPermissionMask1

dellPermissionMask2

OID

1.2.840.113556.1.8000.1280.1.1.1.4

説明

Dell の特権（承認権限）のコンテナクラス。

クラスの種類

構造体クラス

SuperClasses

ユーザー

属性

dellRAC4Privileges

OID

1.2.840.113556.1.8000.1280.1.1.1.5

説明

すべてのデル製品が派生するメインクラス。

表 8-8ActiveDirectoryスキーマに追加された属性のリスト

クラスの種類

構造体クラス

SuperClasses

コンピュータ

属性

dellAssociationMembers



割り当てられた OID/ 構文オブジェクト識別子



単一値

属性：dellPrivilegeMember

説明：この属性に属する dellPrivilege オブジェクトのリスト。



OID: 1.2.840.113556.1.8000.1280.1.1.2.1

識別名：（LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12）

FALSE

属性：dellProductMembers

説明：この役割に属する dellRacDevices オブジェクトのリスト。この属性は dellAssociationMembers バックワードリンクへのフォワードリンクです。

リンク ID： 12070



OID：1.2.840.113556.1.8000.1280.1.1.2.2

識別名：（LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12）

FALSE

属性：dellIsCardConfigAdmin

説明：ユーザーがデバイスの設定権限がある場合には TRUE。

OID： 1.2.840.113556.1.8000.1280.1.1.2.4

ブール（LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7）

TRUE

属性：dellIsLoginUser

説明：ユーザーがデバイスでログイン権限がある場合には TRUE。



OID：1.2.840.113556.1.8000.1280.1.1.2.3

ブール（LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7）

TRUE

属性：dellIsCardConfigAdmin

説明：ユーザーがデバイスの設定権限がある場合には TRUE。



OID： 1.2.840.113556.1.8000.1280.1.1.2.4

ブール（LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7）

TRUE

属性：dellIsUserConfigAdmin

説明：ユーザーがデバイスのユーザー設定システム管理者権限がある場合には TRUE。



OID：1.2.840.113556.1.8000.1280.1.1.2.5

ブール（LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7）

TRUE

属性：delIsLogClearAdmin

説明：ユーザーがデバイスのログのクリアシステム管理者権限がある場合には TRUE。



OID：1.2.840.113556.1.8000.1280.1.1.2.6

ブール（LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7）

TRUE

属性：dellIsServerResetUser

説明：ユーザーがデバイスのサーバーリセット権限がある場合

には TRUE。

OID：1.2.840.113556.1.8000.1280.1.1.2.7

ブール（LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7）

TRUE

属性：dellIsTestAlertUser

説明：ユーザーがデバイスのテスト警告ユーザー権限がある場

合には TRUE。

OID：1.2.840.113556.1.8000.1280.1.1.2.10

ブール（LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7）

TRUE

属性：dellIsDebugCommandAdmin

説明：ユーザーがデバイスのデバッグコマンドシステム管理者権限がある場合には TRUE。



OID：1.2.840.113556.1.8000.1280.1.1.2.11

TRUE



Active Directory ユーザーとコンピュータスナップインへの Dell 拡張のインストール

Active Directory でスキーマを拡張する場合は、RAC（CMC）デバイス、ユーザーとユーザーグループ、RAC 関連、RAC 特権などを管理できるように、Active Directory ユーザーとコンピュータス

ナップインも拡張する必要があります。

『Dell Systems Management Tools and Documentation DVD』を使ってシステム管理ソフトウェアをインストールする場合、インストール手順中に Active Directory ユーザーとコンピュ

ータスナップインのデル拡張を選択するとスナップインを拡張できます。システム管理ソフトウェアのインストールの手順については、『Dell OpenManage ソフトウェアクイックインストールガイド』

を参照してください。

Active Directory ユーザーとコンピュータスナップインの詳細については、Microsoft のマニュアルを参照してください。



Administrator Pack のインストール

Active Directory CMC オブジェクトを管理している各システムに、Administrator Pack をインストールする必要があります。Administrator Pack をインストールしないと、コンテナ内の Dell

RAC オブジェクトを表示できません。



Active Directory ユーザーとコンピュータスナップインの開始

Active Directory ユーザーとコンピュータスナップインを開くには



1. ドメインコントローラにログインしている場合は、スタート管理ツール®Active Directory ユーザーとコンピュータの順にクリックします。

ドメインコントローラにログインしていない場合は、適切な Microsoft Administrator Pack がローカルシステムにインストールされている必要があります。この Administrator Pack をイン

