目次ページに戻る
Dell OpenManage セキュリティ
Dell OpenManage バージョン 5.1 インストールおよびセキュリティユーザーズガイド
セキュリティ機能
ビルトインセキュリティ機能
セキュリティ管理
セキュリティ機能
Dell OpenManage System Management Software のコンポーネントは、次のようなセキュリティ機能を提供しています。
- ハードウェアに保存されたユーザー ID とパスワードや、オプションの Microsoft® Active Directory® を使用したユーザー認証
- ユーザーごとに特定の特権を設定できる役割ベースの権限
- ウェブインタフェースまたはコマンドラインインタフェース(CLI)を使用したユーザー ID とパスワードの設定
- 128 ビットと 40 ビット(128 ビットが許可されていない国)の SSL 暗号化
|
メモ:Telnet は SSL 暗号化をサポートしていません。 |
- ウェブインタフェースまたは CLI を使用したセッションタイムアウトの設定(分単位)
- 一般的なポートの多くが設定可能
ビルトインセキュリティ機能
ポート
表 2-1 は、Dell OpenManage Systems Management ソフトウェア、標準的なオペレーティングシステムのサービス、その他のエージェントアプリケーションによって使用されるポートをリストにしたものです。 Dell OpenManage Systems Management Software がファイアウォールを通ってリモートデバイスに接続するには、正しく設定されたポートが必要です。 リモートデバイスとの通信に失敗した場合は、指定したポート番号が間違っている可能性があります。
|
メモ:表 2-1 の「バージョン」は、ポート(または特定される場合不適切なバージョン)を使用する最小製品バージョンを示します。 |
表 2-1. Dell OpenManage UDP/TCP ポートのデフォルトの場所
ポート番号
|
プロトコル
|
ポートの種類
|
バージョン
|
最大暗号化レベル
|
ダイレクト
|
用途
|
設定可能
|
Dell OpenManage ベースボード管理コントローラ - PowerEdge x8xx のシステム
|
623
| RMCP
| UDP
| PowerEdge x800 システムのみ
| なし
| イン / アウト
| LAN 経由の IPMI アクセス
| 不可
|
Dell OpenManage ベースボード管理ユーティリティ
|
623
| Telnet
| TCP
| 1.x
| なし
| イン / アウト
| Telnet 接続を受信
| 可
|
623
| RMCP
| UDP
| 1.x
| なし
| イン / アウト
| Basic BMC コマンド:サーバーステータス、電源入 / 切 など。
| 不可
|
623
| RMCP
| UDP
| 1.x
| なし
| イン / アウト
| 基本的な BMC コマンドとコンソールリダイレクト
| 不可
|
Dell OpenManage Client Connector
|
135
| RPC
| TCP/UDP
| 2.0
| なし
| イン / アウト
| クライアント管理データの表示
| 不可
|
389
| LDAP
| TCP
| 2.0
| 128 ビット
| イン / アウト
| ドメイン認証
| 不可
|
4995
| HTTPS
| TCP
| 2.0
| 128 ビット SSL
| イン / アウト
| ウェブ GUI
| 可
|
1024 - 65535 (ダイナミックに設定される)
| DCOM
| TCP/UDP
| 2.0
| なし
| イン / アウト
| クライアント管理データの表示
| ポート範囲を制限することができます。
|
Dell OpenManage Client Instrumentation
|
20
| HTTP および FTP
| TCP
| 6.x、7.x
| なし
| イン / アウト
| BIOS のフラッシュ通信
| 不可
|
21
| HTTP および FTP
| TCP
| 6.x、7.x
| なし
| イン / アウト
| BIOS のフラッシュ通信
| 不可
|
80
| HTTP および FTP
| TCP
| 6.x、7.x
| なし
| イン / アウト
| BIOS のフラッシュ通信
| 不可
|
135
| DCOM
| TCP/UDP
| 6.x、7.x
| なし
| イン / アウト
| WMI 経由の監視および設定
| 不可
|
135
| DCOM
| TCP
| 7.x
| なし
| アウト
| WMI 経由のイベント送信
| 不可
|
162
| SNMP
| UDP
| 6.x
| なし
| アウト
| SNMP 経由のイベント送信
| 不可
|
1024 - 65535 (ダイナミックに設定される)
| DCOM
| TCP/UDP
| 6.x、7.x
| なし
| イン / アウト
| WMI 経由の監視および設定
|
|
> 32780 (ダイナミックに設定される)
| DMI
| TCP/UDP
| 6.x
| なし
| イン / アウト
| DMI 経由の監視および設定
| システムによって異なります。
|
Dell OpenManage IT Assistant
|
20
| FTP
| TCP
| 6.x
