返回目录页
Dell OpenManage™ 安全性
Dell OpenManage™ 5.1 版安装和安全性用户指南
安全功能
内置安全功能
安全管理
安全功能
Dell OpenManage System Management Software 组件提供了以下安全功能:
- 通过硬件中存储的用户 ID 和密码或者通过使用可选的 Microsoft® Active Directory® 来验证用户身份。
- 基于角色的授权,允许为每个用户配置具体权限。
- 通过基于 Web 的界面或命令行界面 (CLI)(大多数情况)配置用户 ID 和密码。
- 128 位和 40 位(用于不允许 128 位的国家/地区)SSL 加密技术。
|
注:Telnet 不支持 SSL 加密技术。 |
- 通过基于 Web 的界面或 CLI 配置会话超时(分钟)。
- 许多常见端口的配置。
内置安全功能
端口
表 2-1 列出了 Dell OpenManage Systems Management 软件使用的端口、其它标准操作系统服务以及其它代理应用程序。 必须正确配置端口,Dell OpenManage Systems Management Software 才能通过防火墙连接到远程设备。 如果与远程设备的通信尝试失败,可能是指定了错误的端口号。
|
注:表 2-1 中的“版本”指的是使用端口的最低产品版本(如果已指定,则为显式版本)。 |
表 2-1. Dell OpenManage UDP/TCP 端口默认位置
端口号
|
协议
|
端口类型
|
版本
|
最高加密级别
|
方向
|
用法
|
可配置
|
Dell OpenManage 底板管理控制器 - PowerEdge™ x8xx 系统
|
623
| RMCP
| UDP
| 仅限 PowerEdge x800 系统
| 无
| 入/出
| 通过 LAN 进行 IPMI 访问
| 否
|
Dell OpenManage 底板管理公用程序
|
623
| Telnet
| TCP
| 1.x
| 无
| 入/出
| 接受进入的 Telnet 连接
| 是
|
623
| RMCP
| UDP
| 1.x
| 无
| 入/出
| 基本 BMC 命令:服务器状态、通电/断电等。
| 否
|
623
| RMCP
| UDP
| 1.x
| 无
| 入/出
| 基本 BMC 命令和控制台重定向
| 否
|
Dell OpenManage Client Connector
|
135
| RPC
| TCP/UDP
| 2.0
| 无
| 入/出
| 客户管理数据的查看
| 否
|
389
| LDAP
| TCP
| 2.0
| 128 位
| 入/出
| 域验证
| 否
|
4995
| HTTPS
| TCP
| 2.0
| 128 位 SSL
| 入/出
| Web GUI
| 是
|
1024 - 65535(动态分配)
| DCOM
| TCP/UDP
| 2.0
| 无
| 入/出
| 客户管理数据的查看
| 端口范围可以限制。
|
Dell OpenManage Client Instrumentation
|
20
| HTTP 和 FTP
| TCP
| 6.x、7.x
| 无
| 入/出
| 快擦写 BIOS 通信
| 否
|
21
| HTTP 和 FTP
| TCP
| 6.x、7.x
| 无
| 入/出
| 快擦写 BIOS 通信
| 否
|
80
| HTTP 和 FTP
| TCP
| 6.x、7.x
| 无
| 入/出
| 快擦写 BIOS 通信
| 否
|
135
| DCOM
| TCP/UDP
| 6.x、7.x
| 无
| 入/出
| 通过 WMI 进行监控和配置
| 否
|
135
| DCOM
| TCP
| 7.x
| 无
| 出
| 通过 WMI 进行事件传输
| 否
|
162
| SNMP
| UDP
| 6.x
| 无
| 出
| 通过 SNMP 进行事件传输
| 否
|
1024 - 65535 (动态分配)
| DCOM
| TCP/UDP
| 6.x、7.x
| 无
| 入/出
| 通过 WMI 进行监控和配置
|
|
> 32780 (动态分配)
| DMI
| TCP/UDP
| 6.x
| 无
| 入/出
| 通过 DMI 进行监控和配置
| 系统各不相同。
|
Dell OpenManage IT Assistant
|
20
| FTP
| TCP
| 6.x
| 无
| 入/出
| 快擦写 BIOS
| 否
|
22
| SSH
| TCP
| 7.x
