Dell OpenManage バージョン 5.1 インストールおよびセキュリティユーザーズガイド
Active Directory サービスソフトウェアを使用している場合は、ネットワークへのアクセス制御を設定できます。 デルではこの Active Directory データベースを変更して、リモート管理の認証と許可をサポートできるようにしています。 Active Directory は現在 Dell OpenManage IT Assistant と Dell OpenManage Server Administrator のほか、Dell Remote Access Controller と連動できます。 このツールを使用すると、中央のデータベースからユーザーや特権を追加して制御できます。
![]() |
メモ:Dell Remote Access Controller(DRAC)、IT Assistant、Server Administrator のユーザー認識のための Active Directory の使用は、Microsoft Windows® 2000 および Windows Server 2003 オペレーティングシステムでサポートされています。 |
Active Directory のデータは 属性 と クラス の配布データベースにあります。 Active Directory の クラス の例は ユーザー クラスです。 ユーザークラスの 属性 の例は、ユーザーの氏名や電話番号などです。 既存の Active Directory スキーマに追加される 属性 や クラス はすべて固有の ID で定義されている必要があります。 業界で重複しない固有の ID を維持するために、Microsoft では Active Directory Object Identifiers(OID)のデータベースを管理しています。
Active Directory スキーマは、データベースに格納できるデータの規則を定義しています。 Active Directory のスキーマを拡張すべく、デルではディレクトリサービスの新たな属性とクラスのために独自の OID、独自の社名拡張子、独自のリンク属性 ID を取得しています。
Dell の拡張子: dell
Dell のベース OID: 1.2.840.113556.1.8000.1280
Dell の LinkID 範囲: 12070 〜 12079
Microsoft が管理する Active Directory OID データベースについては、msdn.microsoft.com/certification/ADAcctInfo.asp より、当社拡張子の dell を入力することで参照できます。
Dell 作成のクラス(オブジェクトのグループ)は、ユーザーの独自のニーズに合わせて設定が可能です。 スキーマの新しいクラスには関連、製品、特権などのクラスがあります。 関連オブジェクトは、ネットワークでユーザーまたはグループを特定の権限セットとシステム(製品)に関連付けます。 このモデルを使用すると、ユーザー、特権、システムのさまざまな組み合わせや、ネットワーク上の RAC デバイスを管理者が簡単に制御できます。
認証や許可の目的で Active Directory に統合する各製品に対し、少なくとも関連オブジェクトが 1 つと 製品オブジェクトが 1 つ必要です。 製品オブジェクトはシステムを表します。 関連オブジェクトはそれをユーザーと特権に関連付けます。 関連オブジェクトは必要なだけ作成できます。
各関連オブジェクトを関連付けるユーザー、ユーザーグループ、製品オブジェクトの数に制限はありません。 ユーザーと製品オブジェクトはどのドメインにあってもかまいません。 ただし、各関連オブジェクトを関連付けられる特権オブジェクトは 1 つだけです。 これによって、システム管理者は特定のシステムでどのユーザーがどの権限を持っているかを制御できます。
製品オブジェクトは認証と許可のクエリのために、システムを Active Directory に関連付けます。 システムがネットワークに追加されると、ユーザーが Active Directory で認証と許可を実行できるように、システム管理者はシステムとその製品オブジェクトをその Active Directory 名を使って設定する必要があります。 また、ユーザーが認証するためには、そのシステムを少なくとも 1 つの関連オブジェクトに追加する必要があります。
図 8-1 は、認証と許可のすべてに必要な関連付けを提供する関連オブジェクトを示しています。
図 8-1 Active Directory オブジェクトの典型的な設定
さらに、Active Directory のオブジェクトは 1 つのドメインでも複数のドメインでも設定できます。 1 つのドメインでオブジェクトを設定する場合は、Dell RAC、Server Admistrator、IT Assistant のどのオブジェクトを設定しても同じですが、 複数のドメインを設定する場合は異なります。
たとえば、DRAC 4 カードが 2 枚(RAC1 と RAC2)あり、既存の Active Directory ユーザーが 3 人(ユーザー 1、ユーザー 2、ユーザー 3)いるとします。 ユーザー 1 と ユーザー 2 に両方の DRAC 4 カードの管理者特権を与え、ユーザー 3 に RAC2 カードのログイン特権を与えたいとします。 図 8-2 は、このシナリオで Active Directory のオブジェクトを設定する方法を示しています。
図 8-2 単一ドメインでの Active Directory オブジェクトの設定
単一ドメインのシナリオでオブジェクトを設定するには、次の手順に従います。
詳しい手順については、「Active Directory へのユーザーと特権の追加」を参照してください。