| なし
| イン / アウト
| BIOS のフラッシュ
| 不可
|
22
| SSH
| TCP
| 7.x
| 128 ビット
| イン / アウト
| コンテクスト的な IT Assistant アプリケーションの起動 — SSH クライアント
Server Administrator へのリモートソフトウェアアップデート — Linux 対応システム用
| 可
|
23
| Telnet
| TCP
| 7.x
| なし
| イン / アウト
| コンテクスト的な IT Assistant アプリケーションの起動 — Telnet から Linux デバイス
| 不可
|
25
| SMTP
| TCP
| 7.x
| なし
| イン / アウト
| IT Assistant からの電子メール警告処置オプション
| 不可
|
68
| UDP
| UDP
| 6.x、7.x
| なし
| アウト
| Wake-on-LAN
| 可
|
80
| HTTP
| TCP
| 6.x
| なし
| イン / アウト
| BIOS のフラッシュ
| 不可
|
80
| HTTP
| TCP
| 7.x
| なし
| イン / アウト
| コンテクスト的な IT Assistant アプリケーションの起動 — PowerConnect コンソール
| 不可
|
135
| RPC
| TCP
| 6.x、7.x
| なし
| イン / アウト
| Server Administrator からの CIM 経由のイベント受信 — Windows® 対応システム用
| 不可
|
135
| RPC
| TCP/UDP
| 6.x
| なし
| イン / アウト
| リモートシステムの DMI 検出
| 不可
|
135
| RPC
| TCP/UDP
| 7.x
| なし
| イン / アウト
| Server Administrator へのリモートソフトウェアアップデート転送 — Windows 対応システム用
リモートコマンドライン — Windows 対応システム用
| 不可
|
161
| SNMP
| UDP
| 6.x、7.x
| なし
| イン / アウト
| SNMP クエリ管理
| 不可
|
162
| SNMP
| UDP
| 6.x、7.x
| なし
| イン
| SNMP 経由のイベント受信
| 不可
|
162
| SNMP
| UDP
| 7.x
| なし
| アウト
| IT Assistant からの SNMP トラップの転送処置
| 不可
|
389
| LDAP
| TCP
| 7.x
| 128 ビット
| イン / アウト
| IT Assistant ログオン用ドメイン認証
| 不可
|
1433
| 専用
| TCP
| 7.x
| なし
| イン / アウト
| リモート SQL サーバーアクセスオプション
| 可
|
2606
| 専用
| TCP
| 6.x、7.x
| なし
| イン / アウト
| ネットワーク監視サービスの通信ポート
| 可
|
2607
| HTTPS
| TCP
| 7.x
| 128 ビット SSL
| イン / アウト
| IT Assistant ウェブ GUI
| 可
|
3389
| RDP
| TCP
| 7.x
| 128 ビット SSL
| イン / アウト
| コンテクスト的な IT Assistant アプリケーションの起動 — リモートデスクトップから Windows ターミナルサービス
| 可
|
11487/11489
| 専用
| TCP/UDP
| 6.x
| なし
| アウト
| BIOS のフラッシュ
| 不可
|
443
| 専用
| TCP
| 8.0
| なし
| イン / アウト
| EMC ストレージ検出とインベントリ
| 不可
|
623
| RMCP
| UDP
| 8.0
| なし
| イン / アウト
| LAN 経由の IPMI アクセス
| 不可
|
6389
| 専用
| TCP
| 8.0
| なし
| イン / アウト
| ホストシステム(NaviCLI/NaviSecCLI または Navisphere Host Agent 経由)とストレージシステムの Navisphere Array Agent 間の通信を可能にします。
| 不可
|
Dell OpenManage Server Administrator
|
22
| SSH
| TCP
| 2.0
| 128 ビット
| イン / アウト
| リモート Server Administrator コマンドライン(IT Assistant 用)。リモートソフトウェアアップデート機能(Linux 用)。
| 可
|
25
| SMTP
| TCP
| 2.0
| なし
| イン / アウト
| Server Administrator からの電子メール警告メッセージオプション
| 不可
|
135
| RPC
| TCP/UDP
| 2.0
| なし
| イン / アウト
| CIM 管理クエリ
| 不可
|
135
| RPC
| TCP/UDP
| 2.0
| なし
| イン / アウト
| リモート Server Administrator コマンドライン(IT Assistant 用)。 リモートソフトウェアアップデート機能(Windows 用)。
| 不可
|
139
| NetBIOS
| TCP
| 2.0
| なし
| イン / アウト
