1. シ ス テ ム ツリーを展開し、リ モ ー ト ア ク セ ス をクリックします。
2. ネ ッ ト ワ ー ク / セ キ ュ リ テ ィ タブをクリックして サ ー ビ ス をクリックします。
3. 必要に応じて次のサービスを設定します。
l ローカル設定(表 22-6)
l ウェブサーバー(表 22-7)
l SSH(表 22-8)
l Telnet(表 22-9)
l リモート RACADM(表 22-10)
l SNMP エージェント(表 22-11)
l 自動システムリカバリエージェント(表 22-12)
自 動シ ス テ ム リ カ バ リ エ ー ジ ェ ン ト を使用して、iDRAC6 の 前 回の ク ラ ッ シ ュ画面 機能を有効にします。
4. 変更の適 用 をクリックします。
電 子メ ー ル CSR に関連付けられている電子メールアドレス。会社の電子メールアドレスや、CSR に関連付けたいその他の電子メールアドレスを入力できます。このフィールドは省略可能です。
ボタン
説明
印 刷 証明書署名要求(CSR)の生 成 ページを印刷します。
更 新 証明書署名要求(CSR) の生 成 ページを再ロードします。
SSL メ イ ン メ ニ ュ ー に戻る SSL メ イ ン メ ニ ュ ー ページに戻ります。
生 成 CSR を生成します。
フ ィ ー ル ド
説明
シ リ ア ル番号 証明書のシリアル番号
タ イ ト ル情 報 タイトルによって入力された証明書の属性 発行 者 情 報 発行者によって返された証明書の属性 有効期 間の開 始 証明書の発行日
有効期 間の終 了 証明書の失効日
メ モ: これらの設定を変更するには、iDRAC の設 定 権限が必要です。また、リモート RACADM コマンドラインユーティリティは、ユーザーが root としてログインしているときにのみ有効にで きます。
メ モ: iDRAC6 で 前 回ク ラ ッ シ ュ画面 が機能するためには、Server Administrator をインストールするときに 処置 を シ ス テ ム の再 起 動、 シ ス テ ム の電 源を切る、または シ ス テ ム の電 源を入れ な お す に設定して 自 動 回 復 機能をアクティブにする必要があります。
5. サ ー ビ ス ページの適切なボタンをクリックして続行します。「表 22-13」 を参照してください。
表 22-6 ローカル設 定
表 22-7 ウェブサーバーの設 定
表 22-8 SSH の設 定
表 22-9 Telnet の設 定
表 22-10 リモート RACADM の設 定
表 22-11 SNMP エージェントの設 定
表 22-12 自 動システムリカバリエージェントの設 定
表 22-13 サービスページのボタン
設 定
説明 オプション ROM を使って iDRAC ローカル設定を 無効にする
オプション ROM を使って iDRAC のローカル設定を無効にします。システム再起動中に <Ctrl+E> を押してセットアップモジュールを開始する ようにプロンプトが表示されます。
RACADM を使って iDRAC ローカル設定を無効に する
ローカル RACADM を使って iDRAC のローカル設定を無効にします。
設 定
説明
有効 ウェブサーバーを有効または無効にします。オン=有効、オフ=無効 最 大セ ッ シ ョ ン
数
システムで許可される同時セッションの最大数。
ア ク テ ィ ブ セ ッ シ ョ ン数
システムの現在のセッション数(最 大セ ッ シ ョ ン数 以下)。
タ イ ム ア ウ ト 接続がアイドル状態でいられる秒数。タイムアウトになると、セッションはキャンセルされます。タイムアウト設定の変更はすぐに適用され、現在のウェブインタフェースセッションが終 了します。ウェブサーバーもリセットされます。新しいウェブインタフェースセッションが始まるまで数分お待ちください。タイムアウト範囲は 60 ~ 10800 秒です。デフォルト値は 1800 秒です。
HTTP ポ ー ト 番号
iDRAC がサーバー接続に使用するポート。デフォルト設定は 80 秒です。
HTTPS ポ ー
ト 番号 iDRAC がサーバー接続に使用するポート。デフォルト設定は 443 秒です。
設 定
説明
有効 SSH を有効または無効にします。チェックボックスが選択されている場合、SSH は有効であることを示します。
タ イ ム ア ウ ト セキュアシェルのアイドルタイムアウト(秒)。タイムアウト範囲は 60 ~ 1920 秒です。タイムアウト機能を無効にするには、0 秒を入力します。デフォルトは 300 です。
ポ ー ト番号 SSH 接続で iDRAC6 が通信するポート。デフォルトは 22 です。
設 定
説明
有効 Telnet を有効または無効にします。チェックボックスがオンの場合は、Telnet が有効になります。
タ イ ム ア ウ ト Telnet のアイドルタイムアウト(秒)。タイムアウト時間の範囲は 60 ~ 1920 秒です。タイムアウト機能を無効にするには、0 秒を入力します。デフォルトは 300 です。
