返回目录页

Dell OpenManage™ 安全性

Dell OpenManage™ 5.1 版安装和安全性用户指南

  安全功能

  内置安全功能

  安全管理



安全功能

Dell OpenManage System Management Software 组件提供了以下安全功能:

注:Telnet 不支持 SSL 加密技术。

内置安全功能

端口

表 2-1 列出了 Dell OpenManage Systems Management 软件使用的端口、其它标准操作系统服务以及其它代理应用程序。 必须正确配置端口,Dell OpenManage Systems Management Software 才能通过防火墙连接到远程设备。 如果与远程设备的通信尝试失败,可能是指定了错误的端口号。

注:表 2-1 中的“版本”指的是使用端口的最低产品版本(如果已指定,则为显式版本)。

表 2-1. Dell OpenManage UDP/TCP 端口默认位置 

端口号

协议

端口类型

版本

最高加密级别

方向

用法

可配置

Dell OpenManage 底板管理控制器 - PowerEdge™ x8xx 系统

623

RMCP

UDP

仅限 PowerEdge x800 系统

入/出

通过 LAN 进行 IPMI 访问

Dell OpenManage 底板管理公用程序

623

Telnet

TCP

1.x

入/出

接受进入的 Telnet 连接

623

RMCP

UDP

1.x

入/出

基本 BMC 命令:服务器状态、通电/断电等。

623

RMCP

UDP

1.x

入/出

基本 BMC 命令和控制台重定向

Dell OpenManage Client Connector

135

RPC

TCP/UDP

2.0

入/出

客户管理数据的查看

389

LDAP

TCP

2.0

128 位

入/出

域验证

4995

HTTPS

TCP

2.0

128 位 SSL

入/出

Web GUI

1024 - 65535(动态分配)

DCOM

TCP/UDP

2.0

入/出

客户管理数据的查看

端口范围可以限制。

Dell OpenManage Client Instrumentation

20

HTTP 和 FTP

TCP

6.x、7.x

入/出

快擦写 BIOS 通信

21

HTTP 和 FTP

TCP

6.x、7.x

入/出

快擦写 BIOS 通信

80

HTTP 和 FTP

TCP

6.x、7.x

入/出

快擦写 BIOS 通信

135

DCOM

TCP/UDP

6.x、7.x

入/出

通过 WMI 进行监控和配置

135

DCOM

TCP

7.x

通过 WMI 进行事件传输

162

SNMP

UDP

6.x

通过 SNMP 进行事件传输

1024 - 65535
(动态分配)

DCOM

TCP/UDP

6.x、7.x

入/出

通过 WMI 进行监控和配置

 

> 32780
(动态分配)