| 128 位
| 入/出
| IT Assistant 上下文应用程序启动 — SSH 客户端
远程软件更新至 Server Administrator — 适于支持 Linux 的系统
| 是
|
23
| Telnet
| TCP
| 7.x
| 无
| 入/出
| IT Assistant 上下文应用程序启动 — Telnet 到 Linux 设备
| 否
|
25
| SMTP
| TCP
| 7.x
| 无
| 入/出
| 来自 IT Assistant 的可选电子邮件报警措施
| 否
|
68
| UDP
| UDP
| 6.x、7.x
| 无
| 出
| 通过 LAN 唤醒
| 是
|
80
| HTTP
| TCP
| 6.x
| 无
| 入/出
| 快擦写 BIOS
| 否
|
80
| HTTP
| TCP
| 7.x
| 无
| 入/出
| IT Assistant 上下文应用程序启动 — PowerConnect™ 控制台
| 否
|
135
| RPC
| TCP
| 6.x、7.x
| 无
| 入/出
| 通过 CIM 从 Server Administrator 接收事件 — 适于支持 Windows® 的系统
| 否
|
135
| RPC
| TCP/UDP
| 6.x
| 无
| 入/出
| 远程系统 DMI 发现
| 否
|
135
| RPC
| TCP/UDP
| 7.x
| 无
| 入/出
| 远程软件更新至 Server Administrator — 适于支持 Windows 的系统
远程命令行 — 适于支持 Windows 的系统
| 否
|
161
| SNMP
| UDP
| 6.x、7.x
| 无
| 入/出
| SNMP 查询管理
| 否
|
162
| SNMP
| UDP
| 6.x、7.x
| 无
| 入
| 通过 SNMP 接收事件
| 否
|
162
| SNMP
| UDP
| 7.x
| 无
| 出
| 自 IT Assistant 的 SNMP 陷阱转发操作
| 否
|
389
| LDAP
| TCP
| 7.x
| 128 位
| 入/出
| 对 IT Assistant 登录的域验证
| 否
|
1433
| 专用
| TCP
| 7.x
| 无
| 入/出
| 可选远程 SQL 服务器访问
| 是
|
2606
| 专用
| TCP
| 6.x、7.x
| 无
| 入/出
| 网络监控服务通信端口
| 是
|
2607
| HTTPS
| TCP
| 7.x
| 128 位 SSL
| 入/出
| IT Assistant web GUI
| 是
|
3389
| RDP
| TCP
| 7.x
| 128 位 SSL
| 入/出
| IT Assistant 上下文应用程序启动 — 针对 Windows 终端服务的远程台式机
| 是
|
11487/11489
| 专用
| TCP/UDP
| 6.x
| 无
| 出
| 快擦写 BIOS
| 否
|
443
| 专用
| TCP
| 8.0
| 无
| 入/出
| EMC 存储发现和库存
| 否
|
623
| RMCP
| UDP
| 8.0
| 无
| 入/出
| 通过 LAN 进行 IPMI 访问
| 否
|
6389
| 专用
| TCP
| 8.0
| 无
| 入/出
| 可在主机系统(通过 NaviCLI/NaviSecCLI 和 Navisphere 主机代理)和存储系统上 Navisphere 阵列代理之间实现通信。
| 否
|
Dell OpenManage Server Administrator
|
22
| SSH
| TCP
| 2.0
| 128 位
| 入/出
| 远程 Server Administrator 命令行(适于 IT Assistant)。远程软件更新功能(适于 Linux)。
| 是
|
25
| SMTP
| TCP
| 2.0
| 无
| 入/出
| 自 Server Administrator 的可选电子邮件报警信息
| 否
|
135
| RPC
| TCP/UDP
| 2.0
| 无
| 入/出
| CIM 管理查询
| 否
|
135
| RPC
| TCP/UDP
| 2.0
| 无
| 入/出
| 远程 Server Administrator 命令行(适于 IT Assistant)。 远程软件更新功能(适于 Windows)。
| 否
|
139
| NetBIOS
| TCP
| 2.0
| 无
| 入/出
