目次ページに戻る

Microsoft® Active Directory® の使い方

Dell OpenManage™ バージョン 5.1 インストールおよびセキュリティユーザーズガイド

  ネットワークのアクセス制御

  Active Directory スキーマの拡張



ネットワークのアクセス制御

Active Directory サービスソフトウェアを使用している場合は、ネットワークへのアクセス制御を設定できます。 デルではこの Active Directory データベースを変更して、リモート管理の認証と許可をサポートできるようにしています。 Active Directory は現在 Dell OpenManage™ IT Assistant と Dell OpenManage Server Administrator のほか、Dell™ Remote Access Controller と連動できます。 このツールを使用すると、中央のデータベースからユーザーや特権を追加して制御できます。

メモ:Dell Remote Access Controller(DRAC)、IT Assistant、Server Administrator のユーザー認識のための Active Directory の使用は、Microsoft Windows® 2000 および Windows Server™ 2003 オペレーティングシステムでサポートされています。

Active Directory スキーマ拡張

Active Directory のデータは 属性クラス の配布データベースにあります。 Active Directory の クラス の例は ユーザー クラスです。 ユーザークラスの 属性 の例は、ユーザーの氏名や電話番号などです。 既存の Active Directory スキーマに追加される 属性クラス はすべて固有の ID で定義されている必要があります。 業界で重複しない固有の ID を維持するために、Microsoft では Active Directory Object Identifiers(OID)のデータベースを管理しています。

Active Directory スキーマは、データベースに格納できるデータの規則を定義しています。 Active Directory のスキーマを拡張すべく、デルではディレクトリサービスの新たな属性とクラスのために独自の OID、独自の社名拡張子、独自のリンク属性 ID を取得しています。

Dell の拡張子: dell

Dell のベース OID: 1.2.840.113556.1.8000.1280

Dell の LinkID 範囲: 12070 〜 12079

Microsoft が管理する Active Directory OID データベースについては、msdn.microsoft.com/certification/ADAcctInfo.asp より、当社拡張子の dell を入力することで参照できます。

Active Directory スキーマ拡張の概要

Dell 作成のクラス(オブジェクトのグループ)は、ユーザーの独自のニーズに合わせて設定が可能です。 スキーマの新しいクラスには関連、製品、特権などのクラスがあります。 関連オブジェクトは、ネットワークでユーザーまたはグループを特定の権限セットとシステム(製品)に関連付けます。 このモデルを使用すると、ユーザー、特権、システムのさまざまな組み合わせや、ネットワーク上の RAC デバイスを管理者が簡単に制御できます。

Active Directory オブジェクトの概要

認証や許可の目的で Active Directory に統合する各製品に対し、少なくとも関連オブジェクトが 1 つと 製品オブジェクトが 1 つ必要です。 製品オブジェクトはシステムを表します。 関連オブジェクトはそれをユーザーと特権に関連付けます。 関連オブジェクトは必要なだけ作成できます。

各関連オブジェクトを関連付けるユーザー、ユーザーグループ、製品オブジェクトの数に制限はありません。 ユーザーと製品オブジェクトはどのドメインにあってもかまいません。 ただし、各関連オブジェクトを関連付けられる特権オブジェクトは 1 つだけです。 これによって、システム管理者は特定のシステムでどのユーザーがどの権限を持っているかを制御できます。

製品オブジェクトは認証と許可のクエリのために、システムを Active Directory に関連付けます。 システムがネットワークに追加されると、ユーザーが Active Directory で認証と許可を実行できるように、システム管理者はシステムとその製品オブジェクトをその Active Directory 名を使って設定する必要があります。 また、ユーザーが認証するためには、そのシステムを少なくとも 1 つの関連オブジェクトに追加する必要があります。

図 8-1 は、認証と許可のすべてに必要な関連付けを提供する関連オブジェクトを示しています。

図 8-1 Active Directory オブジェクトの典型的な設定

さらに、Active Directory のオブジェクトは 1 つのドメインでも複数のドメインでも設定できます。 1 つのドメインでオブジェクトを設定する場合は、Dell RAC、Server Admistrator、IT Assistant のどのオブジェクトを設定しても同じですが、 複数のドメインを設定する場合は異なります。

たとえば、DRAC 4 カードが 2 枚(RAC1 と RAC2)あり、既存の Active Directory ユーザーが 3 人(ユーザー 1、ユーザー 2、ユーザー 3)いるとします。 ユーザー 1 と ユーザー 2 に両方の DRAC 4 カードの管理者特権を与え、ユーザー 3 に RAC2 カードのログイン特権を与えたいとします。 図 8-2 は、このシナリオで Active Directory のオブジェクトを設定する方法を示しています。

図 8-2 単一ドメインでの Active Directory オブジェクトの設定

単一ドメインのシナリオでオブジェクトを設定するには、次の手順に従います。

  1. 関連オブジェクトを 2 つ作成します。

  2. 2 つの RAC 製品オブジェクト、RAC1 と RAC2 を作成して 2 枚の DRAC 4 カードを表します。

  3. 2 つの特権オブジェクト、特権 1 と 特権 2 を作成します。特権 1 にはすべての特権(システム管理者)、特権 2 にはログイン特権があります。

  4. ユーザー 1 と ユーザー 2 を グループ 1 としてグループ化します。

  5. グループ 1 を関連オブジェクト 1(AO1)のメンバとして、特権 1 を AO1 の特権オブジェクトとして、RAC1 と RAC2 の両方を AO1 の RAC 製品として追加します。