DMI

TCP/UDP

6.x

入/出

通过 DMI 进行监控和配置

系统各不相同。

Dell OpenManage IT Assistant

20

FTP

TCP

6.x

入/出

快擦写 BIOS

22

SSH

TCP

7.x

128 位

入/出

IT Assistant 上下文应用程序启动 — SSH 客户端

远程软件更新至 Server Administrator — 适于支持 Linux 的系统

23

Telnet

TCP

7.x

入/出

IT Assistant 上下文应用程序启动 — Telnet 到 Linux 设备

25

SMTP

TCP

7.x

入/出

来自 IT Assistant 的可选电子邮件报警措施

68

UDP

UDP

6.x、7.x

通过 LAN 唤醒

80

HTTP

TCP

6.x

入/出

快擦写 BIOS

80

HTTP

TCP

7.x

入/出

IT Assistant 上下文应用程序启动 — PowerConnect™ 控制台

135

RPC

TCP

6.x、7.x

入/出

通过 CIM 从 Server Administrator 接收事件 — 适于支持 Windows® 的系统

135

RPC

TCP/UDP

6.x

入/出

远程系统 DMI 发现

135

RPC

TCP/UDP

7.x

入/出

远程软件更新至 Server Administrator — 适于支持 Windows 的系统

远程命令行 — 适于支持 Windows 的系统

161

SNMP

UDP

6.x、7.x

入/出

SNMP 查询管理

162

SNMP

UDP

6.x、7.x

通过 SNMP 接收事件

162

SNMP

UDP

7.x

自 IT Assistant 的 SNMP 陷阱转发操作

389

LDAP

TCP

7.x

128 位

入/出

对 IT Assistant 登录的域验证

1433

专用

TCP

7.x

入/出

可选远程 SQL 服务器访问

2606

专用

TCP

6.x、7.x

入/出

网络监控服务通信端口

2607

HTTPS

TCP

7.x

128 位 SSL

入/出

IT Assistant web GUI

3389

RDP

TCP

7.x

128 位 SSL

入/出

IT Assistant 上下文应用程序启动 — 针对 Windows 终端服务的远程台式机

11487/11489

专用

TCP/UDP

6.x

快擦写 BIOS

443

专用

TCP

8.0

入/出

EMC 存储发现和库存

623

RMCP

UDP

8.0

入/出

通过 LAN 进行 IPMI 访问

6389

专用

TCP

8.0

入/出

可在主机系统(通过 NaviCLI/NaviSecCLI 和 Navisphere 主机代理)和存储系统上 Navisphere 阵列代理之间实现通信。

Dell OpenManage Server Administrator

22

SSH

TCP

2.0

128 位

入/出

远程 Server Administrator 命令行(适于 IT Assistant)。远程软件更新功能(适于 Linux)。

25

SMTP

TCP

2.0

入/出

自 Server Administrator 的可选电子邮件报警信息

135

RPC

TCP/UDP

2.0

入/出

CIM 管理查询

135

RPC

TCP/UDP

2.0

入/出

远程 Server Administrator 命令行(适于 IT Assistant)。 远程软件更新功能(适于 Windows)。

139

NetBIOS

TCP

2.0

入/出

远程 Server Administrator 命令行(适于 IT Assistant)。 远程软件更新(适于 Windows)。

161

SNMP

UDP

1.x, 2.0

入/出

SNMP 查询管理

162

SNMP

UDP

1.x, 2.0

SNMP 陷阱事件

445

NetBIOS

TCP

2.0

入/出

针对 Server Administrator 的远程软件更新(适于 Windows)