| 远程 Server Administrator 命令行(适于 IT Assistant)。 远程软件更新(适于 Windows)。
| 否
|
161
| SNMP
| UDP
| 1.x, 2.0
| 无
| 入/出
| SNMP 查询管理
| 否
|
162
| SNMP
| UDP
| 1.x, 2.0
| 无
| 出
| SNMP 陷阱事件
| 否
|
445
| NetBIOS
| TCP
| 2.0
| 无
| 入/出
| 针对 Server Administrator 的远程软件更新(适于 Windows)
| 否
|
1311
| HTTPS
| TCP
| 1.x
| 128 位 SSL
| 入/出
| Web GUI
| 是
|
11487
| 专用
| UDP
| 1.x
| 无
| 入
| 自 IT Assistant 的远程快擦写 BIOS 更新启动
| 是
|
11489
| 专用
| TCP
| 1.x
| 无
| 入
| 自 IT Assistant 的远程快擦写 BIOS 更新文件传输
| 是
|
1024 -65535
| DCOM
| TCP/UDP
| 2.0
| 无
| 入/出
| CIM/WMI 查询管理
| 是
|
Dell Remote Access Controller (DRAC):DRAC III、DRAC III/XT、ERA 和 ERA/O
|
21
| FTP
| TCP
| 1.0
| 无
| 入/出
| 通过 FTP 的固件更新以及证书上传/下载
| 否
|
23
| Telnet
| TCP
| 1.0
| 无
| 入/出
| 基于 Telnet 的可选 CLI 管理
| 否
|
25
| SMTP
| TCP
| 1.0
| 无
| 入/出
| 可选电子邮件报警信息
| 否
|
68
| DHCP
| UDP
| 1.2
| 无
| 入/出
| DHCP 分配的 IP 地址
| 否
|
69
| TFTP
| UDP
| 1.0
| 无
| 入/出
| 通过 Trivial FTP 的固件更新。 通过 TFTP 的远程软盘引导
| 否
|
80
| HTTP
| TCP
| 1.0
| 无
| 入/出
| Web GUI 重定向到 HTTPS
| 否
|
162
| SNMP
| UDP
| 1.0
| 无
| 出
| SNMP 陷阱事件
| 否
|
443
| HTTPS
| TCP
| 1.0
| 128 位 SSL
| 入/出
| Web 管理 GUI
| 否
|
443
| HTTPS
| TCP
| 3.2
| 128 位 SSL
| 入/出
| 远程 racadm CLI 公用程序
| 否
|
5869
| 专用
| TCP
| 1.0
| 无
| 入/出
| 远程 racadm CLI 公用程序
| 否
|
5900
| VNC
| TCP
| 1.0
| 56 位 DES
| 入/出
| 视频重定向
| 是
|
5900
| VNC
| TCP
| 3.2
| 128 位 RC
| 入/出
| 视频重定向
| 是
|
5981
| VNC
| TCP
| 1.0
| 无
| 入/出
| 视频重定向
| 是
|
随机且 > 32768
| 专用
| TCP
| 1.0
| 无
| 入/出
| 从 Web GUI 进行固件更新
| 否
|
DRAC 4
|
22
| SSHv2
| TCP
| 1.30
| 128 位
| 入/出
| 可选 Secure Shell (SSH) CLI 管理
| 是
|
23
| Telnet
| TCP
| 1.0
| 无
| 入/出
| 可选 Telnet CLI 管理
| 是
|
25
| SMTP
| TCP
| 1.0
| 无
| 入/出
| 可选电子邮件报警信息
| 否
|
53
| DNS
| UDP
| 1.20
| 无
| 入/出
| 对在 DRAC 中分配的主机名进行动态域名服务器 (DNS) 注册
| 否
|
68
| DHCP
| UDP
| 1.0
| 无
| 入/出
| DHCP 分配的 IP 地址
| 否
|
69
| TFTP
| UDP
| 1.0
| 无
| 入/出
| 通过 Trivial FTP 进行固件更新。
| 否
|
80
| HTTP
| TCP
| 1.0
| 无
| 入/出
| Web GUI 重定向到 HTTPS
| 是
|
161
| SNMP
| UDP
| 1.0
| 无
| 入/出
| SNMP 查询管理
| 否
|
162
| SNMP
| UDP
| 1.0
| 无
| 出
| SNMP 陷阱事件
| 否
|
443
| HTTPS
| TCP