  6. ユーザー 3 を関連オブジェクト 2(AO2)のメンバとして、特権 2 を AO2 の特権オブジェクトとして、RAC2 を AO2 の RAC 製品として追加します。

詳しい手順については、「Active Directory へのユーザーと特権の追加」を参照してください。

8-3 は、RAC の複数のドメインで Active Directory のオブジェクトを設定する方法を示しています。 このシナリオでは、DRAC 4 カードが 2 枚(RAC1 と RAC2)あり、既存の Active Directory ユーザーが 3 人(ユーザー 1、ユーザー 2、ユーザー 3)いるとします。 ユーザー 1 は ドメイン 1 ですが、ユーザー 2 と ユーザー 3 は ドメイン 2 にいます。 ユーザー 1 と ユーザー 2 に RAC1 と RAC2 の両方のカードのシステム管理者特権を与え、ユーザー 3 に RAC2 カードのログイン特権を与えたいとします。

図 8-3 複数ドメインでの RAC Active Directory オブジェクトの設定

複数のドメインシナリオにおいてオブジェクトを設定するには、次のタスクを実行します。

  1. ドメインのフォレスト機能がネイティブまたは Windows 2003 モードになっていることを確認します。

  2. 2 つの関連オブジェクト AO1(ユニバーサルスコープの)と AO2 をいずれかのドメインに作成します。 図はドメイン 2 のオブジェクトを示しています。

  3. 2 つの RAC 製品オブジェクト、RAC1 と RAC2 を作成して 2 台のリモートシステムを表します。

  4. 2 つの特権オブジェクト、特権 1 と 特権 2 を作成します。特権 1 にはすべての特権(システム管理者)、特権 2 にはログイン特権があります。

  5. ユーザー 1 と ユーザー 2 を グループ 1 としてグループ化します。 グループ 1 のグループスコープはユニバーサルでなければなりません。

  6. グループ 1 を関連オブジェクト 1(AO1)のメンバとして、特権 1 を AO1 の特権オブジェクトとして、RAC1 と RAC2 の両方を AO1 の製品として追加します。

  7. ユーザー 3 を関連オブジェクト 2(AO2)のメンバとして、特権 2 を AO2 の特権オブジェクトとして、RAC2 を AO2 の製品として追加します。

一方、Server Administrator や IT Assistant の場合は、1 つの関連しかない複数のユーザーが異なるドメインに存在でき、ユニバーサルグループに追加する必要はありません。 次に、別々のドメインにある Server Administrator または IT Assistant のシステムがディレクトリのオブジェクトの設定にどのように影響するかをよく似た例を使って説明します。 RAC デバイスの代わりに、Server Administrator(Server Administrator 製品システム 1 とシステム 2)を実行している 2 台のシステムがあります。 システム 1 と システム 2 は異なるドメインにあります。 Active Directory にある既存のユーザーまたはグループを使用できます。 図 8-4 は、この例を使った Server Administrator Active Directory のオブジェクトの設定方法を示しています。

図 8-4 複数ドメインでの Server Administrator Active Directory オブジェクトの設定

複数のドメインシナリオにおいてオブジェクトを設定するには、次のタスクを実行します。

  1. ドメインのフォレスト機能がネイティブまたは Windows 2003 モードになっていることを確認します。

  2. 2 つの関連オブジェクト、AO1 と AO2 をいずれかのドメインに作成します。 図はドメイン 1 のオブジェクトを示しています。

  3. 2 個の Server Administrator 製品、システム 1 と システム 2 を作成して 2 台のシステムを表します。 システム 1 はドメイン 1 で、システム 2 はドメイン 2 にあります。

  4. 2 つの特権オブジェクト、特権 1 と 特権 2 を作成します。特権 1 にはすべての特権(システム管理者)、特権 2 にはログイン特権があります。

  5. システム 2 を グループ 1 へグループ化します。 グループ 1 のグループスコープはユニバーサルでなければなりません。

  6. ユーザー 1 と ユーザー 2 を関連オブジェクト 1(AO1)のメンバとして、特権 1 を AO1 の特権オブジェクトとして、システム 1 と グループ 1 の両方を AO1 の製品として追加します。

  7. ユーザー 3 を関連オブジェクト 2(AO2)のメンバとして、特権 2 を AO2 の特権オブジェクトとして、グループ 1 を AO2 の製品として追加します。

この場合は、関連オブジェクトはどちらもユニバーサルスコープでなくてもかまいません。

Active Directory がシステムにアクセスするための設定

Active Directory を使ってシステムにアクセスするには、Active Directory ソフトウェアとシステムの両方を設定する必要があります。

  1. Active Directory スキーマを拡張します(「Active Directory スキーマの拡張」を参照)。

  2. Active Directory ユーザーとコンピュータスナップインを拡張します(「Active Directory ユーザーとコンピュータスナップインへの Dell 拡張のインストール」を参照)。

  3. Active Directory にシステムのユーザーとその特権を追加します(「 Active Directory へのユーザーと特権の追加」を参照)。

  4. RAC システムの場合は、各ドメインコントローラで SSL を有効にします(「ドメインコントローラでの SSL を有効にする(RAC のみ)」を参照)。

  5. ウェブインタフェースかコマンドラインインタフェース(CLI)を使ってシステムの Active Directory のプロパティを設定します(「システムまたはデバイスの設定」を参照)。