| リモート Server Administrator コマンドライン(IT Assistant 用)。 リモートソフトウェアアップデート(Windows 用)。
| 不可
|
161
| SNMP
| UDP
| 1.x、2.0
| なし
| イン / アウト
| SNMP クエリ管理
| 不可
|
162
| SNMP
| UDP
| 1.x、2.0
| なし
| アウト
| SNMP トラップイベント
| 不可
|
445
| NetBIOS
| TCP
| 2.0
| なし
| イン / アウト
| Server Administrator(Windows 用)に対するリモートソフトウェアアップデート
| 不可
|
1311
| HTTPS
| TCP
| 1.x
| 128 ビット SSL
| イン / アウト
| ウェブ GUI
| 可
|
11487
| 専用
| UDP
| 1.x
| なし
| イン
| IT Assistant からのリモート BIOS のフラッシュアップデートの開始
| 可
|
11489
| 専用
| TCP
| 1.x
| なし
| イン
| IT Assistant からのリモート BIOS のフラッシュアップデートのファイル転送
| 可
|
1024 -65535
| DCOM
| TCP/UDP
| 2.0
| なし
| イン / アウト
| CIM/WMI クエリ管理
| 可
|
Dell Remote Access Controller(DRAC):DRAC III、DRAC III/XT、ERA、および ERA/O
|
21
| FTP
| TCP
| 1.0
| なし
| イン / アウト
| FTP 経由のファームウェアアップデートおよび証明書のアップロード / ダウンロード
| 不可
|
23
| Telnet
| TCP
| 1.0
| なし
| イン / アウト
| Telnet ベースの CLI 管理オプション
| 不可
|
25
| SMTP
| TCP
| 1.0
| なし
| イン / アウト
| 電子メール警告メッセージオプション
| 不可
|
68
| DHCP
| UDP
| 1.2
| なし
| イン / アウト
| DHCP 設定の IP アドレス
| 不可
|
69
| TFTP
| UDP
| 1.0
| なし
| イン / アウト
| Trivial FTP 経由のファームウェアアップデート。 TFTP 経由のリモートフロッピーブート。
| 不可
|
80
| HTTP
| TCP
| 1.0
| なし
| イン / アウト
| HTTPS へのウェブ GUI リダイレクト
| 不可
|
162
| SNMP
| UDP
| 1.0
| なし
| アウト
| SNMP トラップイベント
| 不可
|
443
| HTTPS
| TCP
| 1.0
| 128 ビット SSL
| イン / アウト
| ウェブ管理 GUI
| 不可
|
443
| HTTPS
| TCP
| 3.2
| 128 ビット SSL
| イン / アウト
| リモート racadm CLI ユーティリティ
| 不可
|
5869
| 専用
| TCP
| 1.0
| なし
| イン / アウト
| リモート racadm CLI ユーティリティ
| 不可
|
5900
| VNC
| TCP
| 1.0
| 56 ビット DES
| イン / アウト
| ビデオリダイレクト
| 可
|
5900
| VNC
| TCP
| 3.2
| 128 ビット RC
| イン / アウト
| ビデオリダイレクト
| 可
|
5981
| VNC
| TCP
| 1.0
| なし
| イン / アウト
| ビデオリダイレクト
| 可
|
ランダムおよび > 32768
| 専用
| TCP
| 1.0
| なし
| イン / アウト
| ウェブ GUI からのファームウェアアップデート
| 不可
|
DRAC 4
|
22
| SSHv2
| TCP
| 1.30
| 128 ビット
| イン / アウト
| セキュアシェル(SSH)CLI 管理オプション
| 可
|
23
| Telnet
| TCP
| 1.0
| なし
| イン / アウト
| Telnet の CLI 管理オプション
| 可
|
25
| SMTP
| TCP
| 1.0
| なし
| イン / アウト
| 電子メール警告メッセージオプション
| 不可
|
53
| DNS
| UDP
| 1.20
| なし
| イン / アウト
| DRAC 内で設定されたホスト名のダイナミックなドメインネームサーバー(DNS)登録
| 不可
|
68
| DHCP
| UDP
| 1.0
| なし
| イン / アウト
| DHCP 設定の IP アドレス
| 不可
|
69
| TFTP
| UDP
| 1.0
| なし
| イン / アウト
| Trivial FTP 経由のファームウェアアップデート。
| 不可
|
80
| HTTP
| TCP
| 1.0
| なし
| イン / アウト
| HTTPS へのウェブ GUI リダイレクト
| 可
|
161
| SNMP
| UDP
| 1.0
| なし
| イン / アウト
| SNMP クエリ管理
| 不可
|
162
| SNMP
| UDP
| 1.0
| なし
| アウト
| SNMP トラップイベント
| 不可
|
443
| HTTPS
| TCP
| 1.0
| 128 ビット SSL
