Users Guide

セキュリティ向上のためのハッシュパスワードの使用

一方向ハッシュフォーマットを使用して、ユーザーパスワードと BIOS パスワードを設定できます。ユーザー認証のメカニズム

は影響を受けず（SNMPv3 および IPMI を除く）、パスワードをプレーンテキスト形式で入力できます。

新しいパスワードハッシュ機能により次のことが可能になります。

● 独自の SHA256 ハッシュを生成して iDRAC ユーザーパスワードと BIOS パスワードを設定できます。これにより、サーバ構

成プロファイル、RACADM、および WSMAN で SHA256 の値を指定できます。SHA256 パスワードの値を入力する場合

は、SNMPv3 および IPMI を介して認証することはできません。

● 現在のプレーンテキストメカニズムを使用して、すべての iDRAC ユーザーアカウントと BIOS パスワードを含むテンプレー

トサーバをセットアップできます。サーバがセットアップされると、パスワードハッシュ値と共にサーバ構成プロファイル

をエクスポートできます。このエクスポートには、SNMPv3 認証に必要なハッシュ値が含まれます。このプロファイルを

インポートすると、ハッシュ化されたパスワード値を設定されたユーザーへの IPMI 認証が失われ、F2 IDRAC インタフェー

スに、ユーザーアカウントが無効であると表示されます。

● iDRAC GUI などののその他のインターフェイスにはユーザーアカウントが有効であると表示されます。

メモ: デル第 12 世代 PowerEdge サーバーをバージョン 2.xx.xx.xx から 1.xx.xx にダウングレードするときは、サーバーがハ

ッシュ認証で設定されていると、パスワードがデフォルトに設定されていない限り、いずれのインタフェースにもログイ

ンできません。

SHA 256 を使用して、ソルトあり、またはソルトなしでハッシュパスワードを生成することができます。

ハッシュパスワードを含め、エクスポートするにはサーバー制御権限が必要です。

すべてのアカウントへのアクセスが失われた場合は、iDRAC 設定ユーティリティまたはローカル RACADM を使用し、iDRAC

のデフォルトタスクへのリセットを実行します。

iDRAC のユーザーアカウントのパスワードが SHA256 パスワードハッシュのみで設定され、その他のハッシュ（SHA1v3Key ま

たは MD5v3Key）を使用していない場合、SNMP v3 を介した認証は使用できません。

RACADM を使用したハッシュパスワード

ハッシュパスワードを設定するには、set コマンドで次のオブジェクトを使用します。

● iDRAC.Users.SHA256Password

● iDRAC.Users.SHA256PasswordSalt

エクスポートされたサーバー構成プロファイルにハッシュパスワードを含めるには、次のコマンドを使用します。

racadm get -f <file name> -l <NFS / CIFS / HTTP / HTTPS share> -u <username> -p

<password> -t <filetype> --includePH

関連するハッシュが設定された場合は、ソルト属性を設定する必要があります。

メモ: この属性は、INI 設定ファイルには適用されません。

サーバー構成プロファイルのハッシュパスワード

新しいハッシュパスワードは、サーバー構成プロファイルでオプションでエクスポートできます。

サーバー構成プロファイルをインポートする場合は、既存のパスワード属性または新しいパスワードハッシュ属性をコメント解

除できます。その両方がコメント解除されると、エラーが生成され、パスワードが設定されません。コメントされた属性は、

インポート時に適用されません。

SNMPv3 および IPMI 認証なしでのハッシュパスワードの生成

SNMPv3 および IPMI 認証なしでハッシュパスワードを生成するには、次の手順を実行します。

1. iDRAC ユーザーアカウントの場合は、SHA256 を使用してパスワードをソルト化する必要があります。

パスワードをソルト化する場合は、16 バイトのバイナリ文字列が付加されます。ソルトの長さは 16 バイトである必要があ

ります（提供される場合）。

2. インポートされたサーバー構成プロファイル、RACADM コマンド、または WSMAN でハッシュ値とソルトを提供します。

管理下システムと管理ステーションのセットアップ