1311

HTTPS

TCP

1.x

128 位 SSL

入/出

Web GUI

11487

专用

UDP

1.x

自 IT Assistant 的远程快擦写 BIOS 更新启动

11489

专用

TCP

1.x

自 IT Assistant 的远程快擦写 BIOS 更新文件传输

1024 -65535

DCOM

TCP/UDP

2.0

入/出

CIM/WMI 查询管理

Dell Remote Access Controller (DRAC):DRAC III、DRAC III/XT、ERA 和 ERA/O

21

FTP

TCP

1.0

入/出

通过 FTP 的固件更新以及证书上传/下载

23

Telnet

TCP

1.0

入/出

基于 Telnet 的可选 CLI 管理

25

SMTP

TCP

1.0

入/出

可选电子邮件报警信息

68

DHCP

UDP

1.2

入/出

DHCP 分配的 IP 地址

69

TFTP

UDP

1.0

入/出

通过 Trivial FTP 的固件更新。
通过 TFTP 的远程软盘引导

80

HTTP

TCP

1.0

入/出

Web GUI 重定向到 HTTPS

162

SNMP

UDP

1.0

SNMP 陷阱事件

443

HTTPS

TCP

1.0

128 位 SSL

入/出

Web 管理 GUI

443

HTTPS

TCP

3.2

128 位 SSL

入/出

远程 racadm CLI 公用程序

5869

专用

TCP

1.0

入/出

远程 racadm CLI 公用程序

5900

VNC

TCP

1.0

56 位 DES

入/出

视频重定向

5900

VNC

TCP

3.2

128 位 RC

入/出

视频重定向

5981

VNC

TCP

1.0

入/出

视频重定向

随机且 > 32768

专用

TCP

1.0

入/出

从 Web GUI 进行固件更新

DRAC 4

22

SSHv2

TCP

1.30

128 位

入/出

可选 Secure Shell (SSH) CLI 管理

23

Telnet

TCP

1.0

入/出

可选 Telnet CLI 管理

25

SMTP

TCP

1.0

入/出

可选电子邮件报警信息

53

DNS

UDP

1.20

入/出

对在 DRAC 中分配的主机名进行动态域名服务器 (DNS) 注册

68

DHCP

UDP

1.0

入/出

DHCP 分配的 IP 地址

69

TFTP

UDP

1.0

入/出

通过 Trivial FTP 进行固件更新。

80

HTTP

TCP

1.0

入/出

Web GUI 重定向到 HTTPS

161

SNMP

UDP

1.0

入/出

SNMP 查询管理

162

SNMP

UDP

1.0

SNMP 陷阱事件

443

HTTPS

TCP

1.0

128 位 SSL

入/出

Web 管理 GUI 和远程 racadm CLI 公用程序

636

LDAPS

TCP

1.0

128 位 SSL

入/出

可选 Active Directory Services (ADS) 验证

3269

LDAPS

TCP

1.0

128 位 SSL

入/出

可选 Active Directory Services (ADS) 验证

3668

专用

TCP

1.0

入/出

CD/软盘虚拟介质服务

5869

专用

TCP

1.0

入/出

远程 racadm

5900

专用

TCP

1.0

128位 RC4,仅限键盘/鼠标通信

入/出

视频重定向

DRAC/MC

23

Telnet

TCP

1.0

入/出

可选 Telnet CLI 管理

25

SMTP

TCP

1.0

入/出

可选电子邮件报警信息

53

DNS

UDP

1.0

入/出

对在 DRAC 中分配的主机名进行动态 DNS 注册

68

DHCP

UDP

1.0

入/出

DHCP 分配的 IP 地址

69

TFTP

UDP

1.0

入/出

通过 Trivial FTP 进行固件更新。

80

HTTP

TCP

1.0

入/出

Web GUI 重定向到 HTTPS

161

SNMP

UDP

1.0

入/出

SNMP 查询管理

162

SNMP

UDP

1.0

SNMP 陷阱事件

389

LDAP

TCP

1.0

入/出

可选 Active Directory Services (ADS) 验证

443

HTTPS

TCP

1.0

128 位 SSL

入/出

Web 管理 GUI 和远程 racadm CLI 公用程序

636

LDAPS

TCP

1.0

128 位 SSL

入/出

可选 Active Directory Services (ADS) 验证

3269

LDAPS

TCP

1.0

128 位 SSL

入/出

可选 Active Directory Services (ADS) 验证

数字化 KVM

2068

专用

TCP

1.0

128 位 SSL

入/出

视频重定向 — 键盘/鼠标

3668

专用

TCP

1.0

入/出

虚拟介质

8192

专用

TCP

1.0

入/出

视频重定向到客户端 Viewer

注:CIM 端口是动态的。 请参阅 support.microsoft.com 上的 Microsoft 知识库了解有关 CIM 端口用法的信息。
注:如果正在使用防火墙,必须打开表 2-1 中列出的所有端口以确保 IT Assistant 和其它 Dell OpenManage 应用程序运行正常。

安全管理

Dell 通过基于角色的访问控制 (RBAC)、身份验证和加密或者通过 Active Directory 为基于 Web 的界面和命令行界面提供安全和访问管理。

基于角色的访问控制 (RBAC)

RBAC 通过确定可以由特定角色用户执行的操作来管理安全性。 每个用户分配有一个或多个角色,每个角色分配有一个或多个用户权限,处于该角色的用户将具备这些权限。 借助 RBAC,安全管理可以与组织结构紧密相关。 有关设置 Dell OpenManage 用户的信息,请参阅“分配用户权限”。