図 8-3 は、RAC の複数のドメインで Active Directory のオブジェクトを設定する方法を示しています。 このシナリオでは、DRAC 4 カードが 2 枚(RAC1 と RAC2)あり、既存の Active Directory ユーザーが 3 人(ユーザー 1、ユーザー 2、ユーザー 3)いるとします。 ユーザー 1 は ドメイン 1 ですが、ユーザー 2 と ユーザー 3 は ドメイン 2 にいます。 ユーザー 1 と ユーザー 2 に RAC1 と RAC2 の両方のカードのシステム管理者特権を与え、ユーザー 3 に RAC2 カードのログイン特権を与えたいとします。
図 8-3 複数ドメインでの RAC Active Directory オブジェクトの設定
複数のドメインシナリオにおいてオブジェクトを設定するには、次のタスクを実行します。
一方、Server Administrator や IT Assistant の場合は、1 つの関連しかない複数のユーザーが異なるドメインに存在でき、ユニバーサルグループに追加する必要はありません。 次に、別々のドメインにある Server Administrator または IT Assistant のシステムがディレクトリのオブジェクトの設定にどのように影響するかをよく似た例を使って説明します。 RAC デバイスの代わりに、Server Administrator(Server Administrator 製品システム 1 とシステム 2)を実行している 2 台のシステムがあります。 システム 1 と システム 2 は異なるドメインにあります。 Active Directory にある既存のユーザーまたはグループを使用できます。 図 8-4 は、この例を使った Server Administrator Active Directory のオブジェクトの設定方法を示しています。
図 8-4 複数ドメインでの Server Administrator Active Directory オブジェクトの設定
複数のドメインシナリオにおいてオブジェクトを設定するには、次のタスクを実行します。
この場合は、関連オブジェクトはどちらもユニバーサルスコープでなくてもかまいません。
Active Directory を使ってシステムにアクセスするには、Active Directory ソフトウェアとシステムの両方を設定する必要があります。
RAC、Server Administrator、および IT Assistant のスキーマ拡張を使用できます。 使用しているソフトウェアまたはハードウェアのスキーマだけを拡張します。 そのソフトウェアに固有の設定を活用するには、それぞれの拡張子を別々に適用する必要があります。 Active Directory スキーマを拡張すると、スキーマのクラスと属性、特権例と関連オブジェクト、デルの組織単位などをスキーマに追加できます。
![]() |
メモ:スキーマを拡張する前に、ドメインフォレストのスキーママスター FSMO(Flexible Single Master Operation)ロールオーナーで、スキーマ管理者 特権を持っている必要があります。 |
スキーマは 2 通りの方法で拡張できます。 Dell スキーマ拡張ユーティリティ、または Lightweight Directory Interchange Format(LDIF)スクリプトファイルを使用できます。
![]() |
メモ:LDIF スクリプトファイルを使用する場合は、デルの組織単位は追加されません。 |
LDIF スクリプトファイルと Dell Schema Extender は『Dell PowerEdge OpenManage Installation and Server Management CD』の以下の各ディレクトリにあります。
インストールタイプは、選択したスキーマ拡張によって RAC4、RAC3、Server Administrator、IT Assistant 7.0 以降のいずれかです。
LDIF ファイルを使用するには、LDIF ファイルのディレクトリに入っている readme を参照してください。 Active Directory スキーマの拡張に Dell Schema Extender を使用する場合は、「Dell Schema Extender の使い方」の手順に従ってください。
Schema Extender または LDIF ファイルのコピーと実行はどの場所からでもできます。
![]() |
注意:Dell Schema Extender は SchemaExtenderOem.ini ファイルを使用します。 Dell Schema Extender ユーティリティが正しく機能するためには、このファイルの名前を変更しないでください。 |
スキーマ拡張機能を確認するときは、MMC(Microsoft Management Console)のActive Directory スキーマのスナップインを利用して、次のクラス(表 8-1、表 8-6、表 8-7、表 8-9、表 8-10、表 8-11、表 8-12 を参照)と属性(表 8-13、表 8-14、表 8-15 を参照)について存在を確認してください。 MMC で Active Directory スキーマのスナップインを有効にして使用する方法については、Microsoft のマニュアルを参照してください。
表 8-1. Active Directory スキーマに追加されるクラスのクラス定義
クラス名 | 割り当てられるオブジェクト識別子(OID) | クラスの種類 |
---|---|---|
dellRacDevice | 1.2.840.113556.1.8000.1280.1.1.1.1 | 構造体クラス |
dellAssociationObject | 1.2.840.113556.1.8000.1280.1.1.1.2 | 構造体クラス |
dellRAC4Privileges | 1.2.840.113556.1.8000.1280.1.1.1.3 | 補助クラス |
dellPrivileges | 1.2.840.113556.1.8000.1280.1.1.1.4 | 構造体クラス |