ストールするには、スタート® ファイル名を指定して実行の順にクリックし、MMC と入力して <Enter> を押します。

Microsoft Management Console（MMC）が表示されます。



2. コンソール 1 ウィンドウで、ファイル（または Windows 2000 が稼動するシステムではコンソール）をクリックします。



3. スナップインの追加と削除をクリックします。



4. Active Directory ユーザーとコンピュータスナップインを選択し、追加をクリックします。



5. 閉じるをクリックして OK をクリックします。



Active Directory への CMC ユーザーと特権の追加

ブール（LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7）

属性：dellSchemaVersion

説明：現在のスキーマバージョンを使用してスキーマをアップ

デートします。

OID：1.2.840.113556.1.8000.1280.1.1.2.12

Case Ignore String(LDAPTYPE_CASEIGNORESTRING

1.2.840.113556.1.4.905）

TRUE

属性：dellRacType

説明：この属性は dellRacDevice オブジェクトの現在の RAC タイプで、dellAssociationObjectMembers フォワードリンクへのバックワードリンクです。



OID：1.2.840.113556.1.8000.1280.1.1.2.13

Case Ignore String(LDAPTYPE_CASEIGNORESTRING

1.2.840.113556.1.4.905）

TRUE

属性：dellAssociationMembers

説明：この製品に属する dellAssociationObjectMembers のリスト。この属性は dellProductMembers リンク属性へのバックワードリンクです。

リンク ID： 12071



OID：1.2.840.113556.1.8000.1280.1.1.2.14

識別名（LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12）

FALSE

属性：dellPermissionsMask1



OID：1.2.840.113556.1.8000.1280.1.6.2.1 整数（LDAPTYPE_INTEGER）

属性：dellPermissionsMask2



OID：1.2.840.113556.1.8000.1280.1.6.2.2 整数（LDAPTYPE_INTEGER）

Dell の拡張 Active Directory ユーザーとコンピュータスナップインを使用して、RAC、関連、および特権オブジェクトを作成すると、CMC のユーザーと特権を追加できます。各オブジェクトタイプを追

加するには



1. RAC デバイスオブジェクトの作成



2. 特権オブジェクトの作成



3. 関連オブジェクトの作成



4. 関連オブジェクトへのオブジェクトの追加



RAC デバイスオブジェクトの作成



1. MMC コンソールルートウィンドウでコンテナを右クリックします。



2. 新規® Dell RAC オブジェクトの順に選択します。

新規オブジェクトウィンドウが表示されます。



3. 新しいオブジェクトの名前を入力します。この名前は、拡張スキーマ Active Directory とウェブインタフェースを使用した CMC の設定の手順 8a で入力する CMC 名と同一でなければなり

ません。



4. RAC デバイスオブジェクトを選択します。



5. OK をクリックします。



特権オブジェクトの作成



1. コンソールのルート（MMC）ウィンドウでコンテナを右クリックします。



2. 新規® Dell RAC オブジェクトの順に選択します。

新規オブジェクトウィンドウが表示されます。



3. 新しいオブジェクトの名前を入力します。



4. 特権オブジェクトを選択します。



5. OK をクリックします。



6. 作成した特権オブジェクトを右クリックしてプロパティを選択します。



7. RAC 特権タブをクリックし、ユーザーに与える権限を選択します。 CMC のユーザー権限の詳細については、「ユーザータイプ」を参照してください。



関連オブジェクトの作成

関連オブジェクトはグループから派生し、グループタイプが含まれている必要があります。関連スコープは関連オブジェクトのセキュリティグループの種類を指定します。関連オブジェクトを作成する場

合は、追加するオブジェクトの種類に適用される関連スコープを選択します。

たとえば、ユニバーサルを選択すると、関連オブジェクトは Active Directory ドメインがネイティブモード以上で機能している場合にのみ使用可能になります。



1. コンソールのルート（MMC）ウィンドウでコンテナを右クリックします。



2. 新規® Dell RAC オブジェクトの順に選択します。

新規オブジェクトウィンドウが開きます。



3. 新しいオブジェクトの名前を入力します。



4. 関連オブジェクトを選択します。



5. 関連オブジェクトのスコープを選択します。

メモ：特権オブジェクトは、関係する関連オブジェクトと同じドメインに作成する必要があります。



6. OK をクリックします。



関連オブジェクトへのオブジェクトの追加

関連オブジェクトプロパティウィンドウを使用すると、ユーザーまたはユーザーグループ、特権オブジェクト、RAC デバイスまたは RAC デバイスグループ間の関連付けができます。Windows

2000 モード以降のシステムを使用している場合は、ユニバーサルグループを使ってユーザーまたは RAC オブジェクトでドメインを拡張する必要があります。

ユーザーおよび RAC デバイスのグループを追加できます。デル関連グループとデルに関連しないグループを作成する手順は同じです。



ユーザーまたはユーザーグループの追加



1. 関連オブジェクトを右クリックし、プロパティを選択します。



2. ユーザータブを選択して、追加を選択します。



3. ユーザーまたはユーザーグループの名前を入力し、OK をクリックします。

特権オブジェクトタブをクリックして、RAC デバイスに認証するときにユーザーまたはユーザーグループの特権を定義する関連に、特権オブジェクトを追加します。関連オブジェクトに追加できる特権