| イン / アウト
| ウェブ管理 GUI とリモート racadm CLI ユーティリティ
| 可
|
636
| LDAPS
| TCP
| 1.0
| 128 ビット SSL
| イン / アウト
| Active Directory サービス(ADS)認証オプション
| 不可
|
3269
| LDAPS
| TCP
| 1.0
| 128 ビット SSL
| イン / アウト
| Active Directory サービス(ADS)認証オプション
| 不可
|
3668
| 専用
| TCP
| 1.0
| なし
| イン / アウト
| CD/ ディスケット仮想メディアサービス
| 可
|
5869
| 専用
| TCP
| 1.0
| なし
| イン / アウト
| リモート racadm
| 不可
|
5900
| 専用
| TCP
| 1.0
| 128 ビット RC4、キーボード / マウストラフィックのみ
| イン / アウト
| ビデオリダイレクト
| 可
|
DRAC/MC
|
23
| Telnet
| TCP
| 1.0
| なし
| イン / アウト
| Telnet の CLI 管理オプション
| 可
|
25
| SMTP
| TCP
| 1.0
| なし
| イン / アウト
| 電子メール警告メッセージオプション
| 不可
|
53
| DNS
| UDP
| 1.0
| なし
| イン / アウト
| DRAC 内で設定されたホスト名のダイナミック DNS 登録
| 不可
|
68
| DHCP
| UDP
| 1.0
| なし
| イン / アウト
| DHCP 設定の IP アドレス
| 不可
|
69
| TFTP
| UDP
| 1.0
| なし
| イン / アウト
| Trivial FTP 経由のファームウェアアップデート。
| 不可
|
80
| HTTP
| TCP
| 1.0
| なし
| イン / アウト
| HTTPS へのウェブ GUI リダイレクト
| 可
|
161
| SNMP
| UDP
| 1.0
| なし
| イン / アウト
| SNMP クエリ管理
| 不可
|
162
| SNMP
| UDP
| 1.0
| なし
| アウト
| SNMP トラップイベント
| 不可
|
389
| LDAP
| TCP
| 1.0
| なし
| イン / アウト
| Active Directory サービス(ADS)認証オプション
| 不可
|
443
| HTTPS
| TCP
| 1.0
| 128 ビット SSL
| イン / アウト
| ウェブ管理 GUI とリモート racadm CLI ユーティリティ
| 不可
|
636
| LDAPS
| TCP
| 1.0
| 128 ビット SSL
| イン / アウト
| Active Directory サービス(ADS)認証オプション
| 不可
|
3269
| LDAPS
| TCP
| 1.0
| 128 ビット SSL
| イン / アウト
| Active Directory サービス(ADS)認証オプション
| 不可
|
デジタル KVM
|
2068
| 専用
| TCP
| 1.0
| 128 ビット SSL
| イン / アウト
| ビデオリダイレクト — キーボード / マウス
| 不可
|
3668
| 専用
| TCP
| 1.0
| なし
| イン / アウト
| 仮想メディア
| 不可
|
8192
| 専用
| TCP
| 1.0
| なし
| イン / アウト
| クライアントビューアへのビデオリダイレクト
| 不可
|
|
メモ:CIM ポートはダイナミックです。 CIM ポートの用途については、support.microsoft.com から Microsoft サポート技術情報(KB)を参照してください。 |
|
メモ:ファイアウォールを使用している場合は、IT Assistant や他の Dell OpenManage アプリケーションが正しく機能するように、上の表 2-1 に記載されているすべてのポートを開く必要があります。 |
セキュリティ管理
Dell では、ウェブインタフェースとコマンドラインインタフェースの両方で、役割ベースのアクセス制御(RBAC)、認証、暗号化、または Active Directory を使用してセキュリティとアクセス管理を提供しています。
役割ベースのアクセス制御(RBAC)
RBAC は特定の役割を持つユーザーが実行できる操作を決めて、セキュリティを管理します。 各ユーザーには 1 つまたは複数の役割が割り当てられ、それぞれの役割にはその役割のユーザーに許可される 1 つまたは複数のユーザー特権が割り当てられます。 RBAC では、セキュリティ管理は組織構造と密接に関係しています。 Dell OpenManage ユーザーの設定に関する情報は、「ユーザー特権の割り当て」を参照してください。
ユーザー特権
Server Administrator では、ユーザーが割り当てられているグループの特権に従って、異なるアクセス権が与えられます。 ユーザーには、ユーザー、パワーユーザー、システム管理者の 3 レベルがあります。
ユーザーはほとんどの情報を表示することができます。
パワーユーザーは警告しきい値の設定、診断テストの実行、および警告またはエラーイベントが発生したときに取る警告処置の設定を行うことができます。
