図 6-1に示すように、Active Directory を統合するために標準スキーマを使用する場合は、Active Directory と DRAC 5 の両方で設定が必要となります。Active Directory 側では、標準グルー プオブジェクトがロール(役割)グループとして使用されます。DRAC 5 へのアクセス権を持つユーザーがロールグループのメンバーになります。このユーザーに特定の DRAC 5 カードへのアクセス件 を与えるには、ロールグループ名とそのドメイン名を指定の DRAC 5 カードで設定する必要があります。拡張スキーマソリューションとは異なり、ロールと特権レベルは Active Directory でなく、各 DRAC 5 カードで定義されます。各 DRAC 5 で設定、定義できるロールグループの数は 5 つまでです。 表 6-12 にロールグループの権限レベル、表 6-1 にロールグループのデフォルト設定を示し ます。
図 6-1 Microsoft Active Directory と標 準スキーマによる DRAC 5 の設 定
Active Directory が DRAC 5 を認証できるようにするための前提条件 サポートされている Active Directory の認証機構
標準スキーマの Active Directory の概要 拡張スキーマ Active Directory の概要
Active Directory 設定のためのサーバー指定 Active Directory 証明書の設定と管理
ドメインコントローラの SSL を有効にする サポートされている Active Directory の設定
Active Directory を使用して DRAC 5 にログインする Active Directory シングルサインオンの使用
よくあるお問い合わせ(FAQ)
メ モ: Microsoft Windows® 2000、Windows Server® 2003、および Windows Server 2008 オペレーティングシステムでは Active Directory を使用して DRAC 5 のユーザ ーを認識できます。
表 6-1 デフォルトのロールグループの権限
標準スキーマ Active Directory を有効にするには、次の 2 つの方法があります。
l DRAC 5 Web ベースのユーザーインタフェースを使用する。「標準スキーマ Active Directory と Web ベースのインタフェースを用いたDRAC 5 の設定 ウェブインタフェース」を参照してく
ださい。
l RACADM CLI ツールの使用。「標準スキーマ Active Directory と RACADM を用いた DRAC 5 の設定 RACADM」を参照してください。
DRAC 5 にアクセスするための標 準スキーマ Active Directory の設定
Active Directory ユーザーが DRAC 5 にアクセスできるようにするには、まず次のステップを実行し、Active Directory を設定する必要があります。
1. Active Directory サーバー(ドメインコントローラ)で、Active Directory ユーザーとコンピュータスナップイン を開きます。
2. グループを作成するか、既存のグループを選択します。グループ名およびこのドメイン名は、ウェブベースインタフェースまたは RACADM のいずれかを使用して設定しなければなりません(「標 準スキーマ Active Directory と Web ベースのインタフェースを用いた DRAC 5 の設定 ウェブインタフェース」または「標準スキーマ Active Directory と RACADM を用いた DRAC 5 の設定 RACADMを参照)。
3. DRAC 5 にアクセスするには、Active Directory ユーザーを Active Directory グループのメンバーに追加します。
標 準スキーマ Active Directory と Web ベースのインタフェースを用い たDRAC 5 の設定 ウェブインタフェース
1. サポートされているウェブブラウザのウィンドウを開きます。
2. DRAC 5 ウェブインタフェースにログインします。
3. シ ス テ ム ツリーを拡張し、リ モ ー ト ア ク セ ス をクリックします。
4. 設 定 タブをクリックして、Active Directory を選択します。
5. Active Directory メ イ ン メ ニ ュ ー ページで、Active Directory の設 定 を選択し、次へ をクリックします。
ロ ー ル( 役 割 )グ ル ー プ
デ フ ォ ル ト の権 限レ ベ ル
許 可す る権限
ビ ッ ト マ ス ク
ロール(役割)グ ループ 1
管理者 DRAC へのログイン、DRAC の設 定、ユ ー ザ ー の設 定、ログのクリア、サ ー バ ー制 御コマンドの実行、コ ン ソ ー ル リ ダ イ レ ク ト へ の
ア ク セ ス、仮想メ デ ィ ア へ の ア ク セ ス、テ ス ト警 告、診断コマンドの実行 0x000001ff
ロール(役割)グ ループ 2
パワーユーザー DRAC へのログイン、ログのクリア、サ ー バ ー制 御コマンドの実行、コンソールリダイレクトへのアクセス、仮想メ デ ィ ア へ の ア ク セ
ス、テ ス ト警 告 0x000000f9
ロール(役割)グ ループ 3
ゲストユーザー DRAC へのログイン 0x00000001
ロール(役割)グ ループ 4
なし 権限の割り当てなし 0x00000000
ロール(役割)グ ループ 5
なし 権限の割り当てなし 0x00000000
メ モ: ビットマスク値を使用するのは、RACADM で標準スキーマを設定する場合に限ります。
6. 共通設定 セクションで以下の操作を行います。
a. Active Directory を有効に す る チェックボックスをオンにします。
b. ル ー ト ド メ イ ン名 を入力します。ル ー ト ド メ イ ン名 はフォレストのルートドメインの完全修飾名です。
c. タ イ ム ア ウ ト の時間を秒単位で入力します。
7. Active Directory スキーマの選択セクションで 標 準ス キ ー マ の使 用 をクリックします。
8. 適 用 をクリックして Active Directory の設定を保存します。
9. 標準スキーマ設定セクションの ロ ー ル( 役 割 )グ ル ー プ 列で ロ ー ル( 役 割 )グ ル ー プ をクリックします。