オブジェクトは 1 つだけです。



特権の追加



1. 特権オブジェクトタブを選択し、追加をクリックします。



2. 特権オブジェクト名を入力し、OK をクリックします。

製品タブをクリックして、1 台または複数台の RAC デバイスを関連に追加します。関連デバイスは、ネットワークに接続している RAC デバイスのうち、定義したユーザーまたはユーザーグループが

使用できるものを指定します。関連オブジェクトには複数の RAC デバイスを追加できます。



RAC デバイスまたは RAC デバイスグループの追加

RAC デバイスまたは RAC デバイスグループを追加するには、次の手順に従います。



1. 製品タブを選択して追加をクリックします。



2. RAC デバイスまたは RAC デバイスグループの名前を入力し、OK をクリックします。



3. プロパティウィンドウで、適用、OK の順にクリックします。



拡張スキーマ Active Directory とウェブインタフェースを使用した CMC の設定



1. CMC ウェブインタフェースにログインします。



2. システムツリーでシャーシを選択します。



3. ユーザー認証®ディレクトリサービスをクリックします。

ディレクトリサービスページが表示されます。



4. Microsoft Active Directory （拡張スキーマ）を選択します。



5. 共通設定セクションで以下の操作を行います。：

a. Active Directory を有効にするチェックボックスが選択されていることを確認します。

b. ルートドメイン名を入力します。

c. タイムアウトの時間を秒単位で入力します。設定範囲：15 ～ 300秒デフォルト：90 秒



メモ：ルートドメイン名は x.y の命名規則に従う有効なドメイン名でなければなりません。x は 1 ～ 256 文字の ASCII 文字列で文字間にスペースは挿入できません。y は com、

edu、gov、int、mil、net、org などの有効なドメイン名の種類です。



6. オプション：ドメインコントローラとグローバルカタログの検索を直接呼び出す場合は、検索する AD サーバーの検索（オプション）チェックボックスをオンにし、以下の操作を行います。

a. ドメインコントローラテキストフィールドに、Active Directory サービスがインストールされているサーバーを入力します。

b. グローバルカタログテキストフィールドに、Active Directory ドメインコントローラ上のグローバルカタログの場所を入力します。グローバルカタログは Active Directory フォレスト

を検索するためのリソースを提供します。



7. 拡張スキーマの設定セクションで、以下の操作を行います。

a. CMC 名を入力します。CMC 名は Active Directory で CMC カードを一意に識別します。CMC 名は、ドメインコントローラで作成した新しい CMC オブジェクトのコモンネーム

（CN）と同じでなければなりません。CMC 名は 1 ～ 256 文字の ASCII 文字列で、文字間にスペースは挿入できません。

b. CMC ドメイン名を入力します（例：cmc.com）。CMC ドメイン名は、Active Directory CMC オブジェクトがあるドメインの DNS 名（文字列）です。名前は x.y から成る有効なドメ

イン名にします。x は文字間に空白文字のない 1 ～ 256 の ASCII 文字列で、y は com、edu、gov、int、mil、net、org などの有効なドメインタイプです。



8. 適用をクリックして設定を保存します。



9. 証明書を管理セクションで、テキストフィールドに証明書のファイルパスを入力するか、または参照をクリックして証明書ファイルを選択します。ファイルを CMC に移動するには、アップロー

ドボタンをクリックします。

デフォルトでは、SSL 証明書の検証が必要です。cfgActiveDirectory RACADM と GUI 内では、証明書の検証を無効にする新しい設定があります。

証明書の検証を無効にすると、リスクを伴います。

SSL 証明書検証を有効にするには（デフォルト）：

racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 1

SSL 証明書検証を無効にするには：

racadm config -g cfgActiveDirectory -o cfgADCertValidationEnable 0

ドメインコントローラの SSL 証明書には、ルート認証局による署名が必要です。CMC にアクセスする管理ステーションで、ルート認証局の署名付き証明書が使用可能でなければなりません。



10. 適用をクリックします。適用をクリックした後、CMC ウェブサーバーが自動的に再起動します。



11. CMC ウェブインタフェースに再びログインします。



12. システムツリーでシャーシを選択し、ネットワークタブをクリックしてからネットワークサブタブをクリックします。ネットワーク設定ページが表示されます。



13. DHCP を使用（CMCネットワークインターフェース IP アドレス用）が有効（チェックボックスがオン）の場合は、以下のいずれかを行います。

l DHCP を使用して DNS サーバーアドレスを取得するを選択して、DHCP サーバーが DNS サーバーアドレスを自動的に取得できるようにするか、

l DHCP を使用して DNS サーバーアドレスを取得するチェックボックスをオフにしたままで、フィールドにプライマリおよび代替 DNS サーバーの IP アドレスを入力して DNS サー

