Zurück zum Inhaltsverzeichnis

Dell OpenManage™ - Sicherheit

Dell OpenManage™-Version 5.1: Installations- und Sicherheitsbenutzerhandbuch

  Sicherheitsfunktionen

  Integrierte Sicherheitsfunktionen

  Sicherheitsverwaltung



Sicherheitsfunktionen

Die Dell OpenManage Systems Management-Softwarekomponenten bieten die folgenden Sicherheitsfunktionen:

ANMERKUNG: Telnet unterstützt SSL-Verschlüsselung nicht.

Integrierte Sicherheitsfunktionen

Schnittstellen

Tabelle 2-1 führt die Schnittstellen auf, die von der Dell OpenManage Systems Management Software, von anderen Standardbetriebssystemdiensten und von anderen Agentenanwendungen verwendet werden. Korrekt konfigurierte Schnittstellen sind notwendig, damit die Dell OpenManage Systems Management Software eine Verbindung zu einem Remote-Gerät durch die Firewalls herstellen kann. Wenn der Versuch, mit einem Remote-Gerät zu kommunizieren, fehlschlägt, haben Sie eventuell eine falsche Schnittstellennummer angegeben.

ANMERKUNG: "Version" in Tabelle 2-1 bezieht sich auf die Mindestproduktversion, die die Schnittstelle (oder ausführliche Version, wenn angegeben) verwendet.

Tabelle 2-1. Dell OpenManage UDP/TCP-Schnittstellen-Standardstandorte 

Schnittstellen-Nr.

Protokoll

Schnittstellentyp

Version

Max. Verschlüsselungsstufe

Richtung

Verwendung

Konfigurierbar

Dell OpenManage Baseboard-Verwaltungs-Controller - PowerEdge™x8xx-Systeme

623

RMCP

UDP

Nur PowerEdge x800-Systeme

Keine

Ein/Aus

IPMI-Zugriff über LAN

Nein

Dell OpenManage Baseboard-Verwaltungsdienstprogramm

623

Telnet

TCP

1.x

Keine

Ein/Aus

Nimmt eingehende Telnet-Verbindungen an

Ja

623

RMCP

UDP

1.x

Keine

Ein/Aus

Grundlegende BMC-Befehle: Serverstatus, ein-/ausschalten usw.

Nein

623

RMCP

UDP

1.x

Keine

Ein/Aus

Grundlegende BMC-Befehle und Konsolenumleitung

Nein

Dell OpenManage Client Connector

135

RPC

TCP/UDP

2.0

Keine

Ein/Aus

Anzeige von Client-Verwaltungsdaten

Nein

389

LDAP

TCP

2.0

128 Bit

Ein/Aus

Domänenauthentifizierung

Nein

4995

HTTPS

TCP

2.0

128-Bit-SSL

Ein/Aus

Web-GUI

Ja

1024 - 65535
(Dynamisch zugewiesen)

DCOM

TCP/UDP

2.0

Keine

Ein/Aus

Anzeige von Client-Verwaltungsdaten

Schnittstellenbereich kann eingeschränkt sein.

Dell OpenManage Client Instrumentation

20

HTTP und FTP

TCP

6.x, 7.x

Keine

Ein/Aus

Flash-BIOS-Datenübertragung

Nein

21

HTTP und FTP

TCP

6.x, 7.x

Keine

Ein/Aus

Flash-BIOS-Datenübertragung

Nein

80

HTTP und FTP

TCP

6.x, 7.x

Keine

Ein/Aus

Flash-BIOS-Datenübertragung

Nein

135

DCOM

TCP/UDP

6.x, 7.x

Keine

Ein/Aus

Überwachung und Konfiguration über WMI

Nein

135

DCOM

TCP

7.x

Keine

Aus

Ereignisübertragung über WMI

Nein

162

SNMP

UDP

6.x

Keine

Aus

Ereignisübertragung über SNMP

Nein

1024-65535
(Dynamisch zugewiesen)

DCOM

TCP/UDP

6.x, 7.x

Keine

Ein/Aus

Überwachung und Konfiguration über WMI

 

> 32780
(Dynamisch zugewiesen)

DMI

TCP/UDP

6.x

Keine

Ein/Aus

Überwachung und Konfiguration über DMI

Von einem zum anderen System unterschiedlich.