システム管理者はシャットダウン処理の設定と実行、システムでオペレーティングシステムのハングが起こった場合の自動回復処理の設定や、ハードウェア、イベント、コマンドログのクリアなどができます。 システム管理者は電子メールを送信することもできます。
Server Administrator は、ユーザー特権でログインしたユーザーには読み取り専用のアクセス権、パワーユーザー特権でログインしたユーザーには読み取りと書き込みのアクセス権、システム管理者特権でログインしたユーザーには読み取り、書き込み、管理のアクセス権を与えます。 表 2-2 を参照してください。
表 2-2. ユーザー特権
ユーザー特権
| アクセスタイプ
|
|
システム管理者
|
書き込み
|
読み取り
|
ユーザー
|
|
| X
|
パワーユーザー
|
| X
| X
|
システム管理者
| X
| X
| X
|
システム管理者アクセス権があると、管理先システムのシャットダウンができます。
書き込みアクセス権があると、管理下システムで値の変更や設定ができます。
読み取りアクセス権があると、Server Administrator で報告されたデータを表示できます。 ただし、管理下システムで値を変更することはできません。
Server Administrator サービスにアクセスするための特権レベル
表 2-3 は、Server Administrator サービスにアクセスして管理する権限を持つユーザーレベルをまとめたものです。
表 2-3. Server Administrator ユーザー特権レベル
サービス
| 必要なユーザー特権レベル
|
|
表示
|
管理
|
計装
| U、P、A
| P、A
|
リモートアクセス
| U、P、A
| A
|
アップデート
| U、P、A
| A
|
Storage Management
| U、P、A
| A
|
表 2-4 は、表 2-3 で使用した特権レベルの略語の意味を説明しています。
表 2-4. Server Administrator ユーザー特権レベルの凡例
U
| ユーザー
|
P
| パワーユーザー
|
A
| システム管理者
|
認証
Server Administrator 認証スキームは、正しいアクセスタイプが正しいユーザー特権に割り当てられているかどうか確認します。 また、CLI の起動時に、現在のプロセスが実行しているコンテキストを検証します。 この認証スキームは、アクセス元が Server Administrator ホームページか CLI かを問わず、すべての Server Administrator 機能が正しく認証されるようにします。
Microsoft Windows 認証
対応の Windows オペレーティングシステムにおいて、Server Administrator 認証は、統合 Windows 認証(旧 NTLM)で認証を行います。 この基盤となる認証システムによって、Server Administrator のセキュリティをネットワークの全体的なセキュリティスキームに組み込むことができます。
Red Hat® Enterprise Linux および SUSE® Linux Enterprise Server 認証
対応の Red Hat Enterprise Linux および SUSE Linux Enterprise Server オペレーティングシステムでは、Server Administrator の認証は PAM(Pluggable Authentication Modules)ライブラリに基づいています。 この文書化された関数ライブラリを使うと、管理者は個別のアプリケーションのユーザー認証方法を決定できます。
暗号化
Server Administrator には、SSL(Secure Socket Layer)技術を使用した安全な HTTPS 接続を介してアクセスすることにより、管理するシステムの身元を確認して保護します。 Windows、Red Hat Enterprise Linux、SUSE Linux Enterprise Server オペレーティングシステムでは、ユーザーが Server Administrator ホームページにアクセスしたときにソケット接続を介して転送されるログイン情報や機密データを保護するために JSSE(Java Secure Socket Extension)を使用しています。
Microsoft Active Directory
Active Directory サービスソフトウェアは、Microsoft Windows プラットフォームで実行している Dell OpenManage アプリケーションのネットワークリソースにアクセスするユーザーの識別と制御に使用され、ネットワークセキュリティの中央局の役割を果たします。 デルは顧客向けにスキーマ拡張機能を提供し、リモート管理での認証と許可をサポートするように Active Directory データベースを変更します。 Active Directory は現在 IT Assistant、Server Administrator、および Dell Remote Access Controller と連動して、中央の単一のデータベースからユーザーと権限の追加や制御ができます。 Active Directory の使用に関する詳細については、「Microsoft® Active Directory® の使い方」を参照してください。
目次ページに戻る