バーの IP アドレスを手動で設定します。



14. 変更の適用をクリックします。

CMC 拡張スキーマ Active Directory 機能の設定が完了します。



拡張スキーマ Active Directory と RACADM を使用した CMC の設定

ウェブインタフェースでなく、RACADM CLI ツールを使用した拡張スキーマで CMC Active Directory 機能を設定するには、次のコマンドを使用します。



1. CMC へのシリアル /Telnet/SSH テキストコンソールを開いて、ログイン後、以下を入力します。

racadm config -g cfgActiveDirectory -o cfgADEnable 1

racadm config -g cfgActiveDirectory -o cfgADType 1

racadm config -g cfgActiveDirectory -o cfgADRacDomain <CMC の完全修飾ドメイン名>

racadm config -g cfgActiveDirectory -o cfgADRootDomain <完全修飾ルートドメイン名>

メモ： IP アドレスを 0.0.0.0 に設定すると、CMC のサーバー検索が無効になります。

メモ：コンマ区切りのドメインコントローラまたはグローバルカタログサーバーのリストを指定できます。CMC では、最大 3 個の IP アドレスまたはホスト名を指定できます。

メモ：ドメインコントローラまたはグローバルカタログサーバーが、すべてのドメインとアプリケーションに対して正しく設定されていない場合は、既存のアプリケーション / ドメインの動作中

に予期しない結果が生成される可能性があります。

メモ：次のステップに進んで別のページへ移動する前に、設定を適用する必要があります。設定を適用しなければ、次のページへ移動したとき、入力した設定が失われます。

メモ：アップロードする証明書の相対ファイルパスがファイルパスの値に表示されます。フルパスと正しいファイル名とファイル拡張子を含む絶対ファイルパスを入力する必要がありま

す。

racadm config -g cfgActiveDirectory -o cfgADRacName <CMC のコモンネーム>

racadm sslcertupload -t 0x2 -f <ADS ルート CA 証明書> -r

racadm sslcertdownload -t 0x1 -f <CMC の SSL 証明書>

オプション：DNS サーバーから返されたサーバーを使用せずに、LDAP またはグローバルカタログサーバーを指定してユーザー名を検索する場合は、次のサーバーの指定オプションを有

効にします。

racadm config -g cfgActiveDirectory -o cfgADSpecifyServerEnable 1

サーバーの指定オプションを有効にした後、サーバーの IP アドレスまたは完全修飾ドメイン名（FQDN）を伴う LDAP サーバーとグローバルカタログを指定できます。FQDN はサーバーのホ

スト名とドメイン名で構成されます。

LDAP サーバーを指定するには以下のように入力します。

racadm config -g cfgActiveDirectory -o cfgADDomainController <AD ドメインコントローラの IP アドレス>

グローバルカタログサーバーを指定するには以下のように入力します。

racadm config -g cfgActiveDirectory -o cfgADGlobalCatalog <AD グローバルカタログの IP アドレス>



2. 次のいずれかのオプションを使用して DNS サーバーを指定します。

l CMC で DHCP が有効になり、DHCP サーバーによって自動的に取得された DNS アドレスを使用する場合は、次のコマンドを入力します。

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1

l CMC で DHCP が無効になっている場合や、DHCP が有効でも DNS の IP アドレスを手動で指定したい場合は、次のコマンドを入力します。

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0

racadm config -g cfgLanNetworking -o cfgDNSServer1 <プライマリ DNS IP アドレス>

racadm config -g cfgLanNetworking -o cfgDNSServer2 <セカンダリ DNS IP アドレス>

これで、拡張スキーマ機能の設定は完了しました。



よくあるお問い合わせ（FAQ）

表 8-9CMCと Active Directory の併用：よくあるお問い合わせ（FAQ)

メモ：このコマンドはリモート RACADM を介してのみ使用できます。リモート RACADM の情報については、RACADM へのリモートアクセスを参照してください。

メモ：サーバーの指定オプションを使用すると、認証局の署名付き証明書が、指定したサーバーの名前と照合されません。IP アドレスだけでなくホスト名も入力できるため、CMC シ

ステム管理者にとっては特に便利です。

メモ： IP アドレスを 0.0.0.0 に設定すると、CMC のサーバー検索が無効になります。

メモ：コンマ区切りの LDAP またはグローバルカタログサーバーのリストを指定できます。CMC では、最大 3 個の IP アドレスまたはホスト名を指定できます。

メモ：すべてのドメインとアプリケーションに LDAP が正しく設定されていないと、既存のアプリケーション / ドメインの機能中に予期せぬ結果を招くことがあります。



質問



回答

複数のツリーで Active Directory を使って CMC にログインできますか?

はい。CMC の Active Directory クエリアルゴリズムは、1 つのフォレストで複数のツリーをサポートします。

混在モードで（フォレストのドメインコントローラが Microsoft Windows NT

2000 や Windows Server 2003 など、異なるオペレーティングシステムが稼

動） Active Directory を使って CMC にログインできますか?