Dell OpenManage IT Assistant

20

FTP

TCP

6.x

Keine

Ein/Aus

Flash-BIOS

Nein

22

SSH

TCP

7.x

128 Bit

Ein/Aus

Kontextabhängiger IT Assistant-Anwendungsstart - SSH-Client

Remote-Softwareaktualisierungen für Server Administrator - Für Systeme, die Linux unterstützen

Ja

23

Telnet

TCP

7.x

Keine

Ein/Aus

Kontextabhängiger IT Assistant-Anwendungsstart -Telnet zu Linux-Gerät

Nein

25

SMTP

TCP

7.x

Keine

Ein/Aus

Optionale E-Mail-Warnungsmaßnahme von IT Assistant

Nein

68

UDP

UDP

6.x, 7.x

Keine

Aus

Wake-on-LAN

Ja

80

HTTP

TCP

6.x

Keine

Ein/Aus

Flash-BIOS

Nein

80

HTTP

TCP

7.x

Keine

Ein/Aus

Kontextabhängiger IT Assistant-Anwendungsstart - PowerConnect™-Konsole

Nein

135

RPC

TCP

6.x, 7.x

Keine

Ein/Aus

Ereignisempfang über CIM von Server Administrator - Für Systeme, die Windows® unterstützen

Nein

135

RPC

TCP/UDP

6.x

Keine

Ein/Aus

DMI-Ermittlung von Remote-Systemen

Nein

135

RPC

TCP/UDP

7.x

Keine

Ein/Aus

Remote-Softwareaktualisierungs-Transfer zu Server Administrator - Für Systeme, die Windows unterstützen

Remote-Befehlszeile - Für Systeme, die Windows unterstützen

Nein

161

SNMP

UDP

6.x, 7.x

Keine

Ein/Aus

SNMP-Abfrageverwaltung

Nein

162

SNMP

UDP

6.x, 7.x

Keine

Ein

Ereignisempfang über SNMP

Nein

162

SNMP

UDP

7.x

Keine

Aus

Maßnahme der SNMP-Trap-Weitergabe von IT Assistant

Nein

389

LDAP

TCP

7.x

128 Bit

Ein/Aus

Domänenauthentifizierung für IT Assistant-Anmeldung

Nein

1433

Proprietär

TCP

7.x

Keine

Ein/Aus

Optionaler Remote-SQL-Serverzugriff

Ja

2606

Proprietär

TCP

6.x, 7.x

Keine

Ein/Aus

Datenübertragungsschnittstelle des Netzwerküberwachungsdiensts

Ja

2607

HTTPS

TCP

7.x

128-Bit-SSL

Ein/Aus

IT Assistant-Web-GUI

Ja

3389

RDP

TCP

7.x

128-Bit-SSL

Ein/Aus

Kontextabhängiger IT Assistant-Anwendungsstart - Remote-Desktop zu Windows-Terminaldiensten

Ja

11487/11489

Proprietär

TCP/UDP

6.x

Keine

Aus

Flash-BIOS

Nein

443

Proprietär

TCP

8.0

Keine

Ein/Aus

EMC-Speicherermittlung und Bestandsaufnahme

Nein

623

RMCP

UDP

8.0

Keine

Ein/Aus

IPMI-Zugriff über LAN

Nein

6389

Proprietär

TCP

8.0

Keine

Ein/Aus

Ermöglicht die Datenübertragung zwischen einem Host-System (durch NaviCLI/NaviSecCLI oder Navisphere-Host-Agent) und einem Navisphere Array-Agenten auf einem Speichersystem.