| 1.0
| 128 位 SSL
| 入/出
| Web 管理 GUI 和远程 racadm CLI 公用程序
| 是
|
636
| LDAPS
| TCP
| 1.0
| 128 位 SSL
| 入/出
| 可选 Active Directory Services (ADS) 验证
| 否
|
3269
| LDAPS
| TCP
| 1.0
| 128 位 SSL
| 入/出
| 可选 Active Directory Services (ADS) 验证
| 否
|
3668
| 专用
| TCP
| 1.0
| 无
| 入/出
| CD/软盘虚拟介质服务
| 是
|
5869
| 专用
| TCP
| 1.0
| 无
| 入/出
| 远程 racadm
| 否
|
5900
| 专用
| TCP
| 1.0
| 128位 RC4,仅限键盘/鼠标通信
| 入/出
| 视频重定向
| 是
|
DRAC/MC
|
23
| Telnet
| TCP
| 1.0
| 无
| 入/出
| 可选 Telnet CLI 管理
| 是
|
25
| SMTP
| TCP
| 1.0
| 无
| 入/出
| 可选电子邮件报警信息
| 否
|
53
| DNS
| UDP
| 1.0
| 无
| 入/出
| 对在 DRAC 中分配的主机名进行动态 DNS 注册
| 否
|
68
| DHCP
| UDP
| 1.0
| 无
| 入/出
| DHCP 分配的 IP 地址
| 否
|
69
| TFTP
| UDP
| 1.0
| 无
| 入/出
| 通过 Trivial FTP 进行固件更新。
| 否
|
80
| HTTP
| TCP
| 1.0
| 无
| 入/出
| Web GUI 重定向到 HTTPS
| 是
|
161
| SNMP
| UDP
| 1.0
| 无
| 入/出
| SNMP 查询管理
| 否
|
162
| SNMP
| UDP
| 1.0
| 无
| 出
| SNMP 陷阱事件
| 否
|
389
| LDAP
| TCP
| 1.0
| 无
| 入/出
| 可选 Active Directory Services (ADS) 验证
| 否
|
443
| HTTPS
| TCP
| 1.0
| 128 位 SSL
| 入/出
| Web 管理 GUI 和远程 racadm CLI 公用程序
| 否
|
636
| LDAPS
| TCP
| 1.0
| 128 位 SSL
| 入/出
| 可选 Active Directory Services (ADS) 验证
| 否
|
3269
| LDAPS
| TCP
| 1.0
| 128 位 SSL
| 入/出
| 可选 Active Directory Services (ADS) 验证
| 否
|
数字化 KVM
|
2068
| 专用
| TCP
| 1.0
| 128 位 SSL
| 入/出
| 视频重定向 — 键盘/鼠标
| 否
|
3668
| 专用
| TCP
| 1.0
| 无
| 入/出
| 虚拟介质
| 否
|
8192
| 专用
| TCP
| 1.0
| 无
| 入/出
| 视频重定向到客户端 Viewer
| 否
|
|
注:CIM 端口是动态的。 请参阅 support.microsoft.com 上的 Microsoft 知识库了解有关 CIM 端口用法的信息。 |
|
注:如果正在使用防火墙,必须打开表 2-1 中列出的所有端口以确保 IT Assistant 和其它 Dell OpenManage 应用程序运行正常。 |
安全管理
Dell 通过基于角色的访问控制 (RBAC)、身份验证和加密或者通过 Active Directory 为基于 Web 的界面和命令行界面提供安全和访问管理。
基于角色的访问控制 (RBAC)
RBAC 通过确定可以由特定角色用户执行的操作来管理安全性。 每个用户分配有一个或多个角色,每个角色分配有一个或多个用户权限,处于该角色的用户将具备这些权限。 借助 RBAC,安全管理可以与组织结构紧密相关。 有关设置 Dell OpenManage 用户的信息,请参阅“分配用户权限”。
用户权限
Server Administrator 基于分配给用户的组权限赋予用户不同的访问权限。 用户级别有三种:User(用户)、Power User(高级用户)和 Administrator(管理员)。
User(用户) 可以查看大多数信息。
Power User(高级用户)可以设置警告阈值,运行诊断检测程序,以及配置出现警告或故障事件时采取的警报措施。