はい。混在モードでは、CMC クエリプロセスで使用されるすべてのオブジェクト（ユーザー、RAC デバイスオブジ

ェクト、関連オブジェクトなど）が同じドメインになければなりません。

デル拡張 Active Directory ユーザーとコンピュータスナップインはモードをチェックし、混合モードであれば、ドメ

イン間でオブジェクトを作成するためにユーザーを制限します。

CMC と Active Directory の併用では複数のドメイン環境をサポートしています

か?

はい。ドメインフォレストの機能レベルは、ネイティブか Windows 2003 モードであることが必要です。また、関

連オブジェクト、RAC ユーザーオブジェクト、および RAC デバイスオブジェクト（関連オブジェクトを含む）にあるグ

ループはユニバーサルグループでなければなりません。

これらの Dell 拡張オブジェクト（Dell 関連オブジェクト、Dell RAC デバイス、お

よび Dell 特権オブジェクト）をいくつかのドメインに分散できますか?

関連オブジェクトと特権オブジェクトは同じドメインの中に置く必要があります。Dell 拡張 Active Directory ユー

ザーとコンピュータスナップインを使用する場合、これら 2 つのオブジェクトを同じドメインに作成することが強制さ

れます。その他のオブジェクトは別のドメインに作成することができます。

ドメインコントローラの SSL 設定に制限はありますか?

はい。CMC では、信頼できる認証局の署名付き SSL 証明書を 1 つしかアップロードできないため、フォレスト内

の Active Directory サーバーの SSL 証明書はすべて同じルート認証局によって署名される必要があります。

新しい RAC 証明書を作成しアップロードしましたが、ウェブインタフェースが起動し

ません。

Microsoft 証明書サービスを使用して RAC 証明書を生成した場合、証明書の作成時にウェブ証明書でなく

ユーザー証明書を誤って選択した可能性があります。

回復するには、CSR を生成して、Microsoft 証明書サービスから新しいウェブ証明書を作成し、次の RACADM

コマンドを入力してアップロードします。

シングルサインオンの設定

Microsoft Windows 2000、Windows XP、Windows Server 2003、WindowsVista、および Windows Server 2008 は、ネットワーク認証プロトコル Kerberos を認証方法に採用し

ているため、ドメインにサインインしたユーザーは Exchange などの次に使用するアプリケーションに自動的にサインインしたり、シングルサインオンできます。

CMC バージョン 2.10 以降では、CMC は Kerberos を使ってシングルサインオンと Smart Card ログオンという 2 つのログインタイプも使用できるようになりました。シングルサインオンでログイン

する場合、CMC はクライアントシステムの資格情報を使用します。この資格情報は、有効な ActiveDirectoryアカウントを使ってログインした後でオペレーティングシステムによってキャッシュされま

す。



システム要件

Kerberos 認証を使用するには、ネットワークには次の項目が必要です。

l DNS サーバー

l Microsoft Active Directory Server

l Kerberos キー配付センター（Active Directory サーバーソフトウェアに同梱）

l DHCP サーバー（推奨）

l DNS サーバー用のリバースゾーンには Active Directory サーバーと CMC 用のエントリが必要



クライアントシステム

l Smart Card でログインする場合は、クライアントシステムには Microsoft Visual C++ 2005 再頒布可能なプログラムが必要です。詳細については、

www.microsoft.com/downloads/details.aspx?FamilyID=32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en を参照してください。

l シングルサインオンと Smart Card ログインでは、クライアントシステムは Active Directory ドメインと Kerberos 領域の一部でなければなりません。



CMC

l CMC にはファームウェアバージョン 2.10 以降が必要

l 各 CMC には Active Directory アカウントが必要

l CMC は Active Directory ドメインと Kerberos 領域の一部でなければなりません



設定の実行



必要条件

l Active Directory（AD）の Kerberos 領域とキー配付センター（KDC）が設定済みである（ksetup）

racadm sslcsrgen [-g]

[-f {ファイル名}]

racadm sslcertupload -t 1 -f {web_sslcert}

Active Directory 認証を使って CMC にログインできない場合は、どうすればよ

いですか?この問題はどのようにトラブルシューティングできますか?