Nein

Dell OpenManage Server Administrator

22

SSH

TCP

2.0

128 Bit

Ein/Aus

Remote-Server Administrator-Befehlszeile (für IT Assistant). Remote-Softwareaktualisierungsfunktion (für Linux).

Ja

25

SMTP

TCP

2.0

Keine

Ein/Aus

Optionale E-Mail-Warnungsmeldungen von Server Administrator

Nein

135

RPC

TCP/UDP

2.0

Keine

Ein/Aus

CIM-Verwaltungsabfragen

Nein

135

RPC

TCP/UDP

2.0

Keine

Ein/Aus

Remote-Server Administrator-Befehlszeile (für IT Assistant). Remote-Softwareaktualisierungsfunktion (für Windows).

Nein

139

NetBIOS

TCP

2.0

Keine

Ein/Aus

Remote-Server Administrator-Befehlszeile (für IT Assistant). Remote-Softwareaktualisierung (für Windows).

Nein

161

SNMP

UDP

1.x, 2.0

Keine

Ein/Aus

SNMP-Abfrageverwaltung

Nein

162

SNMP

UDP

1.x, 2.0

Keine

Aus

SNMP-Trap-Ereignis

Nein

445

NetBIOS

TCP

2.0

Keine

Ein/Aus

Remote-Softwareaktualisierungen für Server Administrator (für Windows)

Nein

1311

HTTPS

TCP

1.x

128-Bit-SSL

Ein/Aus

Internet-GUI

Ja

11487

Proprietär

UDP

1.x

Keine

Ein

Remote-Flash-BIOS-Aktualisierungseinleitung von IT Assistant

Ja

11489

Proprietär

TCP

1.x

Keine

Ein

Remote-Flash-BIOS-Aktualisierungsdateiübertragung von IT Assistant

Ja

1024 -65535

DCOM

TCP/UDP

2.0

Keine

Ein/Aus

CIM/WMI-Abfrageverwaltung

Ja

Dell Remote Access Controller (DRAC): DRAC III, DRAC III/XT, ERA und ERA/O

21

FTP

TCP

1.0

Keine

Ein/Aus

Firmware-Aktualisierung über FTP und Hochladen/Herunterladen von Zertifikaten

Nein

23

Telnet

TCP

1.0

Keine

Ein/Aus

Optionale Telnet-basierte CLI-Verwaltung

Nein

25

SMTP

TCP

1.0

Keine

Ein/Aus

Optionale E-Mail-Warnungsmeldungen

Nein

68

DHCP

UDP

1.2

Keine

Ein/Aus

Von DHCP zugewiesene IP-Adresse

Nein

69

TFTP

UDP

1.0

Keine

Ein/Aus

Firmware-Aktualisierung über Trivial FTP.
Remote-Diskettenstart über TFTP

Nein

80

HTTP

TCP

1.0

Keine

Ein/Aus

Web-GUI umgeleitet zu HTTPS

Nein

162

SNMP

UDP

1.0

Keine

Aus

SNMP-Trap-Ereignis

Nein

443

HTTPS

TCP

1.0

128-Bit-SSL

Ein/Aus

Web-Verwaltungs-GUI

Nein

443

HTTPS

TCP

3.2

128-Bit-SSL

Ein/Aus

Remote-racadm-CLI-Dienstprogramm

Nein

5869

Proprietär

TCP

1.0

Keine

Ein/Aus

Remote-racadm-CLI-Dienstprogramm

Nein

5900

VNC

TCP

1.0

56-Bit-DES

Ein/Aus

Videoumleitung

Ja

5900

VNC

TCP

3.2

128-Bit-RC

Ein/Aus

Videoumleitung

Ja

5981

VNC

TCP

1.0

Keine

Ein/Aus

Videoumleitung

Ja

zufällig und > 32768

Proprietär

TCP

1.0

Keine

Ein/Aus

Firmware-Aktualisierung von Web-GUI

Nein

DRAC 4

22

SSHv2

TCP

1.30

128 Bit

Ein/Aus

Optionale Secure Shell-CLI-Verwaltung (SSH)