Active Directory スキーマの拡張

RAC、Server Administrator、および IT Assistant のスキーマ拡張を使用できます。 使用しているソフトウェアまたはハードウェアのスキーマだけを拡張します。 そのソフトウェアに固有の設定を活用するには、それぞれの拡張子を別々に適用する必要があります。 Active Directory スキーマを拡張すると、スキーマのクラスと属性、特権例と関連オブジェクト、デルの組織単位などをスキーマに追加できます。

メモ:スキーマを拡張する前に、ドメインフォレストのスキーママスター FSMO(Flexible Single Master Operation)ロールオーナーで、スキーマ管理者 特権を持っている必要があります。

スキーマは 2 通りの方法で拡張できます。 Dell スキーマ拡張ユーティリティ、または Lightweight Directory Interchange Format(LDIF)スクリプトファイルを使用できます。

メモ:LDIF スクリプトファイルを使用する場合は、デルの組織単位は追加されません。

LDIF スクリプトファイルと Dell Schema Extender は『Dell PowerEdge™ OpenManage Installation and Server Management CD』の以下の各ディレクトリにあります。

インストールタイプは、選択したスキーマ拡張によって RAC4、RAC3、Server Administrator、IT Assistant 7.0 以降のいずれかです。

LDIF ファイルを使用するには、LDIF ファイルのディレクトリに入っている readme を参照してください。 Active Directory スキーマの拡張に Dell Schema Extender を使用する場合は、「Dell Schema Extender の使い方」の手順に従ってください。

Schema Extender または LDIF ファイルのコピーと実行はどの場所からでもできます。

Dell Schema Extender の使い方

注意:Dell Schema Extender は SchemaExtenderOem.ini ファイルを使用します。 Dell Schema Extender ユーティリティが正しく機能するためには、このファイルの名前を変更しないでください。
  1. ようこそ 画面で 次へ をクリックします。

  2. 警告を読んで、もう一度 次へ をクリックします。

  3. 資格情報で現在のログを使用 を選択するか、スキーマ管理者権限でユーザー名とパスワードを入力します。

  4. 次へ をクリックして Dell Schema Extender を実行します。

  5. 終了 をクリックします。

スキーマ拡張機能を確認するときは、MMC(Microsoft Management Console)のActive Directory スキーマのスナップインを利用して、次のクラス(表 8-1表 8-6表 8-7表 8-9表 8-10表 8-11表 8-12 を参照)と属性(表 8-13表 8-14表 8-15 を参照)について存在を確認してください。 MMC で Active Directory スキーマのスナップインを有効にして使用する方法については、Microsoft のマニュアルを参照してください。

表 8-1. Active Directory スキーマに追加されるクラスのクラス定義

クラス名

割り当てられるオブジェクト識別子(OID)

クラスの種類

dellRacDevice

1.2.840.113556.1.8000.1280.1.1.1.1

構造体クラス

dellAssociationObject

1.2.840.113556.1.8000.1280.1.1.1.2

構造体クラス

dellRAC4Privileges

1.2.840.113556.1.8000.1280.1.1.1.3

補助クラス

dellPrivileges

1.2.840.113556.1.8000.1280.1.1.1.4

構造体クラス

dellProduct

1.2.840.113556.1.8000.1280.1.1.1.5

構造体クラス

dellRAC3Privileges

1.2.840.113556.1.8000.1280.1.1.1.6

補助クラス

dellOmsa2AuxClass

1.2.840.113556.1.8000.1280.1.2.1.1

補助クラス

dellOmsaApplication

1.2.840.113556.1.8000.1280.1.2.1.2

構造体クラス

dellIta7AuxClass

1.2.840.113556.1.8000.1280.1.3.1.1

補助クラス

dellItaApplication

1.2.840.113556.1.8000.1280.1.3.1.2

構造体クラス

表 8-2. dellRacDevice クラス 

OID

1.2.840.113556.1.8000.1280.1.1.1.1

説明

このクラスは Dell RAC デバイスを表します。 RAC デバイスは Active Directory では dellRacDevice として設定する必要があります。 この設定を使うと、DRAC 4 は LDAP クエリを Active Directory に送信することができます。

