Users Guide

ManualsBrandsDell ManualsC SeriesPowerEdge R740xd

151

152

153

154

155

156

157

158

159

160

メモ: 前述の設定を変更した後、管理ステーションの Active Directory ユーザーからログオフしてログインします。

Kerberos Keytab ファイルの生成

SSO およびスマートカードログイン認証をサポートするために、iDRAC は Windows Kerberos ネットワーク上の Kerberos 化された

サービスとして、自らを有効にする設定をサポートします。iDRAC での Kerberos 設定では、Windows Server Active Directory で、

Windows Server 以外の Kerberos サービスをセキュリティプリンシパルとして設定する手順と同じ手順を実行します。

ktpass ツール（サーバインストール CD / DVD の一部として Microsoft から入手できます）を使用して、ユーザーアカウントにバイ

ンドするサービスプリンシパル名（SPN）を作成し、信頼情報を MIT 形式の Kerberos keytab ファイルにエクスポートします。こ

れにより、外部ユーザーやシステムとキー配布センター（KDC）の間の信頼関係が有効になります。keytab ファイルには暗号キー

が含まれており、サーバと KDC の間での情報の暗号化に使用されます。ktpass ツールによって、Kerberos 認証をサポートする

UNIX ベースのサービスは Windows Server Kerberos KDC サービスが提供する相互運用性機能を利用できるようになります。ktpass

ユーティリティの詳細については、マイクロソフトの Web サイト technet.microsoft.com/en-us/library/

cc779157(WS.10).aspx を参照してください。

keytab ファイルを生成する前に、ktpass コマンドの -mapuser オプションと使用する Active Directory ユーザーアカウントを作成

する必要があります。さらに、このアカウントは、生成した keytab ファイルをアップロードする iDRAC DNS 名と同じ名前にする

必要があります。

ktpass ツールを使用して keytab ファイルを生成するには、次の手順を実行します。

1. ktpass ユーティリティを、Active Directory 内のユーザーアカウントに iDRAC をマップするドメインコントローラ（Active

Directory サーバー）上で実行します。

2. 次の ktpass コマンドを使用して、Kerberos keytab ファイルを作成します。

C:\> ktpass.exe -princ HTTP/idrac7name.domainname.com@DOMAINNAME.COM -mapuser DOMAINNAME

\username -mapOp set -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass [password] -out

c:\krbkeytab

暗号化タイプは、AES256-SHA1 です。プリンシパルタイプは、KRB5_NT_PRINCIPAL です。サービスプリンシパル名がマップ

されているユーザーアカウントのプロパティは、Use AES 256 encryption types for this account(このアカウントに AES 暗号

化タイプを使用する) プロパティが有効になっている必要があります。

メモ

: iDRACname およびサービスプリンシパル名には小文字を使用します。ドメイン名には、例に示されているように

大文字を使用します。

3. 次のコマンドを実行します。

C:\>setspn -a HTTP/iDRACname.domainname.com username

keytab ファイルが生成されます。

メモ

: keytab ファイルが作成される iDRAC ユーザーに問題がある場合は、新しいユーザーと新しい keytab ファイルを作

成します。最初に作成されたファイルと同じ keytab ファイルが再度実行されると、正しく設定されません。

ウェブインタフェースを使用した Active Directory ユーザー

のための iDRAC SSO ログインの設定

Active Directory SSO ログイン用に iDRAC を設定するには、次の手順を実行します。

メモ:

オプションの詳細については、『iDRAC オンラインヘルプ』を参照してください。

1. iDRAC DNS 名が iDRAC 完全修飾ドメイン名に一致するかどうかを確認します。確認するには、iDRAC Web インターフェイス

で、［iDRAC 設定］ > ［ネットワーク］ > ［共通設定］の順に移動し、［DNS iDRAC 名］プロパティを調べます。

2. 標準スキーマまたは拡張スキーマに基づいてユーザーアカウントをセットアップするために Active Directory を設定する間、次

の 2 つの追加手順を実行して SSO を設定します。

• Active Directory の設定と管理手順 4 の 1 ページで keytab ファイルをアップロードします。

• Active Directory の設定と管理手順 4 の 2 ページでシングルサインオンの有効化オプションを選択します。

158

シングルサインオンまたはスマートカードログインのための iDRAC の設定