Ja

23

Telnet

TCP

1.0

Keine

Ein/Aus

Optionale Telnet-CLI-Verwaltung

Ja

25

SMTP

TCP

1.0

Keine

Ein/Aus

Optionale E-Mail-Warnungsmeldungen

Nein

53

DNS

UDP

1.20

Keine

Ein/Aus

DNS-Registrierung (Dynamischer Domänennamenserver) des in DRAC zugewiesenen Host-Namens

Nein

68

DHCP

UDP

1.0

Keine

Ein/Aus

Von DHCP zugewiesene IP-Adresse

Nein

69

TFTP

UDP

1.0

Keine

Ein/Aus

Firmware-Aktualisierung über Trivial FTP

Nein

80

HTTP

TCP

1.0

Keine

Ein/Aus

Web-GUI umgeleitet zu HTTPS

Ja

161

SNMP

UDP

1.0

Keine

Ein/Aus

SNMP-Abfrageverwaltung

Nein

162

SNMP

UDP

1.0

Keine

Aus

SNMP-Trap-Ereignis

Nein

443

HTTPS

TCP

1.0

128-Bit-SSL

Ein/Aus

Web-Verwaltungs-GUI und Remote-racadm-CLI-Dienstprogramm

Ja

636

LDAPS

TCP

1.0

128-Bit-SSL

Ein/Aus

Optionale ADS-Authentifizierung (Active Directory-Dienste)

Nein

3269

LDAPS

TCP

1.0

128-Bit-SSL

Ein/Aus

Optionale ADS-Authentifizierung (Active Directory-Dienste)

Nein

3668

Proprietär

TCP

1.0

Keine

Ein/Aus

CD/Diskette - Dienst für virtuellen Datenträger

Ja

5869

Proprietär

TCP

1.0

Keine

Ein/Aus

Remote-racadm

Nein

5900

Proprietär

TCP

1.0

128-Bit-RC4, nur Tastatur-/Maus-Datenverkehr

Ein/Aus

Videoumleitung

Ja

DRAC/MC

23

Telnet

TCP

1.0

Keine

Ein/Aus

Optionale Telnet-CLI-Verwaltung

Ja

25

SMTP

TCP

1.0

Keine

Ein/Aus

Optionale E-Mail-Warnungsmeldungen

Nein

53

DNS

UDP

1.0

Keine

Ein/Aus

Dynamische DNS-Registrierung des in DRAC zugewiesenen Host-Namens

Nein

68

DHCP

UDP

1.0

Keine

Ein/Aus

Von DHCP zugewiesene IP-Adresse

Nein

69

TFTP

UDP

1.0

Keine

Ein/Aus

Firmware-Aktualisierung über Trivial FTP

Nein

80

HTTP

TCP

1.0

Keine

Ein/Aus

Web-GUI umgeleitet zu HTTPS

Ja

161

SNMP

UDP

1.0

Keine

Ein/Aus

SNMP-Abfrageverwaltung

Nein

162

SNMP

UDP

1.0

Keine

Aus

SNMP-Trap-Ereignis

Nein

389

LDAP

TCP

1.0

Keine

Ein/Aus

Optionale ADS-Authentifizierung (Active Directory-Dienste)

Nein

443

HTTPS

TCP

1.0

128-Bit-SSL

Ein/Aus

Web-Verwaltungs-GUI und Remote-racadm-CLI-Dienstprogramm

Nein

636

LDAPS

TCP

1.0

128-Bit-SSL

Ein/Aus

Optionale ADS-Authentifizierung (Active Directory-Dienste)

Nein

3269

LDAPS

TCP

1.0

128-Bit-SSL

Ein/Aus

Optionale ADS-Authentifizierung (Active Directory-Dienste)