クラスの種類

構造体クラス

SuperClasses

dellProduct

属性

dellSchemaVersion

dellRacType

表 8-3. dellAssociationObject クラス

OID

1.2.840.113556.1.8000.1280.1.1.1.2

説明

このクラスは Dell の関連オブジェクトを表しています。 関連オブジェクトはユーザーとデバイスまたは製品間の関連付けを提供します。

クラスの種類

構造体クラス

SuperClasses

グループ

属性

dellProductMembers

dellPrivilegeMember

表 8-4. dellRAC4Privileges クラス 

OID

1.2.840.113556.1.8000.1280.1.1.1.3

説明

このクラスは DRAC 4 デバイスの特権(許可の権限)を定義するために使用されます。

クラスの種類

補助クラス

SuperClasses

なし

属性

dellIsLoginUser

dellIsCardConfigAdmin

dellIsUserConfigAdmin

dellIsLogClearAdmin

dellIsServerResetUser

dellIsConsoleRedirectUser

dellIsVirtualMediaUser

dellIsTestAlertUser

dellIsDebugCommandAdmin

表 8-5. dellPrivileges クラス 

OID

1.2.840.113556.1.8000.1280.1.1.1.4

説明

このクラスはデルの特権(許可の権限)のコンテナクラスとして使用されます。

クラスの種類

構造体クラス

SuperClasses

ユーザー

属性

dellRAC4Privileges

dellRAC3Privileges

dellOmsaAuxClass

dellItaAuxClass

表 8-6. dellProduct クラス

OID

1.2.840.113556.1.8000.1280.1.1.1.5

説明

これはデル製品が導出される主要クラスです。

クラスの種類

構造体クラス

SuperClasses

コンピュータ

属性

dellAssociationMembers

表 8-7. dellRAC3Privileges クラス

OID

1.2.840.113556.1.8000.1280.1.1.1.6

説明

このクラスは、DRAC III、DRAC III/XT、ERA、ERA/O、および ERA/MC デバイスの特権(許可の権限)を定義するために使用されます。

クラスの種類

補助クラス

SuperClasses

なし

属性

dellIsLoginUser

表 8-8. dellOmsa2AuxClass クラス 

OID

1.2.840.113556.1.8000.1280.1.2.1.1

説明

このクラスは Server Administrator の特権(許可の権限)を定義するために使用されます。

クラスの種類

補助クラス

SuperClasses

なし

属性

dellOmsaIsReadOnlyUser

dellOmsaIsReadWriteUser

dellOmsaIsAdminUser

表 8-9. dellOmsaApplication クラス 

OID

1.2.840.113556.1.8000.1280.1.2.1.2

説明

このクラスは Server Administrator アプリケーションを表します。 Server Administrator は Active Directory では dellOmsaApplication として設定する必要があります。 この設定を使うと、Server Administrator のアプリケーションは LDAP クエリを Active Directory に送信することができます。

クラスの種類

構造体クラス

SuperClasses

dellProduct

属性

dellAssociationMembers

表 8-10. dellIta7AuxClass クラス

OID

1.2.840.113556.1.8000.1280.1.3.1.1

説明

このクラスは IT Assistant の特権(許可の権限)を定義するために使用されます。

クラスの種類

補助クラス

SuperClasses

なし

属性

dellItaIsReadOnlyUser

dellItaIsReadWriteUser

dellItaIsAdminUser

表 8-11. dellItaApplication クラス 

OID

1.2.840.113556.1.8000.1280.1.3.1.2

説明

このクラスは IT Assistant アプリケーションを表します。 IT Assistant は Active Directory では dellItaApplication として設定する必要があります。 この設定を使うと、IT Assitant は LDAP クエリを Active Directory に送信することができます。

クラスの種類

構造体クラス

SuperClasses

dellProduct

属性

dellAssociationMembers

表 8-12. Active Directory スキーマに追加される一般的な属性 

属性名 / 説明

割り当てられる OID/Syntax オブジェクト識別子

単一値

dellPrivilegeMember

この属性に属する dellPrivilege オブジェクトのリスト

1.2.840.113556.1.8000.1280.1.1.2.1

識別名(LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSE

dellProductMembers

この属性に属する dellRacDevices オブジェクトのリスト。 この属性は dellAssociationMembers バックワードリンクへのフォワードリンクです。

リンク ID:12070

1.2.840.113556.1.8000.1280.1.1.2.2

識別名(LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSE

dellAssociationMembers

この製品に属する dellAssociationObjectMembers のリスト。 この属性は dellProductMembers リンク属性へのバックワードリンクです。

リンク ID:12071

1.2.840.113556.1.8000.1280.1.1.2.14

識別名(LDAPTYPE_DN 1.3.6.1.4.1.1466.115.121.1.12)

FALSE

表 8-13. Active Directory スキーマに追加される RAC 固有の属性 

属性名 / 説明

割り当てられる OID/Syntax オブジェクト識別子

単一値

dellIsLoginUser

ユーザーがデバイスにログイン権限を持っている場合は TRUE。

1.2.840.113556.1.8000.1280.1.1.2.3

ブール(LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsCardConfigAdmin

ユーザーがデバイスにカード設定権限を持っている場合は TRUE。

1.2.840.113556.1.8000.1280.1.1.2.4

ブール(LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsUserConfigAdmin

ユーザーがデバイスにユーザー設定権限を持っている場合は TRUE。

1.2.840.113556.1.8000.1280.1.1.2.5

ブール(LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

delIsLogClearAdmin

ユーザーがデバイスにログ消去権限を持っている場合は TRUE。

1.2.840.113556.1.8000.1280.1.1.2.6

ブール(LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsServerResetUser

ユーザーがデバイスにサーバーリセット権限を持っている場合は TRUE。

1.2.840.113556.1.8000.1280.1.1.2.7

ブール(LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsConsoleRedirectUser

ユーザーがデバイスにコンソールリダイレクト権限を持っている場合は TRUE。

1.2.840.113556.1.8000.1280.1.1.2.8

ブール(LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsVirtualMediaUser

ユーザーがデバイスに仮想メディア権限を持っている場合は TRUE。

1.2.840.113556.1.8000.1280.1.1.2.9

ブール(LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsTestAlertUser

ユーザーがデバイスにユーザー警告テスト権限を持っている場合は TRUE。

1.2.840.113556.1.8000.1280.1.1.2.10

ブール(LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellIsDebugCommandAdmin

ユーザーがデバイスにデバッグコマンド管理者権限を持っている場合は TRUE。

1.2.840.113556.1.8000.1280.1.1.2.11

ブール(LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellSchemaVersion

スキーマの更新に現在のバージョンが使用されます。

1.2.840.113556.1.8000.1280.1.1.2.12

ケースが文字列を無視
(LDAPTYPE_CASEIGNORESTRING
1.2.840.113556.1.4.905)