ポ ー ト番号 iDRAC6 が Telnet 接続を待ち受けるポート。デフォルトは 23 です。
設 定
説明
有効 リモート RACADM を有効または無効にします。チェックボックスをオンにすると、リモート RACADM が有効になります。
ア ク テ ィ ブ セ ッ シ ョ ン数 システムの現在のセッション数。
設 定
説明
有効 SNMPエージェントを有効または無効にします。オン=有効、オフ=無効
コ ミ ュ ニ テ ィ名 SNMP 警告の送信先 IP アドレスを含むコミュニティ名。 コミュニティ名は、空白文字を含まずに最大 31 文字まで使用できます。デフォルト設定は public です。
設 定
説明
有効 自動システムリカバリエージェントを有効にします。
iDRAC6 の追加のセキュリティオプションを有効にする
リモートシステムへの不正アクセスを防ぐため、iDRAC6 では次の機能を提供しています。
l IP アドレスフィルタ(IPRange)- iDRAC6 にアクセスできる特定の IP アドレス範囲を定義します。
l IP アドレスブロック - 特定の IP アドレスからのログイン試行の失敗回数を制限します。
これらの機能は iDRAC6 のデフォルト設定では無効になっています。次のサブコマンドまたはウェブインタフェースを使用して、これらの機能を有効にしてください。
racadm config -g cfgRacTuning -o <オブジェクト名> <値>
これらの機能はまた、セッションのアイドルタイムアウト値や、ネットワークに定義済みのセキュリティプランと一緒にも使用できます。
以下の項で、これらの 機能について詳しく説明します。
IP フィルタ(IpRange)
IP アドレスフィルタ(または IP 範囲チェック)を使用すると、ユーザーが特定した範囲内にある IP アドレスの クライアントワークステーションや管理ワークステーションからのみ iDRAC6 へのアクセス を許可します。その他のログインはすべて拒否されます。
IP フィルタは着信ログインの IP アドレスを、次の cfgRacTuning プロパティで指定する IP アドレス範囲と比較します。
l cfgRacTuneIpRangeAddr
l cfgRacTuneIpRangeMask
cfgRacTuneIpRangeMask プロパティは着信 IP アドレスと cfgRacTuneIpRangeAddr プロパティの両方に適用されます。両方のプロパティの結果が同じであれば、受信ログイン要求の iDRAC6 へのアクセスが許可されます。この範囲外の IP アドレスからのログイン要求にはエラーが返されます。
次の式の値がゼロに等しい場合は、ログインに進みます。
cfgRacTuneIpRangeMask & (<着信 IP アドレス> ^ cfgRacTuneIpRangeAddr)
& は数量のビットワイズ AND で ^ はビットワイズ XOR です。
cfgRacTuning の全プロパティのリストは、デルサポートサイト support.dell.com/manuals にある『iDRAC6 Administrator リファレンスガイド』を参照してください。
表 22-14 IP アドレスフィルタ(IpRange) のプロパティ
IP フィルタを有効にする 以下に、IP フィルタ設定のコマンド例を示します。
RACADM と RACADM コマンドの詳細については、「RACADM のリモート使用」を参照してください。
ログインを 1 つの IP アドレスに限定するには(たとえば 192.168.0.57)、次のようにフルマスクを使用してください。
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1 racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.57
ボタン
説明
印 刷 サ ー ビ ス ページを印刷します。
更 新 サ ー ビ ス ページを更新します。
変更の適 用 サ ー ビ ス ページの設定を適用します。
プ ロ パ テ ィ
説明
cfgRacTuneIpRangeEnable IP アドレスのチェック機能を有効にします。
cfgRacTuneIpRangeAddr サブネットマスクの 1 によって、受け入れる IP アドレスビットパターンが決まります。
許可する IP アドレスの上位部分を決定するため、このプロパティは cfgRacTuneIpRangeMask とビット単位で AND されます。上位部分にこのビットパタ ーンを含んでいる IP アドレスは、iDRAC6 とのセッションを確立できます。この範囲外の IP アドレスからのログインは失敗します。各プロパティのデフォルト値 は、IP アドレス範囲 192.168.1.0~192.168.1.255 から iDRAC6 セッションが確立できるように設定されています。
cfgRacTuneIpRangeMask IP アドレスの有意ビット位置を定義します。サブネットマスクは、上位ビットがすべて 1 で、下位ビットがすべてゼロであるネットマスク形式です。