1. ログインに NetBIOS 名でなく、正しいユーザードメイン名が使用されていることを確認します。

2. ローカル CMC ユーザーアカウントがある場合は、ローカルの資格情報を使用して CMC にログインしま

す。

ログインした後、次の手順を実行してください。

a. CMC Active Directory 設定ページの Active Directory を有効にするチェックボックスがオンに

なっていることを確認します。

b. CMC ネットワーク設定ページの DNS 設定が正しいことを確認します。

c. Active Directory ルート認証局の署名付き証明書から Active Directory 証明書を CMC にアップロ

ードしたことを確認します。

d. ドメインコントローラの SSL 証明書の有効期限が切れていないことを確認します。

e. CMC 名、ルートドメイン名、および CMC ドメイン名が Active Directory の環境設定と一致するこ

とを確認します。

f. CMC のパスワードが 127 文字以内であることを確認します。CMC は最大 256 文字のパスワードを

サポートしていますが、Active Directory がサポートしているパスワード長は最大 127 文字です。

メモ：ログイン方法を選択しても、他のログインインタフェース（SSH など）に対してポリシー属性が設定されるわけではありません。他のログインインターフェースに対しては別のポリシー属性を

設定する必要があります。すべてのログインインタフェースを無効にするには、サービスページに移動してからすべて（または一部の）ログインインタフェースを無効にします。

メモ：メモ： Windows 2003 で Active Directory を使用する場合は、クライアントシステムに最新のサービスパックとパッチがインストールされていることを確認してください。

Windows 2008 で Active Directory を使用する場合は、SP1 と次のホットフィックスがインストールされていることを確認してください。

KTPASS ユーティリティ用 Windows6.0-KB951191-x86.msu。このパッチがないと、ユーティリティで不良な keytab ファイルが生成されます。

LDAP バインド中に GSS_API および SSL トランザクションに使用する Windows6.0-KB957072-x86.msu。

l クロックドリフトやリバースルックアップの問題を回避するための強力な NTP および DNS インフラストラクチャ

l 認証されたメンバを含んだ CMC 標準スキーマ役割グループ



Active Directory の設定

アカウントオプションの CMC プロパティダイアログボックスで、以下の設定を行います。

l アカウントは委任に対して信頼されている - CMC は、このオプションを選択するときに作成される、転送された資格情報を現在使用していません。このオプションは、他のサービス条件によ

って、選択できる場合とできない場合があります。

l アカウントは重要なので委任できない - このオプションは、他のサービス条件によって、選択できる場合とできない場合があります。

l このアカウントに Kerberos DES 暗号化を使う - このオプションを選択します。

l Kerberos 事前認証を必要としない - このオプションは選択しません。

Microsoft Windows の一部である ktpass ユーティリティをドメインコントローラ（Active Directory サーバー）上で実行し、ここで CMC を Active Directory 内のユーザーアカウントにマッピン

グします。例：

C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out

c:\krbkeytab

この手順に従うと、CMC にアップロードする必要がある keytab ファイルが生成されます。



CMC の設定

CMC が Active Directory で設定した標準スキーマ役割グループ設定を使用するように設定します。詳細については、「CMC にアクセスするための標準スキーマ Active Directory の設定」を参

照してください。



Kerberos Keytab ファイルのアップロード

Kerberos keytab ファイルは Kerberos データセンター（KDC）に対する CMC のユーザ名とパスワード資格情報として使用され、これによって Active Directory にアクセスすることができます。

Kerberos 領域の各 CMC は Active Directory を使って登録し、一意の keytab ファイルがあることが必要です。

keytab ファイルをアップロードするには：



1. ユーザー認証タブ® ディレクトリサービスサブタブに移動します。 Microsoft Active Directory Standard または拡張スキーマが選択されていることを確認します。選択されてい

ない場合は、好みの設定を選択してから適用をクリックします。



2. Kerberos Keytab のアップロードセクションで参照をクリックし、 keytab ファイルの保存先フォルダに移動してからアップロードをクリックします。

アップロードを完了したら、アップロードに成功または失敗したかを通知するメッセージボックスが表示されます。



シングルサインオンの有効化



1. Chassis Management Controller Network Security タブ® Active Directory® Active Directory の設定をクリックします。

Active Directory の設定と管理ページが表示されます。



2. Active Directory の設定と管理ページで、次を選択します。

l シングルサインオン - このオプションでは、Active Directory にログインしたときに取得したキャッシュされた資格情報を使用して、CMC にログインできます。



3. ページの下までスクロールし、適用をクリックします。

CLI コマンドテスト機能を使用すれば、Kerberos 認証によって Active Directory をテストできます。

次のように入力します。

メモ： cmcname.domainname.com には RFC の要求に従って小文字を使用し、領域名 @REALM_NAME には大文字を使用します。さらに、CMC では Kerberos 認証用の DES-CBC-

MD5 タイプの暗号化もサポートされています。

メモ： keytab には暗号化キーが含まれているので、安全な場所に保管してください。ktpass ユーティリティの詳細については、Microsoft ウェブサイト

technet2.microsoft.com/windowsserver/en/library/64042138-9a5a-4981-84e9-d576a8db0d051033.mspx?mfr=true を参照してください。

