Microsoft Management Console (MMC) が表示されます。
2. コ ン ソ ー ル 1 ウィンドウで、フ ァ イ ル (または Windows 2000 を実行しているシステムでは コ ン ソ ー ル) をクリックします。
3. ス ナ ッ プ イ ン の追 加と削 除 をクリックします。
4. Active Directory ユ ー ザ ー と コ ン ピ ュ ー タ スナップインを選択して 追 加 をクリックします。
5. 閉じ る をクリックして OK をクリックします。
1. コ ン ソ ー ル の ル ー ト(MMC)ウィンドウでコンテナを右クリックします。
2. 新 規® Dell RAC オ ブ ジ ェ ク ト の順に選択します。
新 規オ ブ ジ ェ ク ト ウィンドウが開きます。
3. 新しいオブジェクトの名前を入力します。
4. 関連オ ブ ジ ェ ク ト を選択します。
5. 関連オ ブ ジ ェ ク ト のスコープを選択します。
6. OK をクリックします。
関連オブジェクトへのオブジェクトの追加
関連オ ブ ジ ェ ク ト プ ロ パ テ ィ ウィンドウを使用すると、ユーザーまたはユーザーグループ、権限オブジェクト、RAC デバイスまたは RAC デバイスグループ間の関連付けができます。Windows 2000 モード以降のシステムを使用している場合は、ユニバーサルグループを使ってユーザーまたは RAC オブジェクトでドメインを拡張する必要があります。
ユーザーおよび RAC デバイスのグループを追加できます。デル関連グループとデルに関連しないグループを作成する手順は同じです。
ユーザーまたはユーザーグループの追加
1. 関連オ ブ ジ ェ ク ト を右クリックし、プ ロ パ テ ィ を選択します。
2. ユ ー ザ ー タブを選択して、追 加 を選択します。
3. ユーザーまたはユーザーグループの名前を入力し、OK をクリックします。
権限オ ブ ジ ェ ク ト タブをクリックして、RAC デバイスに認証するときにユーザーまたはユーザーグループの権限を定義する関連に、権限オブジェクトを追加します。関連オブジェクトに追加できる権限 オブジェクトは 1 つだけです。
権限の追加
1. 特権オ ブ ジ ェ ク ト タブを選択し、追 加 をクリックします。
2. 権限オブジェクト名を入力し、OK をクリックします。
製 品 タブをクリックして、1 台または複数台の RAC デバイスを関連に追加します。関連デバイスは、ネットワークに接続している RAC デバイスのうち、定義したユーザーまたはユーザーグループが 使用できるものを指定します。関連オブジェクトには複数の RAC デバイスを追加できます。
RAC デバイスまたは RAC デバイスグループの追加
RAC デバイスまたは RAC デバイスグループを追加するには、次の手順に従います。
1. 製 品 タブを選択して 追 加 をクリックします。
2. RAC デバイスまたは RAC デバイスグループの名前を入力し、OK をクリックします。
3. プ ロ パ テ ィ ウィンドウで、適 用、OK の順にクリックします。
拡張スキーマ Active Directory と Web ベースのインタフェースを用い たDRAC 5 の設定 ウェブインタフェース
1. サポートされているウェブブラウザのウィンドウを開きます。
2. DRAC 5 ウェブインタフェースにログインします。
3. シ ス テ ム ツリーを拡張し、リ モ ー ト ア ク セ ス をクリックします。
4. 設 定 タブをクリックして、Active Directory を選択します。
5. Active Directory メ イ ン メ ニ ュ ー ページで、Active Directory の設 定 を選択し、次へ をクリックします。
6. 共通設定 セクションで以下の操作を行います。
a. Active Directory を有効に す る チェックボックスをオンにします。
b. ル ー ト ド メ イ ン名 を入力します。ル ー ト ド メ イ ン名 はフォレストのルートドメインの完全修飾名です。
c. タ イ ム ア ウ ト の時間を秒単位で入力します。
7. Active Directory スキーマの選択セクションで 拡張ス キ ー マ の使 用 をクリックします。
8. 拡張スキーマの設定 セクションで、以下の操作を行います。
a. DRAC 名 を入力します。この名前は、ドメインコントローラで作成した RAC オブジェクトの共通名と同じである必要があります(「RAC デバイスオブジェクトの作成」の手順 3 を参照)。
b. DRAC ド メ イ ン名(drac5.comなど)を入力します。NetBIOS 名を使用しないでください。DRAC ド メ イ ン名 は、RAC デバイスオブジェクトがあるサブドメインの完全修飾ドメイン名
です。
9. 適 用 をクリックして Active Directory の設定を保存します。
10. Active Directory メ イ ン メ ニ ュ ー に戻る をクリックします。
11. ドメインフォーレストのルート CA 証明書を DRAC 5 へアップロードします。
a. Active Directory CA 証 明 書をアップロードする チェックボックスを選択し、次へ をクリックします。
b. 証 明 書の ア ッ プ ロ ー ド ページで、証明書のファイルパスを入力するか、証明書ファイルの場所まで移動します。
ドメインコントローラの SSL 証明書はルート CA により署名されている必要があります。DRAC 5 にアクセスする管理ステーション上でルート CA 証明書が使用可能にします(ドメインコ ントローラのルート CA 証明書を DRAC 5 にエクスポートするを参照)。
c. 適 用 をクリックします。
適 用 をクリックすると、DRAC 5 ウェブサーバーが自動的に再起動されます。
12. ログアウトしてからまた DRAC 5 にログインし、DRAC 5 Active Directory 機能の設定を完了します。
13. シ ス テ ム ツリーの リ モ ー ト ア ク セ ス をクリックします。
14. 設 定 タブをクリックし、ネ ッ ト ワ ー ク をクリックします。
ネ ッ ト ワ ー ク設 定 ページが開きます。