TRUE

dellRacType

この属性は dellRacDevice オブジェクトの現在の Rac タイプで dellAssociationObjectMembers フォワードリンクへのバックワードリンクです。

1.2.840.113556.1.8000.1280.1.1.2.13

ケースが文字列を無視
(LDAPTYPE_CASEIGNORESTRING
1.2.840.113556.1.4.905)

TRUE

表 8-14. Active Directory スキーマに追加される Server Administrator 固有の属性 

属性名 / 説明

割り当てられる OID/Syntax オブジェクト識別子

単一値

dellOMSAIsReadOnlyUser

ユーザーが Server Administrator に読み取り専用権限を持っている場合は TRUE

1.2.840.113556.1.8000.1280.1.2.2.1

ブール(LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellOMSAIsReadWriteUser

ユーザーが Server Administrator に読み取り / 書き込み専用権限を持っている場合は TRUE

1.2.840.113556.1.8000.1280.1.2.2.2

ブール(LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellOMSAIsAdminUser

ユーザーが Server Administrator にシステム管理者権限を持っている場合は TRUE

1.2.840.113556.1.8000.1280.1.2.2.3

ブール(LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

表 8-15. Active Directory スキーマに追加される IT Assistant 固有の属性

属性名 / 説明

割り当てられる OID/Syntax オブジェクト識別子

単一値

dellItaIsReadWriteUser

ユーザーが IT Assistant に読み取り書き込み権限を持っている場合は TRUE

1.2.840.113556.1.8000.1280.1.3.2.1

ブール(LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellItaIsAdminUser

ユーザーが IT Assistant に管理者権限を持っている場合は TRUE

1.2.840.113556.1.8000.1280.1.3.2.2

ブール(LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

dellItaIsReadOnlyUser

ユーザーが IT Assistant に読み取り専用権限を持っている場合は TRUE

1.2.840.113556.1.8000.1280.1.3.2.3

ブール(LDAPTYPE_BOOLEAN 1.3.6.1.4.1.1466.115.121.1.7)

TRUE

Active Directory ユーザーとコンピュータスナップイン

Active Directory ユーザーとコンピュータスナップインへの Dell 拡張のインストール

Active Directory のスキーマを拡張する場合、製品、ユーザーとユーザーグループ、関連付け、特権などを管理できるように Active Directory ユーザーとコンピュータスナップインも拡張する必要があります。 複数のスキーマ拡張を追加した場合でも、スナップインは 1 度拡張するだけで済みます。 これらのオブジェクトの管理に使用するスナップインを各システムにインストールする必要があります。 Active Directory ユーザーとコンピュータスナップインへの Dell 拡張は、『Dell PowerEdge OpenManage Installation and Server Management CD』を使って Systems Management Software をインストールするときにインストールできるオプションの 1 つです。

メモ:Active Directory のオブジェクトを管理している管理ステーションのそれぞれに Administrator Pack をインストールする必要があります。 インストールに関しては、次項の「Active Directory ユーザーとコンピュータスナップインを開く」で説明します。 Administrator Pack をインストールしない場合は、コンテナの新しいオブジェクトを表示できません。
メモ:Active Directory ユーザーとコンピュータスナップインの詳細については、Microsoft のマニュアルを参照してください。

Active Directory ユーザーとコンピュータスナップインの開始

Active Directory ユーザーとコンピュータスナップインを開くには、次の手順に従います。

  1. ドメインコントローラにいる場合は、システム管理ツールの開始 ® Active Directory ユーザーと コンピュータ の順にクリックします。 ドメインコントロールにいない場合は、ローカルシステムに適切な Microsoft Administrator Pack がインストールされている必要があります。 この Administrator Pack をインストールするには、 スタート®ファイル名を指定して実行 の順にクリックし、MMC と入力して <Enter> を押します。

これで Microsoft 管理コンソール(MMC)ウィンドウが開きます。

  1. コンソール 1 ウィンドウで ファイル(Windows 2000 を実行しているシステムではコンソール)をクリックします。

  2. スナップインの追加と削除 をクリックします。

  3. Active Directory ユーザーとコンピュータ スナップインを選択して 追加 をクリックします。

  4. 閉じる をクリックして OK をクリックします。

Active Directory へのユーザーと特権の追加

Dell 拡張 Active Directory ユーザーとコンピュータスナップインを使用すると、RAC、関連付け、特権の各オブジェクトを作成して DRAC、Server Administrator、IT Assistant などのユーザーと特権を追加できます。 オブジェクトを追加するには、該当する項の手順に従ってください。

製品オブジェクトの作成

メモ:Server Administrator と IT Assistant はユニバーサル製品グループを使用して、その製品オブジェクトのドメインをスパンする必要があります。
メモ:ユニバーサルタイプの製品グループを別のドメインから追加するときは、ユニバーサルスコープで関連オブジェクトを作成する必要があります。 Dell Schema Extender ユーティリティによって作成されるデフォルトの関連オブジェクトは、ドメインのローカルグループであり、他のドメインからのユニバーサルタイプの製品グループと連動しません。