メモ：本項で説明された設定手順は、CMC のウェブアクセスに対してのみ適用されます。

メモ：このオプションでは、セキュアシェル（SSH）、Telnet、シリアル、リモート RACADM など、すべてのコマンドライン帯域外インタフェースは変更されません。

testfeature -f adkrb -u <ユーザー>@<ドメイン>

ここで、ユーザーは有効な Active Directory ユーザーアカウントを指します。

コマンドが正常に実行されると、CMC は Kerberos 資格情報を取得し、ユーザーの Active Directory アカウントにアクセスできます。コマンドが正常に実行されない場合は、エラーを訂正してコマン

ドを実行し直してください。詳細については、support.dell.com/manuals の『Chassis Management Controller 管理者リファレンスガイド』を参照してください。



シングルサインオンのログインに使用するブラウザの設定

シングルサインオンは、Internet Explorer バージョン 6.0 以降と Firefox バージョン 3.0 以降でサポートされています。



Internet Explorer



1. Internet Explorer で、ツール ®インターネットオプションを選択します。



2. セキュリティタブのセキュリティ設定を表示または変更するゾーンを選択するの下で、ローカルイントラネットを選択します。



3. サイトをクリックします。

ローカルイントラネットダイアログボックスが表示されます。



4. 詳細をクリックします。

ローカルイントラネットの詳細設定ダイアログボックスが表示されます。



5. このサイトをゾーンに追加するで、CMC の名前とそれが属するドメインを入力し、追加をクリックします。



Mozilla Firefox



1. Firefox では、アドレスバーに about:config と入力します。



2. フィルタテキストボックスに、negotiate と入力します。

ブラウザには、「negotiate」という単語を含んだプリファレンス名のリストが表示されます。



3. 表示されたリストから、network.negotiate-auth.trusted-uris をダブルクリックします。



4. 文字列値の入力ダイアログボックスに、CMC のドメイン名を入力し、OK をクリックします。



シングルサインオンを使用した CMC へのログイン



1. ネットワークアカウントを使ってクライアントシステムにログインします。



2. 以下を使用して CMC ウェブページにアクセスします。

https://<cmcname.domain-name>

例：cmc-6G2WXF1.cmcad.lab

ここで、cmc-6G2WXF1 は CMC 名を表します。

cmcad.lab はドメイン名を表します。

メモ：次の手順は、CMC が Kerberos 認証でシングルサインオンを使用する場合にのみ適用可能です。

メモ：対象ドメインでは、ワイルドカード（*）を使用してすべてのデバイス / ユーザーを指定できます。

メモ：ブラウザに「保証が無効になる場合があります」という警告が表示された場合は、注意するので大丈夫ですをクリックします。

メモ： IP アドレスを使って、シングルサインオンまたはスマートカードにログインすることはできません。Kerberos は、完全修飾ドメイン名（FQDN）に対してユーザーの資格情報を検証します。

メモ：デフォルトの HTTPS ポート番号（ポート 80）を変更した場合は、<cmcname.domain-name>:<port number> を使って CMC ウェブページにアクセスします。ここで、

cmcname は CMC の CMC ホスト名、domain-name はドメイン名、port number は HTTPS のポート番号をそれぞれ表します。

CMC のシングルサインオンページが表示されます。



3. ログインをクリックします。

有効な Active Directory アカウントを使ってログインしたときにブラウザによってキャッシュされた Kerberos 資格情報を使用すると、CMC にログインできます。ログインに失敗すると、ブラウ

ザは通常の CMC ログインページにリダイレクトされます。

スマートカードによる二要素認証の設定

従来の認証方式では、ユーザーの認証にユーザー名とパスワードを使用します。一方、2 要素認証ではユーザーがパスワードまたは PIN と秘密キーまたはデジタル証明書を含んだ物理カードを持っ

ている必要があるため、高レベルのセキュリティを実現できます。ネットワーク認証プロトコルの Kerberos では、この 2 要素認証メカニズムを使用しており、これによってシステムはその信頼性を確認

できます。MicrosoftWindows2000、Windows XP、Windows Server 2003、Windows Vista、および Windows Server 2008 では、Kerberos を認証方法として優先的に使用しま

す。CMC バージョン 2.10 以降では、CMC は Kerberos を使用してスマートカードログインをサポートできるようになりました。



システム要件

スマートカードの「システム要件」は、シングルサインオンと同じです。



設定の実行

スマートカードの「必要条件」は、シングルサインオンと同じです。



Active Directory の設定



1. Active Dir ectory の Kerberos 領域とキー配付センター（KDC）が設定されていない場合は、設定してください（ksetup）。



2. 各 CMC の Active Directory を作成し、事前認証でなく Kerberos DES 暗号化を使用できるように設定します。



3. Ktpass を使用して CMC ユーザーをキー配付センターに登録します（これにより、CMC にアップロードするようにキーも出力されます）。



CMC の設定

CMC が Active Directory で設定した標準スキーマ役割グループ設定を使用するように設定します。詳細については、「CMC にアクセスするための標準スキーマ Active Directory の設定」を参

