iLKM機能
iDRACローカル キー管理(iLKM)は、Secure Enterprise Key Management (SEKM)とよく似たセキュリティ ソリューションです。このソリューションは、SEKMを使用する予定はないが、iDRACを使用してデバイスを保護したいユーザーに最適です。ただし、後でSEKMに移行することもできます。
iLKMを使用する場合、iDRACはキー マネージャーとして機能し、ストレージ デバイスのセキュリティ保護に使用される認証キーを生成します。iLKMをキー管理システムとして使用するには、の順に選択し、ドロップダウン メニューからiLKMを選択します。
注:iLKMには、SEKMライセンスとiDRAC Enterprise、またはSEKMライセンスとiDRAC Datacenterライセンスの組み合わせが必要です。
iLKMを有効にするには、パスフレーズとキーIDを入力します。パスフレーズとキーIDの長さは、どちらも255文字以内にする必要があります。
注:
- iLKMは、iDRAC UI、RACADM、Redfishインターフェイスを介して表示し、設定できます。
- iDRACがiLKMセキュリティ モードの場合、サポートされているNVMe SEDでセキュリティを有効または無効にできます。
- System Lockdownモードでは、iLKMを有効または無効にすることや、キーを再設定することはできません。
- iLKMは現在、TCG Opal 2.0以上のプロトコルをサポートする直接接続型NVMe SEDのみをサポートしています。PERCコントローラーを搭載したサーバーの場合は、既存のPERC LKM機能を使用してPERCでLKMを有効にします。
- iLKMには、キー再設定オプションがあります。このオプションでは、認証用のパスフレーズとキーIDを入力する必要があります。
自動セキュア セキュリティ対応ドライブ
- セキュリティが有効なSAS HBAの後方で、PERCに接続されていないNVMe SEDおよびSAS SEDを自動で保護するようにiDRACに要求するオプション。ホストの再起動またはドライブのホット プラグで、ドライブの保護が自動的に開始されます。
- PERCやSAS HBAなどのコントローラー セキュリティが、オプションによって自動的に有効になることはありません。
- オプションはデフォルトで有効になっています。RACADMコマンドを使用して無効にできます。
- ドライブをiDRACで保護する必要がなくなった場合は、暗号形式消去オプション(またはPSID復元オプション)を使用して、ドライブを転用する前に、このオプションを無効にします。
注:NVMe直接接続ドライブには、暗号化対応ドライブと暗号化非対応ドライブがあります。自動セキュア操作中に両方のNVMe直接接続ドライブのプラグイン ステータスが検証されるため、暗号化非対応ドライブに対してはSEKM 044ログが生成されます。
注:PSIDベースの復元操作は、ロックされたドライブまたは外部ドライブでのみ実行できます。PSIDベースの復元操作は、PERCコントローラーに接続されているドライブでは実行できません。
注:自動セキュア セキュリティ対応ドライブオプションを有効にした後すぐに、ホスト システムで電源サイクルを実行しないでください。これを行った場合、ドライブのセキュリティ有効化が中断され、ドライブが未定義のセキュリティ状態になる可能性があります。
iLKMからSEKMへの移行
移行を認証するには、SEKM構成の詳細とともにiLKMパスフレーズを入力する必要があります。認証に成功すると、iDRACでSEKMが有効になり、以前のiLKMキーIDが削除されます。iLKMからSEKMに移行するには、次の手順を実行します。
-
CSA証明書を設定します。
-
SEKMを設定します。
-
iLKMからSEKMへの移行を実行します。