コンソールのルート(MMC)ウィンドウでコンテナを右クリックします。

  1. 新規作成 を選択します。

  2. インストールしたコンポーネントに応じて、RAC、Server Administrator、または IT Assistant のオブジェクトを選択します。

新規オブジェクト ウィンドウが開きます。

  1. 新しいオブジェクトの名前を入力します。 racadm CLI を使用した DRAC 4 Active Directory オプションの設定」に記載されるように、この名前は Active Directory の製品名 と同一のもの、あるいは RAC デバイスに対しては「システムまたはデバイスの設定」のステップ 4 で入力した名前、あるいは IT Assistant に対しては「IT Assistantを実行しているシステムでの Active Directory の設定」に記載される名前である必要があります。

  2. 該当する 製品オブジェクト を選択します。

  3. OK をクリックします。

特権オブジェクトの作成

特権オブジェクトは、それを関連付ける関連オブジェクトと同じドメインで作成する必要があります。

  1. コンソールのルート(MMC)ウィンドウでコンテナを右クリックします。

  2. 新規作成 を選択します。

  3. インストールしたコンポーネントに応じて、RAC、Server Administrator、または IT Assistant のオブジェクトを選択します。

新規オブジェクト ウィンドウが開きます。

  1. 新しいオブジェクトの名前を入力します。

  2. 該当する 特権オブジェクト を選択します。

  3. OK をクリックします。

  4. 作成した特権オブジェクトを右クリックして プロパティ を選択します。

  5. 適切な 特権 タブをクリックして、ユーザーに与える特権を選択します (詳細については、表 8-1 および 表 8-10 を参照してください)。

関連オブジェクトの作成

関連オブジェクトはグループから導出され、グループの種類が含まれていなければなりません。 関連スコープは関連オブジェクトのセキュリティグループの種類を指定します。 関連オブジェクトを作成するたびに、追加したいオブジェクトの種類に適用する関連スコープを選択する必要があります。 たとえば、ユニバーサル を選択すると、Active Directory ドメインがネイティブモード以上で機能している場合にのみ関連オブジェクトを使用できます。

  1. コンソールのルート(MMC)ウィンドウでコンテナを右クリックします。

  2. 新規作成 を選択します。

  3. インストールしたコンポーネントに応じて、RAC、Server Administrator、または IT Assistant のオブジェクトを選択します。

新規オブジェクト ウィンドウが開きます。

  1. 新しいオブジェクトの名前を入力します。

  2. 関連オブジェクト を選択します。

  3. 関連オブジェクト のスコープを選択します。

  4. OK をクリックします。

関連オブジェクトへのオブジェクトの追加

関連オブジェクトのプロパティ ウィンドウを使って、ユーザーやユーザーグループ、特権オブジェクト、システム、RAC デバイス、システムやデバイスグループを関連付けることができます。

メモ:RAC ユーザーはそのユーザーや RAC オブジェクトのドメインをスパンするには、ユニバーサルグループを使用する必要があります。

ユーザーと製品のグループを追加することもできます。 デルに関連したグループを、他のグループを作成したのと同じ方法で作成できます。

ユーザーまたはユーザーグループを追加する方法

  1. 関連オブジェクト を右クリックして プロパティ を選択します。

  2. ユーザー タブを選択して 追加 をクリックします。

  3. ユーザーまたはユーザーグループの名前を入力するか、参照して選択し、OK をクリックします。

特権オブジェクト タブをクリックして、システムで認証するときにユーザーまたはユーザーグループの特権を定義する関連を特権オブジェクトに追加します。

メモ:関連オブジェクトに追加できる特権オブジェクトは 1 つだけです。

特権を追加するには

  1. 特権オブジェクト タブを選択し、追加 をクリックします。

  2. 特権オブジェクトの名前を入力するか参照して、OK をクリックします。

製品 タブをクリックして、1 つまたは複数のシステムあるいはデバイスを関連に追加します。 関連オブジェクトは、ネットワークに接続している製品のうち、定義したユーザーやユーザーグループが使用できるものを指定します。

メモ:関連オブジェクトには複数のシステムまたは RAC デバイスを追加できます。

製品を追加するには

  1. 製品 タブを選択して 追加 をクリックします。

  2. システム、デバイス、またはグループ名を入力して、OK をクリックします。

  3. プロパティ ウィンドウで、適用OK の順にクリックします。

ドメインコントローラで SSL を有効にする(RAC のみ)

Microsoft エンタープライズのルート CA を使用してドメインコントローラすべての SSL 証明書を自動的に割り当てる場合は、次の操作を実行して各ドメインコントローラで SSL を有効にする必要があります。

  1. ドメインコントローラに Microsoft エンタープライズのルート CA をインストールします。

    1. スタート® コントロールパネル® プログラムの追加と削除 を選択します。

    1. Windows コンポーネントの追加と削除 を選択します。

    2. Windows コンポーネントウィザード で、証明書サービス チェックボックスを選択します。

    3. CA の種類 エンタープライズのルート CA を選択して 次へ をクリックします。

    4. この CA の共通名 を入力して 次へ をクリックし、完了 をクリックします。

  2. 各コントローラの SSL 証明書をインストールして、各ドメインで SSL を有効にします。

    1. スタート® 管理ツール® ドメインセキュリティポリシー をクリックします。

    1. 公開キーポリシー フォルダを展開し、自動証明書要求の 設定 を右クリックして 自動証明書の要求 をクリックします。

    2. 自動証明書要求の設定ウィザード 次へ をクリックし、ドメインコントローラ を選択します。

    3. 次へ をクリックして、完了 をクリックします。

ドメインコントローラのルート CA 証明書のエクスポート(RAC のみ)