Nein

Digital-KVM

2068

Proprietär

TCP

1.0

128-Bit-SSL

Ein/Aus

Videoumleitung - Tastatur/Maus

Nein

3668

Proprietär

TCP

1.0

Keine

Ein/Aus

Virtueller Datenträger

Nein

8192

Proprietär

TCP

1.0

Keine

Ein/Aus

Videoumleitung zu Client-Viewer

Nein

ANMERKUNG: CIM-Schnittstellen sind ebenfalls dynamisch. Information zur Verwendung der CIM-Schnittstellen finden Sie in der Microsoft Knowledge Base unter support.microsoft.com.
ANMERKUNG: Wenn Sie eine Firewall verwenden, müssen Sie alle in der vorherigen Tabelle 2-1 aufgeführten Schnittstellen öffnen, um sicherzustellen, dass IT Assistant und andere Dell OpenManage-Anwendungen richtig funktionieren.

Sicherheitsverwaltung

Dellbietet Sicherheits- und Zugriffsverwaltung, sowohl für die webbasierte als auch für die Befehlszeilenoberfläche, durch funktionsbasierte Access Control (RBAC), Authentisierung sowie Verschlüsselung, oder durch Active Directory.

Funktionsbasierte Access Control (RBAC)

RBAC erreicht Sicherheit durch Festlegung der Vorgänge, die von Benutzern in besonderen Funktionen ausgeführt werden können. Jedem Benutzer werden eine oder mehrere Rollen und jeder Rolle ein oder mehrere Benutzerberechtigungen zugewiesen, die Benutzern in der jeweiligen Rolle zustehen. Mit RBAC kann die Sicherheitsverwaltung genau der Organisationsstruktur entsprechen. Informationen zur Einrichtung von Dell OpenManage-Benutzern finden Sie unter "Benutzerberechtigungen zuweisen".

Benutzerberechtigungen

Der Server Administrator gewährt unterschiedliche Zugriffsrechte, basierend auf den dem Benutzer zugewiesenen Gruppenzugriffsrechten. Die drei Benutzerebenen sind Benutzer, Hauptbenutzer und Administrator.

Benutzer können die meisten Informationen anzeigen.

Hauptbenutzer können Warnungsgrenzwerte einstellen, Diagnosetests durchführen, und konfigurieren, welche Warnungsmaßnahmen ausgeführt werden sollen, wenn ein Warnungs- oder Fehlerereignis eintritt.

Administratoren können Maßnahmen zum Herunterfahren konfigurieren und durchführen, automatische Wiederherstellungsmaßnahmen konfigurieren, falls ein Betriebssystem auf einem System nicht mehr reagiert, und Hardware-, Ereignis- und Befehlsprotokolle löschen. Administratoren können ebenfalls E-Mails senden.

Der Server Administrator erteilt Benutzern, die mit Benutzerberechtigungen angemeldet sind, Nur-Lese-Zugriff. Benutzer mit Hauptbenutzerberechtigungen erhalten Lese- und Schreibzugriff während Benutzer, die mit Administratorberechtigungen angemeldet sind, Lese-, Schreib- und Administrator-Zugriffsrechte erhalten. Siehe Tabelle 2-2.

Tabelle 2-2. Benutzerberechtigungen 

Benutzerberechtigungen

Zugriffstyp

  

Admin

Schreiben

Lesen

Benutzer

 

 

X

Hauptbenutzer

 

X

X

Administrator

X

X

X

Admin-Zugriff ermöglicht Ihnen, das verwaltete System herunterzufahren.

Schreiben-Zugriff lässt es zu, Werte auf dem verwalteten System zu ändern oder einzustellen.

Lesen-Zugriff lässt die Ansicht von vom Server Administrator berichteten Daten zu. Lesezugriff lässt keine Änderung oder Einstellung von Werten auf dem Managed System zu.