Administrator(管理员)可以配置和执行关机操作,配置操作系统挂起时系统的自动恢复操作,以及清除硬件、事件和命令日志。 Administrator(管理员)还可以发送电子邮件。
Server Administrator 赋予以 User(用户)权限登录的用户只读访问权限;赋予以 Power User(高级用户)权限登录的用户读写访问权限;赋予以 Administrator(管理员)权限登录的用户读、写和管理员访问权限。 请参阅表 2-2。
表 2-2. 用户权限
用户权限
| 访问类型
|
|
管理员
|
写
|
读
|
User(用户)
|
|
| X
|
Power User(高级用户)
|
| X
| X
|
Administrator(管理员)
| X
| X
| X
|
管理员访问权限允许关闭管理系统。
写访问权限可以修改或设置管理系统上的值。
读访问权限允许查看 Server Administrator 报告的数据。 读访问权限不允许更改或设置管理系统上的值。
访问 Server Administrator 服务的权限级别
表 2-3 概括了具有访问和管理 Server Administrator 服务权限的用户级别。
表 2-3. Server Administrator 用户权限级别
服务
| 所需用户权限级别
|
|
查看
|
管理
|
Instrumentation
| U, P, A
| P, A
|
Remote Access
| U, P, A
| A
|
Update
| U, P, A
| A
|
Storage Management
| U, P, A
| A
|
表 2-4 定义了表 2-3 中使用的用户权限级别缩写。
表 2-4. Server Administrator 用户权限级别说明
U
| User(用户)
|
P
| Power User(高级用户)
|
A
| Administrator(管理员)
|
验证
Server Administrator 验证方案确保可以将正确的访问类型分配给正确的用户权限。 此外,调用 CLI 时,Server Administrator 验证模式会验证当前过程运行的环境。 该验证方案确保可以正确验证所有 Server Administrator 功能(无论通过 Server Administrator 主页还是通过 CLI 进行访问)。
Microsoft Windows 验证
对于支持的 Windows 操作系统,Server Administrator 验证使用集成 Windows 验证(以前称为 NTLM)进行验证。 该验证系统使 Server Administrator 安全保护可以并入网络的整体安全保护方案中。
Red Hat® Enterprise Linux 和 SUSE® Linux Enterprise Server 验证
对于支持的 Red HatEnterprise Linux 和 SUSE Linux Enterprise Server 操作系统,Server Administrator 验证基于可插拔验证模块 (PAM) 程序库。 已公开的功能程序库使管理员可以确定不同的应用程序验证用户的方法。
加密
通过使用安全套接字层 (SSL) 技术的安全 HTTPS 连接访问 Server Administrator 可以确保并保护正在管理的系统的身份。 用户访问 Server Administrator 主页时,支持的 Windows、Red Hat Enterprise Linux 和 SUSE Linux Enterprise Server 操作系统可使用 Java 安全套接字扩展 (JSSE) 来保护用户凭据和其它通过套接字连接传输的敏感数据。
Microsoft Active Directory
Active Directory 服务软件充当网络安全的中央机构,使操作系统很容易地验证用户的标识并控制用户访问所支持 Windows 平台上运行的 Dell OpenManage 应用程序的网络资源。 Dell 为客户提供了架构扩展以修改其 Active Directory 数据库来支持远程管理验证和授权。 IT Assistant、Server Administrator 和 Dell Remote Access Controller 现在可以与 Active Directory 进行交互以从一个中央数据库添加并控制用户和权限。 有关使用 Active Directory 的信息,请参阅“使用 Microsoft® Active Directory®”。
返回目录页