メモ:Windows 2000 を使用している場合は、以下の手順と若干異なる場合があります。
  1. Microsoft Enterprise CA サービスをインストールするドメインコントローラに移動します。

  2. スタート® ファイル名を指定して実行 をクリックします。

  3. mmc と入力して OK をクリックします。

  4. コンソール 1(MMC)ウィンドウで ファイル(またはWindows 2000 システムではコンソール)をクリックし、スナップインの追加と削除 を選択します。

  5. スナップインの追加と削除 ウィンドウで 追加 をクリックします。

  6. スタンドアロンスナップイン ウィンドウで 証明書 を選択して 追加 をクリックします。

  7. コンピュータ アカウントを選択して 次へ をクリックします。

  8. ローカルコンピュータ を選択して 完了 をクリックします。

  9. OK をクリックします。

  10. コンソール 1 ウィンドウで、証明書 フォルダを展開し、パーソナル フォルダを展開して、 証明書 フォルダをクリックします。

  11. ルート CA 証明書を見つけて右クリックし、すべてのタスク を選択して エクスポート をクリックします。

  12. 証明書のエクスポート ウィザードで 次へ を選択し、いいえ、秘密キーをエクスポートしない を選択します。

  13. 次へ をクリックし、フォーマットとして Base-64 エンコード X.509 (.cer) を選択します。

  14. 次へ をクリックし、目的の場所に証明書を保存します。 この証明書を DRAC 4 に アップロードする必要があります。 証明書をアップロードするには、DRAC 4 ウェブインタフェース ® 設定タブ ® Active Directory ページ に進みます。 または racadm CLI コマンドを使うこともできます( 「racadm CLI を使用した DRAC 4 Active Directory オプションの設定」を参照)。

  15. 完了 をクリックして OK をクリックします。

全ドメインコントローラの信頼できる証明書リストへの DRAC 4 ファームウェア SSL 証明書のインポート

メモ:DRAC 4 ファームウェアの SSL 証明書がよく知られた CA によって署名されている場合は、ここで説明する手順を省略できます。
メモ:Windows 2000 を使用している場合は、以下の手順と若干異なる場合があります。
  1. DRAC 4 の SSL 証明書は DRAC 4 のウェブサーバーで使用される証明書と同じです。 DRAC 4 のコントローラにはすべて、デフォルトの自己署名付き証明書が付属しています。 この証明書は、DRAC 4 から Download DRAC 4 サーバー証明書をダウンロードする を選択して入手できます(DRAC 4 ウェブインタフェースの 設定 タブと Active Directory サブタグを参照してください)。

  2. ドメインコントローラで、MMC コンソール ウィンドウを開き、証明書® 信頼できるルート認証局 の順に選択します。

  3. 証明書 を右クリックし、すべてのタスク を選択して インポート をクリックします。

  4. 次へ をクリックして SSL 証明書ファイルまで参照します。

  5. 各ドメインコントローラの信頼できるルート認証局で RAC SSL 証明書をインストールします。

独自の証明書をインストールした場合は、その証明書に署名する CA が 信頼できるルート認証局 リストにあるかどうか確認してください。 CA がリストにない場合には、すべてのドメインコントローラにインストールする必要があります。

  1. 次へ をクリックし、証明書の種類に基づいて証明書の保存場所を Windows に自動的に選択させるか、希望の場所まで参照します。

  2. 完了 をクリックして OK をクリックします。

システムまたはデバイスの設定

CLI コマンドを使っての Server Administrator または IT Assistant systems using を設定は「Server Administrator の実行中でのCLI コマンドを使用した Active Directory の設定」および「 IT Assistant が実行中での Active Directory の設定」を参照してください。 DRAC ユーザーの場合、DRAC 4 を設定する方法は 2 通りあります。 「ウェブインタフェースを使用した DRAC 4 の設定」または「racadm CLI を使用した DRAC 4 Active Directory オプションの設定」を参照してください。

メモ: Server Administrator および / または IT Assistant がインストールされているシステムで、Active Directory ドメインはコンピュータアカウントに必要です。

Server Administrator を実行しているシステムで CLI を使って Active Directory を設定する方法

Active Directory サービスを設定するには、omconfig preferences dirservice コマンドを使用できます。 製品oem.ini ファイルの内容を変更することでこれらの変更を反映できます。 adproductname 製品の oem.ini ファイルにない場合は、デフォルト名が割り当てられます。 デフォルト値は system name-software-product nameで、system name は Server Administrator を実行しているシステムの名前、software-product nameomprv32.ini(すなわち computerName-omsa)で定義されるソフトウェア製品の名前を示します

メモ:このコマンドは、Windows オペレーティングシステムを実行しているシステムにのみ適用できます。
メモ:Active Directory の設定後、Server Administrator サービスを再起動します。