15. ネ ッ ト ワ ー ク設 定 で DHCP を使 用 (NIC IP ア ド レ ス用 ) が選択されている場合は、DHCP を使 用し て DNS サーバーアドレスを取 得 を選択します。
DNS サーバーの IP アドレスを手動で入力するには、DHCP を使 用し て DNS サーバーアドレスを取 得す る チェックボックスをオフにし、一次および代替 DNS サーバーの IP アドレスを 入力します。
16. 変更の適 用 をクリックします。
これで、RAC 5 の拡張スキーマ Active Directory 機能の設定が完了しました。
拡張スキーマ Active Directory と RACADM を用い たDRAC 5 設定 RACADM
ウェブインタフェースではなく racadm CLI を使用した拡張スキーマで DRAC 5 Active Directory 機能を設定するには、次のコマンドを使用します。
1. コマンドプロンプトを開き、次の racadm コマンドを入力します。
racadm config -g cfgActiveDirectory -o cfgADEnable 1 racadm config -g cfgActiveDirectory -o cfgADType 1
racadm config -g cfgActiveDirectory -o cfgADRacDomain <完全修飾ルードメイン名>
racadm config -g cfgActiveDirectory -o cfgADRootDomain <完全修飾ルードメイン名>
メ モ: アップロードする証明書の相対ファイルパスが フ ァ イ ル パ ス の値に表示されます。フルパスと正しいファイル名とファイル拡張子を含む絶対ファイルパスを入力する必要がありま す。
racadm config -g cfgActiveDirectory -o cfgADRacName <RAC 共通名>
racadm sslcertupload -t 0x2 -f <ADS ルート CA 証明書>
racadm sslcertdownload -t 0x1 -f <RAC SSL 証明書>
2. DRAC/MC の DHCP が有効になっており、DHCP サーバーが提供する DNS を使用する場合は、次のコマンドを入力します。
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1
3. DRAC 5 で DHCP が無効になっている場合や、手動で DNS IP アドレスを入力する場合は、次の racadm コマンドを入力します。
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <一次 DNS IP アドレス>
racadm config -g cfgLanNetworking -o cfgDNSServer2 <二次 DNS IP アドレス>
Enter を押して DRAC 5 Active Directory 機能の設定を完了させます。
DRAC 5 に Active Directory サーバーを探させる代わりに、DRAC 5 の接続先サーバーを指定して、ユーザーを認証することもできます。サーバーを指定する RACADM コマンドについては、
「Active Directory 設定のためのサーバー指定」を参照してください。
拡張スキーマを使 用し た権限の蓄 積
拡張スキーマ認証機構は、異なる関連オブジェクトを通して同じユーザーに関連付けられた異なる権限オブジェクトからの権限の蓄積をサポートしています。つまり、拡張スキーマ認証は権限を蓄積し て、同じユーザーに関連付けられた異なる権限オブジェクトに対応して割り当てられた権限すべてのスーパーセットをユーザーに許可します。
図 6-5 に、拡張スキーマを使用した権限の蓄積例を示します。
図 6-5 ユーザーの権限の蓄 積
この図には、A01 と A02 の 2 つの関連オブジェクトが示されています。これらの関連オブジェクトは、同じドメインまたは異なるドメインの一部とします。ユーザー 1 は、両方の関連オブジェクトを通し て RAC1 と RAC2 に関連付けられています。このため、ユーザー 1 は、権限 1 と権限 2 のオブジェクトの権限セットを結合した蓄積権限を持つことになります。
たとえば、権限 1 にログイン、仮想メディア、ログのクリア権限が含まれ、権限 2 にはログイン、DRAC の設定、テストアラートの権限が含まれるとします。この場合、ユーザー 1 には、ログイン、仮想メ ディア、ログのクリア、DRAC の設定、テスト警告の権限、つまり、Priv1 と Priv2 を組合わせた権限セットが設定されます。
拡張スキーマ認証は、同じユーザーに関連付けられている異なる権限オブジェクトに割り当てられている権限を考慮してこのように権限を蓄積することでユーザーに最大限の権限を与えます。
Active Directory 設定のためのサーバー指定
DNS サーバーが返したサーバーを使用する代わりに LDAP、グローバルカタログサーバー、または関係オブジェクト(拡張スキーマのみに適用)のドメインを指定してユーザー名を検索する場合は、次 のコマンドを入力して サ ー バ ー の指 定 オプションを有効にします。
racadm config -g cfgActive Directory -o cfgADSpecifyServer Enable 1
サ ー バ ー の指 定 オプションを有効にした後、LDAP サーバーまたはグローバルカタログサーバーを IP アドレスまたはサーバーの完全修飾ドメイン名(FQDN)を使用して指定できます。 FQDN はサ ーバーのホスト名とドメイン名で構成されます。
メ モ: このオプションを使用すると、CA 証明書のホスト名は指定されたサーバーの名前と適合しません。IP アドレスだけでなくホスト名を入力できるため、これは DRAC システム管理者にとっ ては特に便利です。
メ モ: Kerberos に基づく Active Directory 認証を使用する場合は、サーバーの完全修飾ドメイン名 のみを指定してください。IP アドレスはサポートされていません。詳細については、
「Kerberos 認証を有効にする方法」を参照してください。