用户权限

Server Administrator 基于分配给用户的组权限赋予用户不同的访问权限。 用户级别有三种:User(用户)Power User(高级用户)Administrator(管理员)

User(用户) 可以查看大多数信息。

Power User(高级用户)可以设置警告阈值,运行诊断检测程序,以及配置出现警告或故障事件时采取的警报措施。

Administrator(管理员)可以配置和执行关机操作,配置操作系统挂起时系统的自动恢复操作,以及清除硬件、事件和命令日志。 Administrator(管理员)还可以发送电子邮件。

Server Administrator 赋予以 User(用户)权限登录的用户只读访问权限;赋予以 Power User(高级用户)权限登录的用户读写访问权限;赋予以 Administrator(管理员)权限登录的用户读、写和管理员访问权限。 请参阅表 2-2

表 2-2. 用户权限 

用户权限

访问类型

  

管理员

User(用户)

 

 

X

Power User(高级用户)

 

X

X

Administrator(管理员)

X

X

X

管理员访问权限允许关闭管理系统。

访问权限可以修改或设置管理系统上的值。

访问权限允许查看 Server Administrator 报告的数据。 读访问权限不允许更改或设置管理系统上的值。

访问 Server Administrator 服务的权限级别

表 2-3 概括了具有访问和管理 Server Administrator 服务权限的用户级别。

表 2-3. Server Administrator 用户权限级别 

服务

所需用户权限级别

  

查看

管理

Instrumentation

U, P, A

P, A

Remote Access

U, P, A

A

Update

U, P, A

A

Storage Management

U, P, A

A

表 2-4 定义了表 2-3 中使用的用户权限级别缩写。

表 2-4. Server Administrator 用户权限级别说明 

U

User(用户)

P

Power User(高级用户)

A

Administrator(管理员)

验证

Server Administrator 验证方案确保可以将正确的访问类型分配给正确的用户权限。 此外,调用 CLI 时,Server Administrator 验证模式会验证当前过程运行的环境。 该验证方案确保可以正确验证所有 Server Administrator 功能(无论通过 Server Administrator 主页还是通过 CLI 进行访问)。

Microsoft Windows 验证

对于支持的 Windows 操作系统,Server Administrator 验证使用集成 Windows 验证(以前称为 NTLM)进行验证。 该验证系统使 Server Administrator 安全保护可以并入网络的整体安全保护方案中。

Red Hat® Enterprise Linux 和 SUSE® Linux Enterprise Server 验证

对于支持的 Red HatEnterprise Linux 和 SUSE Linux Enterprise Server 操作系统,Server Administrator 验证基于可插拔验证模块 (PAM) 程序库。 已公开的功能程序库使管理员可以确定不同的应用程序验证用户的方法。

加密

通过使用安全套接字层 (SSL) 技术的安全 HTTPS 连接访问 Server Administrator 可以确保并保护正在管理的系统的身份。 用户访问 Server Administrator 主页时,支持的 Windows、Red Hat Enterprise Linux 和 SUSE Linux Enterprise Server 操作系统可使用 Java 安全套接字扩展 (JSSE) 来保护用户凭据和其它通过套接字连接传输的敏感数据。

Microsoft Active Directory

Active Directory 服务软件充当网络安全的中央机构,使操作系统很容易地验证用户的标识并控制用户访问所支持 Windows 平台上运行的 Dell OpenManage 应用程序的网络资源。 Dell 为客户提供了架构扩展以修改其 Active Directory 数据库来支持远程管理验证和授权。 IT Assistant、Server Administrator 和 Dell Remote Access Controller 现在可以与 Active Directory 进行交互以从一个中央数据库添加并控制用户和权限。 有关使用 Active Directory 的信息,请参阅“使用 Microsoft® Active Directory®”。


返回目录页