Users Guide
セキュリティ向上のためのハッシュパスワードの使用
一方向ハッシュフォーマットを使用して、ユーザーパスワードと BIOS パスワードを設定できます。ユーザー認証のメカニズム
は影響を受けず(SNMPv3 および IPMI を除く)、パスワードをプレーンテキスト形式で入力できます。
新しいパスワードハッシュ機能により次のことが可能になります。
● 独自の SHA256 ハッシュを生成して iDRAC ユーザーパスワードと BIOS パスワードを設定できます。これにより、サーバ構
成プロファイル、RACADM、および WSMAN で SHA256 の値を指定できます。SHA256 パスワードの値を入力する場合
は、SNMPv3 および IPMI を介して認証することはできません。
● 現在のプレーンテキストメカニズムを使用して、すべての iDRAC ユーザーアカウントと BIOS パスワードを含むテンプレー
トサーバをセットアップできます。サーバがセットアップされると、パスワードハッシュ値と共にサーバ構成プロファイル
をエクスポートできます。このエクスポートには、SNMPv3 認証に必要なハッシュ値が含まれます。このプロファイルを
インポートすると、ハッシュ化されたパスワード値を設定されたユーザーへの IPMI 認証が失われ、F2 IDRAC インタフェー
スに、ユーザーアカウントが無効であると表示されます。
● iDRAC GUI などののその他のインターフェイスにはユーザーアカウントが有効であると表示されます。
メモ: デル第 12 世代 PowerEdge サーバーをバージョン 2.xx.xx.xx から 1.xx.xx にダウングレードするときは、サーバーがハ
ッシュ認証で設定されていると、パスワードがデフォルトに設定されていない限り、いずれのインタフェースにもログイ
ンできません。
SHA 256 を使用して、ソルトあり、またはソルトなしでハッシュパスワードを生成することができます。
ハッシュパスワードを含め、エクスポートするにはサーバー制御権限が必要です。
すべてのアカウントへのアクセスが失われた場合は、iDRAC 設定ユーティリティまたはローカル RACADM を使用し、iDRAC
のデフォルトタスクへのリセットを実行します。
iDRAC のユーザーアカウントのパスワードが SHA256 パスワードハッシュのみで設定され、その他のハッシュ(SHA1v3Key ま
たは MD5v3Key)を使用していない場合、SNMP v3 を介した認証は使用できません。
RACADM を使用したハッシュパスワード
ハッシュパスワードを設定するには、set コマンドで次のオブジェクトを使用します。
● iDRAC.Users.SHA256Password
● iDRAC.Users.SHA256PasswordSalt
エクスポートされたサーバー構成プロファイルにハッシュパスワードを含めるには、次のコマンドを使用します。
racadm get -f <file name> -l <NFS / CIFS / HTTP / HTTPS share> -u <username> -p
<password> -t <filetype> --includePH
関連するハッシュが設定された場合は、ソルト属性を設定する必要があります。
メモ: この属性は、INI 設定ファイルには適用されません。
サーバー構成プロファイルのハッシュパスワード
新しいハッシュパスワードは、サーバー構成プロファイルでオプションでエクスポートできます。
サーバー構成プロファイルをインポートする場合は、既存のパスワード属性または新しいパスワードハッシュ属性をコメント解
除できます。その両方がコメント解除されると、エラーが生成され、パスワードが設定されません。コメントされた属性は、
インポート時に適用されません。
SNMPv3 および IPMI 認証なしでのハッシュパスワードの生成
SNMPv3 および IPMI 認証なしでハッシュパスワードを生成するには、次の手順を実行します。
1. iDRAC ユーザーアカウントの場合は、SHA256 を使用してパスワードをソルト化する必要があります。
パスワードをソルト化する場合は、16 バイトのバイナリ文字列が付加されます。ソルトの長さは 16 バイトである必要があ
ります(提供される場合)。
2. インポートされたサーバー構成プロファイル、RACADM コマンド、または WSMAN でハッシュ値とソルトを提供します。
50
管理下システムと管理ステーションのセットアップ