dellProduct | 1.2.840.113556.1.8000.1280.1.1.1.5 | 構造体クラス |
dellRAC3Privileges | 1.2.840.113556.1.8000.1280.1.1.1.6 | 補助クラス |
dellOmsa2AuxClass | 1.2.840.113556.1.8000.1280.1.2.1.1 | 補助クラス |
dellOmsaApplication | 1.2.840.113556.1.8000.1280.1.2.1.2 | 構造体クラス |
dellIta7AuxClass | 1.2.840.113556.1.8000.1280.1.3.1.1 | 補助クラス |
dellItaApplication | 1.2.840.113556.1.8000.1280.1.3.1.2 | 構造体クラス |
OID | 1.2.840.113556.1.8000.1280.1.1.1.1 |
---|---|
説明 | このクラスは Dell RAC デバイスを表します。 RAC デバイスは Active Directory では dellRacDevice として設定する必要があります。 この設定を使うと、DRAC 4 は LDAP クエリを Active Directory に送信することができます。 |
クラスの種類 | 構造体クラス |
SuperClasses | dellProduct |
属性 | dellSchemaVersion dellRacType |
表 8-3. dellAssociationObject クラス
OID | 1.2.840.113556.1.8000.1280.1.1.1.2 |
---|---|
説明 | このクラスは Dell の関連オブジェクトを表しています。 関連オブジェクトはユーザーとデバイスまたは製品間の関連付けを提供します。 |
クラスの種類 | 構造体クラス |
SuperClasses | グループ |
属性 | dellProductMembers dellPrivilegeMember |
OID | 1.2.840.113556.1.8000.1280.1.1.1.3 |
---|---|
説明 | このクラスは DRAC 4 デバイスの特権(許可の権限)を定義するために使用されます。 |
クラスの種類 | 補助クラス |
SuperClasses | なし |
属性 | dellIsLoginUser dellIsCardConfigAdmin dellIsUserConfigAdmin dellIsLogClearAdmin dellIsServerResetUser dellIsConsoleRedirectUser dellIsVirtualMediaUser dellIsTestAlertUser dellIsDebugCommandAdmin |
OID | 1.2.840.113556.1.8000.1280.1.1.1.4 |
---|---|
説明 | このクラスはデルの特権(許可の権限)のコンテナクラスとして使用されます。 |
クラスの種類 | 構造体クラス |
SuperClasses | ユーザー |
属性 | dellRAC4Privileges dellRAC3Privileges dellOmsaAuxClass dellItaAuxClass |
OID | 1.2.840.113556.1.8000.1280.1.1.1.5 |
---|---|
説明 | これはデル製品が導出される主要クラスです。 |
クラスの種類 | 構造体クラス |
SuperClasses | コンピュータ |
属性 | dellAssociationMembers |
OID | 1.2.840.113556.1.8000.1280.1.1.1.6 |
---|---|
説明 | このクラスは、DRAC III、DRAC III/XT、ERA、ERA/O、および ERA/MC デバイスの特権(許可の権限)を定義するために使用されます。 |
クラスの種類 | 補助クラス |
SuperClasses | なし |
属性 | dellIsLoginUser |
OID | 1.2.840.113556.1.8000.1280.1.2.1.1 |
---|---|
説明 | このクラスは Server Administrator の特権(許可の権限)を定義するために使用されます。 |
クラスの種類 | 補助クラス |
SuperClasses | なし |
属性 | dellOmsaIsReadOnlyUser dellOmsaIsReadWriteUser dellOmsaIsAdminUser |
表 8-9. dellOmsaApplication クラス
OID | 1.2.840.113556.1.8000.1280.1.2.1.2 |
---|---|
説明 | このクラスは Server Administrator アプリケーションを表します。 Server Administrator は Active Directory では dellOmsaApplication として設定する必要があります。 この設定を使うと、Server Administrator のアプリケーションは LDAP クエリを Active Directory に送信することができます。 |
クラスの種類 | 構造体クラス |
SuperClasses | dellProduct |
属性 | dellAssociationMembers |
OID | 1.2.840.113556.1.8000.1280.1.3.1.1 |
---|---|
説明 | このクラスは IT Assistant の特権(許可の権限)を定義するために使用されます。 |
クラスの種類 | 補助クラス |
SuperClasses | なし |
属性 | dellItaIsReadOnlyUser dellItaIsReadWriteUser dellItaIsAdminUser |