表 8-16 はコマンドの有効なパラメータです。

表 8-16. Active Directory サービスの設定パラメータ

name=value pair

説明

prodname=<テキスト>

Active Directory の設定変更を適用するソフトウェア製品を指定します。 Prodname は、omprv32.ini で定義されている製品の名前を指します。 Server Administrator では omsa です。

enable=<true | false>

true:Active Directory サービスの認証サポートを有効にします。

false:Active Directory サービスの認証サポートを無効にします。

adprodname=<テキスト>

Active Directory サービスで定義されている製品の名前を指定します。 この名前は製品を Active Directory の特権データに関連付けて、ユーザー認証に使用します。

IT Assistantを実行しているシステムでの Active Directory の設定

デフォルトでは、Active Directory 製品名は、マシン名-ita で、マシン名は IT Assistant がインストールされているシステムの名前です。 違う名前に設定するには、インストールディレクトリにあるitaoem.iniファイルを見つけます。 このファイルを編集して "adproductname=テキスト" の行を追加します。テキスト は、Active Directory で作成した製品オブジェクトの名前です。 たとえば、Active Directory 製品名が mgmtStationITA と設定されている場合、itaoem.ini ファイルには次の構文が含まれます。

productname=IT Assistant
startmenu=Dell OpenManage Applications
autdbid=ita
accessmask=3
startlink=ITAUIServlet
adsupport=true
adproductname=mgmtStationITA

メモ:itaoem.ini ファイルをディスクに保存後、IT Assistant サービスを再起動します。

ウェブインタフェースを使用した DRAC 4 の設定

  1. デフォルトのユーザー、ルート、およびそのパスワードを使って、ウェブベースインタフェースにログインします。

  2. 設定 タブをクリックし、Active Directory を選択します。

  3. Active Directory を有効にする チェックボックスをオンにします。

  4. DRAC 4 の名前 を入力します。 この名前は、ドメインコントローラで作成した RAC オブジェクトの共通名と同じでなければなりません(「Active Directory ユーザーとコンピュータスナップインへの Dell 拡張のインストール」を参照してください)。

  5. ルートドメイン名 を入力します。 ルートドメイン名 はフォレストのルートドメインの完全修飾名です。

  6. DRAC 4 ドメイン名(たとえば drac4.com)を入力します。 NetBIOS 名は使用しないでください。 DRAC 4 ドメイン名 は、RAC デバイスオブジェクトがあるサブドメインの完全修飾ドメイン名です。

  7. 適用 をクリックして Active Directory の設定を保存します。

  8. Active Directory CA 証明書をアップロードする をクリックして、ドメインフォレストのルート CA 証明書を DRAC 4 にアップロードします。 ドメインフォレストのドメインコントローラの SSL 証明書は、この CA 証明書に署名している必要があります。 ルート CA 証明書をローカルシステムで使用できるようにします(「ドメインコントローラのルート CA 証明書のエクスポート(RAC のみ)」を参照)。 ルート CA 証明書のフルパスとファイル名を指定し、アップロード をクリックしてルート CA 証明書を DRAC 4 ファームウェアにアップロードします。 アップロード をクリックした後、DRAC 4 ウェブサーバーが自動的に再起動します。 DRAC 4 Active Directory 機能の設定を完了するには、もう一度ログインする必要があります。

  9. 設定 タブをクリックし、ネットワーク を選択します。

  10. DRAC 4 NIC DHCP が有効になっている場合は、DHCP を使用して DNS サーバーのアドレスを取得する チェックボックスをオンにします。 DNS サーバーの IP アドレスを手動で入力したい場合は、DHCP を使用して DNS サーバーのアドレスを取得する チェックボックスをオフにし、プライマリおよび代替の DNS サーバーの IP アドレスを入力します。

  11. 適用 を押して、DRAC 4 Active Directory 機能の設定を完了します。

racadm CLI を使用した DRAC 4 Active Directory オプションの設定

ウェブインタフェースの代わりに racadm CLI を使って DRAC 4 の Active Directory 機能を設定するには、次のコマンドを使用します。

  1. コマンドプロンプトを開き、次の racadm コマンドを入力します。

racadm config -g cfgActiveDirectory -o cfgADEnable 1
racadm config -g cfgActiveDirectory -o cfgADRacDomain <
完全修飾の RAC ドメイン名>
racadm config -g cfgActiveDirectory -o cfgADRootDomain <
完全修飾のルートドメイン名>
racadm config -g cfgActiveDirectory -o cfgADRacName <
RAC 共通名>
racadm sslcertupload -t 0x2 -f <
ADS ルート CA 証明書>
racadm sslcertdownload -t 0x1 -f <
RAC SSL 証明書>

  1. DRAC 4 で DHCP が有効になり、DHCP サーバーが提供する DNS を使用したい場合は、次のコマンドを入力します。

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 1

  1. DRAC 4 で DHCP が無効になっている場合や、手動で DNS IP アドレスを入力したい場合は、 次のコマンドを入力します。

racadm config -g cfgLanNetworking -o cfgDNSServersFromDHCP 0
racadm config -g cfgLanNetworking -o cfgDNSServer1 <
一次 DNS IP アドレス>
racadm config -g cfgLanNetworking -o cfgDNSServer2
<二次 DNS IP アドレス>

  1. Enter を押して、DRAC 4 Active Directory 機能の設定を完了します。

詳細については、『Dell Remote Access Controller 4 ユーザーズガイド』を参照してください。


目次ページに戻る