Users Guide
Active Directory ルートドメイン内のコンピュータとしての iDRAC の登録
Active Directory ルートドメインに iDRAC を登録するには、次の手順を実行します。
1. 概要 → iDRAC 設定 → ネットワーク → ネットワーク とクリックします。
ネットワーク ページが表示されます。
2. 有効な 優先 / 代替 DNS サーバー の IP アドレスを指定します。この値は、ルートドメインの一部である
有効な DNS サーバーの IP アドレスです。
3. iDRAC の DNS への登録 を選択します。
4. 有効な DNS ドメイン名 を入力します。
5. ネットワーク DNS の設定が Active Directory の DNS 情報と一致することを確認します。
オプションの詳細については、『iDRAC オンラインヘルプ』を参照してください。
Kerberos Keytab ファイルの生成
SSO およびスマートカードログイン認証をサポートするために、iDRAC は Windows Kerberos ネットワーク
上の Kerberos 化されたサービスとして、自らを有効にする設定をサポートします。iDRAC での Kerberos 設
定では、Windows Server Active Directory で、Windows Server 以外の Kerberos サービスをセキュリティプ
リンシパルとして設定する手順と同じ手順を実行します。
ktpass ツール(サーバーインストール CD / DVD の一部として Microsoft から入手できます)を使用して、
ユーザーアカウントにバインドするサービスプリンシパル名
(SPN)を作成し、信頼情報を MIT 形式の
Kerberos keytab ファイルにエクスポートします。これにより、外部ユーザーやシステムとキー配布センター
(KDC)の間の信頼関係が有効になります。keytab ファイルには暗号キーが含まれており、サーバーと KDC
の間での情報の暗号化に使用されます。ktpass ツールによって、Kerberos 認証をサポートする UNIX ベース
のサービスは Windows Server Kerberos KDC サービスが提供する相互運用性機能を利用できるようになり
ます。ktpass ユーティリティの詳細については、マイクロソフトの Web サイト
technet.microsoft.com/en-us/library/cc779157(WS.10).aspx を参照してください。
keytab ファイルを生成する前に、ktpass コマンドの -mapuser オプションと使用する Active Directory ユ
ーザーアカウントを作成する必要があります。さらに、このアカウントは、生成した keytab ファイルをアッ
プロードする iDRAC DNS 名と同じ名前にする必要があります。
ktpass ツールを使用して keytab ファイルを生成するには、次の手順を実行します。
1. ktpass ユーティリティを、Active Directory 内のユーザーアカウントに iDRAC をマップするドメインコ
ントローラ(Active Directory サーバー)上で実行します。
2. 次の ktpass コマンドを使用して、Kerberos keytab ファイルを作成します。
C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -
mapuser DOMAINNAME\username -mapOp set -crypto AES256-SHA1 -ptype
KRB5_NT_PRINCIPAL -pass [password] -out c:\krbkeytab
暗号化タイプは、AES256-SHA1 です。プリンシパルタイプは、KRB5_NT_PRINCIPAL です。サービス
プリンシパル名がマップされているユーザーアカウントのプロパティは、このアカウントに AES 暗号化
タイプを使用する プロパティが有効になっている必要があります。
メモ: iDRACname および サービスプリンシパル名 には小文字を使用します。ドメイン名には、例
に示されているように大文字を使用します。
3. 次のコマンドを実行します。
C:\>setspn -a HTTP/iDRACname.domainname.com username
176