表 8-11. dellItaApplication クラス
OID | 1.2.840.113556.1.8000.1280.1.3.1.2 |
---|---|
説明 | このクラスは IT Assistant アプリケーションを表します。 IT Assistant は Active Directory では dellItaApplication として設定する必要があります。 この設定を使うと、IT Assitant は LDAP クエリを Active Directory に送信することができます。 |
クラスの種類 | 構造体クラス |
SuperClasses | dellProduct |
属性 | dellAssociationMembers |
表 8-12. Active Directory スキーマに追加される一般的な属性
表 8-13. Active Directory スキーマに追加される RAC 固有の属性
表 8-14. Active Directory スキーマに追加される Server Administrator 固有の属性
表 8-15. Active Directory スキーマに追加される IT Assistant 固有の属性
Active Directory のスキーマを拡張する場合、製品、ユーザーとユーザーグループ、関連付け、特権などを管理できるように Active Directory ユーザーとコンピュータスナップインも拡張する必要があります。 複数のスキーマ拡張を追加した場合でも、スナップインは 1 度拡張するだけで済みます。 これらのオブジェクトの管理に使用するスナップインを各システムにインストールする必要があります。 Active Directory ユーザーとコンピュータスナップインへの Dell 拡張は、『Dell PowerEdge OpenManage Installation and Server Management CD』を使って Systems Management Software をインストールするときにインストールできるオプションの 1 つです。
![]() |
メモ:Active Directory のオブジェクトを管理している管理ステーションのそれぞれに Administrator Pack をインストールする必要があります。 インストールに関しては、次項の「Active Directory ユーザーとコンピュータスナップインを開く」で説明します。 Administrator Pack をインストールしない場合は、コンテナの新しいオブジェクトを表示できません。 |
![]() |
メモ:Active Directory ユーザーとコンピュータスナップインの詳細については、Microsoft のマニュアルを参照してください。 |
Active Directory ユーザーとコンピュータスナップインを開くには、次の手順に従います。
これで Microsoft 管理コンソール(MMC)ウィンドウが開きます。
Dell 拡張 Active Directory ユーザーとコンピュータスナップインを使用すると、RAC、関連付け、特権の各オブジェクトを作成して DRAC、Server Administrator、IT Assistant などのユーザーと特権を追加できます。 オブジェクトを追加するには、該当する項の手順に従ってください。
![]() |
メモ:Server Administrator と IT Assistant はユニバーサル製品グループを使用して、その製品オブジェクトのドメインをスパンする必要があります。 |
![]() |
メモ:ユニバーサルタイプの製品グループを別のドメインから追加するときは、ユニバーサルスコープで関連オブジェクトを作成する必要があります。 Dell Schema Extender ユーティリティによって作成されるデフォルトの関連オブジェクトは、ドメインのローカルグループであり、他のドメインからのユニバーサルタイプの製品グループと連動しません。 |
コンソールのルート(MMC)ウィンドウでコンテナを右クリックします。
新規オブジェクト ウィンドウが開きます。
特権オブジェクトは、それを関連付ける関連オブジェクトと同じドメインで作成する必要があります。
新規オブジェクト ウィンドウが開きます。
関連オブジェクトはグループから導出され、グループの種類が含まれていなければなりません。 関連スコープは関連オブジェクトのセキュリティグループの種類を指定します。 関連オブジェクトを作成するたびに、追加したいオブジェクトの種類に適用する関連スコープを選択する必要があります。 たとえば、ユニバーサル を選択すると、Active Directory ドメインがネイティブモード以上で機能している場合にのみ関連オブジェクトを使用できます。
新規オブジェクト ウィンドウが開きます。
関連オブジェクトのプロパティ ウィンドウを使って、ユーザーやユーザーグループ、特権オブジェクト、システム、RAC デバイス、システムやデバイスグループを関連付けることができます。
![]() |
メモ:RAC ユーザーはそのユーザーや RAC オブジェクトのドメインをスパンするには、ユニバーサルグループを使用する必要があります。 |
ユーザーと製品のグループを追加することもできます。 デルに関連したグループを、他のグループを作成したのと同じ方法で作成できます。
ユーザーまたはユーザーグループを追加する方法
特権オブジェクト タブをクリックして、システムで認証するときにユーザーまたはユーザーグループの特権を定義する関連を特権オブジェクトに追加します。
![]() |
メモ:関連オブジェクトに追加できる特権オブジェクトは 1 つだけです。 |
特権を追加するには
製品 タブをクリックして、1 つまたは複数のシステムあるいはデバイスを関連に追加します。 関連オブジェクトは、ネットワークに接続している製品のうち、定義したユーザーやユーザーグループが使用できるものを指定します。
![]() |