ロ ー ル( 役 割 )グ ル ー プ の設 定 ページが表示されます。このページには、ロール(役割)グループの グ ル ー プ名、グループドメイン、ロ ー ル( 役 割 )グ ル ー プ の権限 が含まれています。
10. グ ル ー プ名 を入力します。このグループ名によって、DRAC 5 カードに関連した Active Directory のロールグループが識別されます。
11. グループドメイン を入力します。グループドメイン はフォレストのルートドメインの完全修飾名です。
12. ロ ー ル( 役 割 )グ ル ー プ の権限 で、グループの権限を設定します。
表 6-12 にロ ー ル グ ル ー プ の権限 を示します。
表 6-13 にロ ー ル グ ル ー プ の権限 を示します。権限を変更すると、既存の ロ ー ル グ ル ー プ の権限 (システム管理者、パワーユーザー、ゲストユーザー)は、変更した権限に基づいてカスタ ムグループまたは適切な役割グループの権限に変更されます。
13. 適 用 をクリックして、ロール(役割)グループの設定を保存します。
14. Active Directory の設 定と管 理に戻る をクリックします。
15. Active Directory メ イ ン メ ニ ュ ー に戻る をクリックします。
16. ドメインフォーレストのルート CA 証明書を DRAC 5 へアップロードします。
a. Active Directory CA 証 明 書をアップロードする チェックボックスを選択し、次へ をクリックします。
b. 証 明 書の ア ッ プ ロ ー ド ページで、証明書のファイルパスを入力するか、証明書ファイルの場所まで移動します。
ドメインコントローラの SSL 証明書はルート CA により署名されている必要があります。DRAC 5 にアクセスする管理ステーション上でルート CA 証明書があることを確認します(ドメイ ンコントローラのルート CA 証明書を DRAC 5 にエクスポートするを参照)。
c. 適 用 をクリックします。
適 用 をクリックすると、DRAC 5 ウェブサーバーが自動的に再起動されます。
17. ログアウトしてからまた DRAC 5 にログインし、DRAC 5 Active Directory 機能の設定を完了します。
18. シ ス テ ム ツリーの リ モ ー ト ア ク セ ス をクリックします。
19. 設 定 タブをクリックし、ネ ッ ト ワ ー ク をクリックします。
ネ ッ ト ワ ー ク設 定 ページが開きます。
20. ネ ッ ト ワ ー ク設 定 で DHCP を使 用 (NIC IP ア ド レ ス用 )が選択されている場合、DHCP を使 用 を選択し て DNS サーバーアドレスを取 得 を選択します。
DNS サーバーの IP アドレスを手動で入力するには、DHCP を使 用し て DNS サーバーアドレスを取 得す る チェックボックスをオフにし、一次および代替 DNS サーバーの IP アドレスを 入力します。
21. 変更の適 用 をクリックします。
これで、RAC 5 の標準スキーマ Active Directory 機能の設定が完了しました。
標 準スキーマ Active Directory と RACADM を用いた DRAC 5 の設 定 RACADM
ウェブインタフェースではなく racadm CLI を使用した標準スキーマで DRAC 5 Active Directory 機能を設定するには、次のコマンドを使用します。
メ モ: アップロードする証明書の相対ファイルパスが フ ァ イ ル パ ス の値に表示されます。フルパスと正しいファイル名とファイル拡張子を含む絶対ファイルパスを入力する必要がありま す。
1. コマンドプロンプトを開き、次の racadm コマンドを入力します。
racadm config -g cfgActiveDirectory -o cfgADEnable 1 racadm config -g cfgActiveDirectory -o cfgADType 2
racadm config -g cfgActiveDirectory -o cfgADRootDomain <完全修飾ルードメイン名>
racadm config -g cfgStandardSchema -i <インデックス> -o cfgSSADRoleGroupName <ロールグループの共通名>
racadm config -g cfgStandardSchema -i <インデックス> -o cfgSSADRoleGroupDomain <完全修飾ルードメイン名>
racadm config -g cfgStandardSchema -i <インデックス> -o cfgSSADRoleGroupPrivilege <特定ユーザー権限用のビットマスク番号>
racadm sslcertupload -t 0x2 -f <ADS ルート CA 証明書>
racadm sslcertdownload -t 0x1 -f <RAC SSL 証明書>
2. DRAC/MC の DHCP が有効になっており、DHCP サーバーが提供する DNS を使用する場合は、次のコマンドを入力します。
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1
3. DRAC 5 で DHCP が無効になっている場合、または手動で DNS IP アドレスを入力する場合は、次の racadm コマンドを入力します。
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <一次 DNS IP アドレス>
racadm config -g cfgLanNetworking -o cfgDNSServer1 <二次 DNS IP アドレス>
DRAC 5 に Active Directory サーバーを探させる代わりに、DRAC 5 の接続先サーバーを指定して、ユーザーを認証することもできます。サーバーを指定する RACADM コマンドについては、
「Active Directory 設定のためのサーバー指定」を参照してください。
拡張スキーマ Active Directory の概要
拡張スキーマ Active Directory を有効にするには、次の 2 つの方法があります。
l DRAC 5 Web ベースのユーザーインタフェースを使用する。「拡張スキーマ Active Directory と Web ベースのインタフェースを用いたDRAC 5 の設定 ウェブインタフェース」を参照してく
ださい。
l RACADM CLI ツールの使用。「拡張スキーマ Active Directory と RACADM を用いたDRAC 5 設定 RACADM」を参照してください。