メ モ: 次の RACADM コマンドは 192.168.0.57 以外のすべての IP アドレスをブロックします。
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.255
連続する 4 つの IP アドレスにログインを限定するには(たとえば、192.168.0.212~192.168.0.215)、次のようにマスクの最下位の 2 ビットを除くすべてを選択します。
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1 racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.212 racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.252
IP フィルタのガイドライン
IP フィルタを有効にする場合は、次のガイドラインに従ってください。
l cfgRacTuneIpRangeMask は必ずネットマスク形式で設定します。最上位ビットがすべて 1 で(これがマスクのサブネットを定義)、下位ビットはすべてゼロにします。
l 必要な範囲の基底アドレスを cfgRacTuneIpRangeAddr の値として使用します。このアドレスの 32 ビットのバイナリ値は、マスクにゼロがある下位ビットがすべてゼロになります。
IP ブロック
IP ブロックは、事前に選択した時間枠で、特定の IP アドレスからの過剰なログイン失敗を動的に検知し、そのアドレスが iDRAC6 にログインできないようにブロックします。
IP ブロックのパラメータは、次のような cfgRacTuning グループ機能を使用します。
l 許可するログイン失敗回数
l これらの失敗を数える時間枠(秒)
l ログイン失敗回数が所定の合計数を超えた IP アドレスからのセッション確立を防止する時間(秒)
特定の IP アドレスからのログイン失敗が累積すると、それらは内部カウンタによって計数されます。ユーザーがログインに成功すると、失敗履歴がクリアされて、内部カウンタがリセットされます。
cfgRacTuning の全プロパティのリストは、デルサポートサイト support.dell.com/manuals にある『iDRAC6 Administrator リファレンスガイド』を参照してください。
表 22-15 に、ユーザー定義のパラメータを示します。
表 22-15 ログイン再試行制限のプロパティ
IP ブロックを有効にする
次の例では、クライアントが 1 分間に 5 回ログイン試行に失敗した場合に、5 分間このクライアント IP アドレスのセッション確立を防止します。
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1 racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailCount 5 racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailWindows 60 racadm config -g cfgRacTuning -o cfgRacTuneIpBlkPenaltyTime 300 次の例は、1 分以内に失敗が 3 回を超えた場合に、1 時間ログイン試行を阻止します。
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkEnable 1 racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailCount 3 racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailWindows 60 racadm config -g cfgRacTuning -o cfgRacTuneIpBlkPenaltyTime 3600
メ モ: クライアント IP アドレスからのログイン試行が拒否されると、SSH クライアントに「SSH ID: リモートホストが接続を閉じました」というメッセージが表示される場合があります。
プ ロ パ テ ィ
定 義
cfgRacTuneIpBlkEnable IP ブロック機能を有効にします。
一定時間内に(cfgRacTuneIpBlkFailCount)1 つの IP アドレスからの失敗が連続すると(cfgRacTuneIpBlkFailWindow)、以降そのアドレスか らのセッション確立試行が一定の時間(cfgRacTuneIpBlkPenaltyTime)拒否されます。
cfgRacTuneIpBlkFailCount ログイン試行を拒否するまでの IP アドレスのログイン失敗回数を設定します。
cfgRacTuneIpBlkFailWindow 失敗回数を数える時間枠を秒で指定します。失敗回数がこの制限値を超えると、カウンタはリセットされます。
cfgRacTuneIpBlkPenaltyTime 失敗回数が制限値を超えた IP アドレスからのセッションをすべて拒否する時間枠を秒で定義します。