メモ:関連オブジェクトには複数のシステムまたは RAC デバイスを追加できます。 |
製品を追加するには
Microsoft エンタープライズのルート CA を使用してドメインコントローラすべての SSL 証明書を自動的に割り当てる場合は、次の操作を実行して各ドメインコントローラで SSL を有効にする必要があります。
![]() |
メモ:Windows 2000 を使用している場合は、以下の手順と若干異なる場合があります。 |
![]() |
メモ:DRAC 4 ファームウェアの SSL 証明書がよく知られた CA によって署名されている場合は、ここで説明する手順を省略できます。 |
![]() |
メモ:Windows 2000 を使用している場合は、以下の手順と若干異なる場合があります。 |
独自の証明書をインストールした場合は、その証明書に署名する CA が 信頼できるルート認証局 リストにあるかどうか確認してください。 CA がリストにない場合には、すべてのドメインコントローラにインストールする必要があります。
CLI コマンドを使っての Server Administrator または IT Assistant systems using を設定は「Server Administrator の実行中でのCLI コマンドを使用した Active Directory の設定」および「 IT Assistant が実行中での Active Directory の設定」を参照してください。 DRAC ユーザーの場合、DRAC 4 を設定する方法は 2 通りあります。 「ウェブインタフェースを使用した DRAC 4 の設定」または「racadm CLI を使用した DRAC 4 Active Directory オプションの設定」を参照してください。
![]() |
メモ: Server Administrator および / または IT Assistant がインストールされているシステムで、Active Directory ドメインはコンピュータアカウントに必要です。 |
Active Directory サービスを設定するには、omconfig preferences dirservice コマンドを使用できます。 製品oem.ini ファイルの内容を変更することでこれらの変更を反映できます。 adproductname が 製品の oem.ini ファイルにない場合は、デフォルト名が割り当てられます。 デフォルト値は system name-software-product nameで、system name は Server Administrator を実行しているシステムの名前、software-product name は omprv32.ini(すなわち computerName-omsa)で定義されるソフトウェア製品の名前を示します。
![]() |
メモ:このコマンドは、Windows オペレーティングシステムを実行しているシステムにのみ適用できます。 |
![]() |
メモ:Active Directory の設定後、Server Administrator サービスを再起動します。 |
表 8-16 はコマンドの有効なパラメータです。
表 8-16. Active Directory サービスの設定パラメータ
デフォルトでは、Active Directory 製品名は、マシン名-ita で、マシン名は IT Assistant がインストールされているシステムの名前です。 違う名前に設定するには、インストールディレクトリにあるitaoem.iniファイルを見つけます。 このファイルを編集して "adproductname=テキスト" の行を追加します。テキスト は、Active Directory で作成した製品オブジェクトの名前です。 たとえば、Active Directory 製品名が mgmtStationITA と設定されている場合、itaoem.ini ファイルには次の構文が含まれます。
productname=IT Assistant
startmenu=Dell OpenManage Applications
autdbid=ita
accessmask=3
startlink=ITAUIServlet
adsupport=true
adproductname=mgmtStationITA
![]() |
メモ:itaoem.ini ファイルをディスクに保存後、IT Assistant サービスを再起動します。 |
ウェブインタフェースの代わりに racadm CLI を使って DRAC 4 の Active Directory 機能を設定するには、次のコマンドを使用します。
racadm config -g cfgActiveDirectory -o cfgADEnable 1
racadm config -g cfgActiveDirectory -o cfgADRacDomain <完全修飾の RAC ドメイン名>
racadm config -g cfgActiveDirectory -o cfgADRootDomain <完全修飾のルートドメイン名>
racadm config -g cfgActiveDirectory -o cfgADRacName <RAC 共通名>
racadm sslcertupload -t 0x2 -f <ADS ルート CA 証明書>
racadm sslcertdownload -t 0x1 -f <RAC SSL 証明書>
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1
racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <一次 DNS IP アドレス>
racadm config -g cfgLanNetworking -o cfgDNSServer2 <二次 DNS IP アドレス>
詳細については、『Dell Remote Access Controller 4 ユーザーズガイド』を参照してください。