照してください。



Kerberos Keytab ファイルのアップロード

Kerberos keytab ファイルは Kerberos データセンター（KDC）に対する CMC のユーザ名とパスワード資格情報として使用され、これによって Active Directory にアクセスすることができます。

Kerberos 領域の各 CMC は Active Directory を使って登録し、一意の keytab ファイルがあることが必要です。

keytab ファイルをアップロードするには：



1. ユーザー認証タブ® ディレクトリサービスサブタブに移動します。 Microsoft Active Directory Standard または拡張スキーマが選択されていることを確認します。選択されてい

ない場合は、任意の設定を選択してから適用をクリックします。



2. Kerberos Keytab のアップロードセクションで参照をクリックし、 keytab ファイルの保存先フォルダに移動してからアップロードをクリックします。

アップロードを完了したら、アップロードに成功または失敗したかを通知するメッセージボックスが表示されます。



スマートカード認証の有効化



メモ： Active Directory ドメインにログインしないで Internet Explorer 以外のブラウザを使用している場合は、ログインに失敗し、ブラウザには空白ページのみが表示されます。

メモ：ログイン方法を選択しても、他のログインインタフェース（SSH など）に対してポリシー属性が設定されるわけではありません。他のログインインターフェースに対しては別のポリシー属性を

設定する必要があります。すべてのログインインタフェースを無効にするには、サービスページに移動してからすべて（または一部の）ログインインタフェースを無効にします。

メモ：強力な NTP および DNS インフラストラクチャによって、クロックドリフトやリバースルックアップの問題を確実に回避します。

メモ：本項で説明された設定手順は、CMC のウェブアクセスに対してのみ適用されます。

1. ユーザー認証タブ® ディレクトリサービスサブタブに移動します。 Microsoft Active Directory Standard または拡張スキーマが選択されていることを確認します。



2. 共通設定セクションで以下を選択します。

l スマートカード - このオプションでは、スマートカードをリーダーに挿入し、PIN 番号を入力する必要があります。



3. ページの下までスクロールし、適用をクリックします。

CLI コマンドテスト機能を使用すれば、Kerberos 認証によって Active Directory をテストできます。

次のように入力します。

testfeature -f adkrb -u <ユーザー>@<ドメイン>

ここで、ユーザーは有効な Active Directory ユーザーアカウントを指します。

コマンドが正常に実行されると、CMC は Kerberos 資格情報を取得し、ユーザーの Active Directory アカウントにアクセスできます。コマンドが正常に実行されない場合は、エラーを訂正してコマン

ドを実行し直してください。詳細については、RACADM コマンドの testfeature マニュアルを参照してください。



スマートカードのログインに使用するブラウザの設定



Mozilla Firefox

CMC 2.10 では、Firefox ブラウザを使ってスマートカードにログインすることはできません。



Internet Explorer

インターネットブラウザが Active-X プラグインをダウンロードするように設定されていることを確認します。



スマートカードを使用した CMC へのログイン



1. ネットワークアカウントを使ってクライアントシステムにログインします。



2. 以下を使用して CMC ウェブページにアクセスします。

https://<cmcname.domain-name>

例：cmc-6G2WXF1.cmcad.lab

ここで、cmc-6G2WXF1 は CMC 名を表します。

cmcad.lab はドメイン名を表します。

CMC のシングルサインオンページが表示され、スマートカードを挿入を求められます。



3. スマートカードをリーダーに挿入して OK をクリックします。

PIN ポップアップダイアログボックスが表示されます。



4. オプションで、セッションタイムアウトを選択します。これは、アクティビティを行わずにログインしたままにできる時間を表します。デフォルト値は、ウェブサービスアイドルタイムアウトとして定義さ

れています。詳細については、サービスの設定を参照してください。



5. パスワードを入力して、OK をクリックします。



スマートカードログイン時のトラブルシューティング

以下は、スマートカードにアクセスできないときのデバッグに役立つヒントです。

メモ：このオプションでは、セキュアシェル（SSH）、Telnet、シリアル、リモート RACADM など、すべてのコマンドライン帯域外インタフェースは変更されません。

メモ： IP アドレスを使って、シングルサインオンまたはスマートカードにログインすることはできません。Kerberos は、完全修飾ドメイン名（FQDN）に対してユーザーの資格情報を検証します。

メモ：デフォルトの HTTPS ポート番号（ポート 80）を変更した場合は、<cmcname.domain-name>:<port number> を使って CMC ウェブページにアクセスします。ここで、

cmcname は CMC の CMC ホスト名、domain-name はドメイン名、port number は HTTPS のポート番号をそれぞれ表します。

ページが読み込まれています...

Dell Chassis Management Controller Version 3.0 ユーザーガイド

Dell Chassis Management Controller Version 3.0 ユーザーガイド

関連論文