Berechtigungsebenen für den Zugriff auf Server Administrator-Dienste

In Tabelle 2-3 wird zusammengefasst, welche Benutzerebenen die Berechtigung zum Zugriff auf die Server Administrator-Dienste sowie die Verwaltung dieser Dienste besitzen.

Tabelle 2-3. Server Administrator-Benutzerberechtigungsebenen 

Dienst

Erforderliche Benutzerberechtigungsebene

  

Ansicht

Verwaltung

Instrumentation

B, H, A

H, A

Remote-Zugriff

B, H, A

A

Aktualisierung

B, H, A

A

Storage Management

B, H, A

A

In Tabelle 2-4 werden die Abkürzungen der in Tabelle 2-3 verwendeten Benutzerberechtigungsebenen definiert.

Tabelle 2-4. Legende der Server Administrator-Benutzerberechtigungsebenen 

B

Benutzer

H

Hauptbenutzer

A

Administrator

Authentisierung

Das Server Administrator-Authentifizierungsschema stellt sicher, dass die richtigen Zugriffstypen den korrekten Benutzerberechtigungen zugewiesen werden. Darüber hinaus validiert das Server Administrator-Authentisierungsschema den Kontext innerhalb dessen das aktuelle Verfahren ausgeführt wird, wenn die CLI aufgerufen wird. Dieses Authentifizierungsschema stellt sicher, dass alle Server Administrator-Funktionen, ob auf sie über die Startseite des Server Administrators oder über die CLI zugegriffen wird, korrekt authentisiert werden.

Microsoft Windows Authentisierung

Für unterstützte Windows-Betriebssysteme verwendet die Server Administrator-Authentifizierung Integrierte Windows-Authentifizierung (früher bekannt als NTLM), um zu authentifizieren. Dieses Authentifizierungssystem ermöglicht die Einschließung der Server Administrator-Sicherheit in ein Gesamtsicherheitsschema für das Netzwerk.

Red Hat® Enterprise Linux- und SUSE® Linux Enterprise Server-Authentifizierung

Für unterstützte Red Hat Enterprise Linux- und SUSE Linux Enterprise Server-Betriebssysteme basiert die Server Administrator-Authentifizierung auf der Pluggable Authentication Modules-Bibliothek (PAM). Mit dieser dokumentierten Funktionenbibliothek kann ein Administrator feststellen, wie einzelne Anwendungen Benutzer authentisieren.

Verschlüsselung

Zugriff auf den Server Administrator erfolgt über eine sichere HTTPS-Verbindung mittels Secure Socket Layer-Technologie (SSL) zur Sicherung und zum Schutz der Identität des Managed Systems. Java Secure Socket Extension (JSSE) wird von unterstützten Windows-, Red Hat Enterprise Linux- und SUSE Linux Enterprise Server-Betriebssystemen zum Schutz der Benutzeranmeldeinformationen und anderer sensibler Daten verwendet, die über die Socket-Verbindung übertragen werden, wenn ein Benutzer auf die Startseite des Server Administrator zugreift.

Microsoft Active Directory

Die Software des Active Directory-Dienstes fungiert als Zentralstelle für die Netzwerksicherheit, indem es dem Betriebssystem bereitwillig überlässt, die Identität eines Benutzers zu überprüfen und den Zugriff dieses Benutzers zu den Netzwerkressourcen für Dell Open Manage-Anwendungen auf unterstützten Windows-Plattformen zu kontrollieren. Dell bietet Schema-Erweiterungen für Kunden, um deren Active Directory-Datenbank dahingehend zu ändern, dass sie Remote-Verwaltungsauthentifizierung und Autorisierungunterstützen. IT Assistant, Server Administrator und Dell Remote Access Controller können jetzt eine Verbindung zu Active Directory herstellen, um Benutzer und Berechtigungen von einer zentralen Datenbank aus hinzuzufügen und zu kontrollieren. Weitere Informationen zu Verwendung von Active Directory erhalten Sie unter " Microsoft® Active Directory® verwenden".


Zurück zum Inhaltsverzeichnis