目次ページに戻る

Dell OpenManage™ セキュリティ

Dell OpenManage™ バージョン 5.1 インストールおよびセキュリティユーザーズガイド

  セキュリティ機能

  ビルトインセキュリティ機能

  セキュリティ管理



セキュリティ機能

Dell OpenManage System Management Software のコンポーネントは、次のようなセキュリティ機能を提供しています。

メモ:Telnet は SSL 暗号化をサポートしていません。

ビルトインセキュリティ機能

ポート

表 2-1 は、Dell OpenManage Systems Management ソフトウェア、標準的なオペレーティングシステムのサービス、その他のエージェントアプリケーションによって使用されるポートをリストにしたものです。 Dell OpenManage Systems Management Software がファイアウォールを通ってリモートデバイスに接続するには、正しく設定されたポートが必要です。 リモートデバイスとの通信に失敗した場合は、指定したポート番号が間違っている可能性があります。

メモ:表 2-1 の「バージョン」は、ポート(または特定される場合不適切なバージョン)を使用する最小製品バージョンを示します。

表 2-1. Dell OpenManage UDP/TCP ポートのデフォルトの場所 

ポート番号

プロトコル

ポートの種類

バージョン

最大暗号化レベル

ダイレクト

用途

設定可能

Dell OpenManage ベースボード管理コントローラ - PowerEdge™ x8xx のシステム

623

RMCP

UDP

PowerEdge x800 システムのみ

なし

イン / アウト

LAN 経由の IPMI アクセス

不可

Dell OpenManage ベースボード管理ユーティリティ

623

Telnet

TCP

1.x

なし

イン / アウト

Telnet 接続を受信

623

RMCP

UDP

1.x

なし

イン / アウト

Basic BMC コマンド:サーバーステータス、電源入 / 切 など。

不可

623

RMCP

UDP

1.x

なし

イン / アウト

基本的な BMC コマンドとコンソールリダイレクト

不可

Dell OpenManage Client Connector

135

RPC

TCP/UDP

2.0

なし

イン / アウト

クライアント管理データの表示

不可

389

LDAP

TCP

2.0

128 ビット

イン / アウト

ドメイン認証

不可

4995

HTTPS

TCP

2.0

128 ビット SSL

イン / アウト

ウェブ GUI

1024 - 65535
(ダイナミックに設定される)

DCOM

TCP/UDP

2.0

なし

イン / アウト

クライアント管理データの表示

ポート範囲を制限することができます。

Dell OpenManage Client Instrumentation

20

HTTP および FTP

TCP

6.x、7.x

なし

イン / アウト

BIOS のフラッシュ通信

不可

21

HTTP および FTP

TCP

6.x、7.x

なし

イン / アウト

BIOS のフラッシュ通信

不可

80

HTTP および FTP

TCP

6.x、7.x

なし

イン / アウト

BIOS のフラッシュ通信

不可

135

DCOM

TCP/UDP

6.x、7.x

なし

イン / アウト

WMI 経由の監視および設定

不可

135

DCOM

TCP

7.x

なし

アウト

WMI 経由のイベント送信

不可

162

SNMP

UDP

6.x

なし

アウト

SNMP 経由のイベント送信

不可

1024 - 65535
(ダイナミックに設定される)

DCOM

TCP/UDP

6.x、7.x

なし

イン / アウト

WMI 経由の監視および設定

 

> 32780
(ダイナミックに設定される)

DMI

TCP/UDP

6.x

なし

イン / アウト

DMI 経由の監視および設定

システムによって異なります。

Dell OpenManage IT Assistant

20

FTP

TCP

6.x

なし

イン / アウト

BIOS のフラッシュ

不可

22

SSH

TCP

7.x

128 ビット

イン / アウト

コンテクスト的な IT Assistant アプリケーションの起動 — SSH クライアント

Server Administrator へのリモートソフトウェアアップデート — Linux 対応システム用

23

Telnet

TCP

7.x

なし

イン / アウト

コンテクスト的な IT Assistant アプリケーションの起動 — Telnet から Linux デバイス

不可

25

SMTP

TCP

7.x

なし

イン / アウト

IT Assistant からの電子メール警告処置オプション

不可

68

UDP

UDP

6.x、7.x

なし

アウト

Wake-on-LAN

80

HTTP

TCP

6.x

なし

イン / アウト

BIOS のフラッシュ

不可

80

HTTP

TCP

7.x

なし

イン / アウト

コンテクスト的な IT Assistant アプリケーションの起動 — PowerConnect™ コンソール

不可

135

RPC

TCP

6.x、7.x

なし

イン / アウト

Server Administrator からの CIM 経由のイベント受信 — Windows® 対応システム用

不可

135

RPC

TCP/UDP

6.x

なし

イン / アウト

リモートシステムの DMI 検出

不可

135

RPC

TCP/UDP

7.x

なし

イン / アウト

Server Administrator へのリモートソフトウェアアップデート転送 — Windows 対応システム用

リモートコマンドライン — Windows 対応システム用

不可

161

SNMP

UDP

6.x、7.x

なし

イン / アウト

SNMP クエリ管理

不可

162

SNMP

UDP

6.x、7.x

なし

イン

SNMP 経由のイベント受信

不可

162

SNMP

UDP

7.x

なし

アウト

IT Assistant からの SNMP トラップの転送処置

不可

389

LDAP

TCP

7.x

128 ビット

イン / アウト

IT Assistant ログオン用ドメイン認証

不可

1433

専用

TCP

7.x

なし

イン / アウト

リモート SQL サーバーアクセスオプション

2606

専用

TCP

6.x、7.x

なし

イン / アウト

ネットワーク監視サービスの通信ポート

2607

HTTPS

TCP

7.x

128 ビット SSL

イン / アウト

IT Assistant ウェブ GUI

3389

RDP

TCP

7.x

128 ビット SSL

イン / アウト

コンテクスト的な IT Assistant アプリケーションの起動 — リモートデスクトップから Windows ターミナルサービス

11487/11489

専用

TCP/UDP

6.x

なし

アウト

BIOS のフラッシュ

不可

443

専用

TCP

8.0

なし

イン / アウト

EMC ストレージ検出とインベントリ

不可

623

RMCP

UDP

8.0

なし

イン / アウト

LAN 経由の IPMI アクセス

不可

6389

専用

TCP

8.0

なし

イン / アウト

ホストシステム(NaviCLI/NaviSecCLI または Navisphere Host Agent 経由)とストレージシステムの Navisphere Array Agent 間の通信を可能にします。

不可

Dell OpenManage Server Administrator

22

SSH

TCP

2.0

128 ビット

イン / アウト

リモート Server Administrator コマンドライン(IT Assistant 用)。リモートソフトウェアアップデート機能(Linux 用)。

25

SMTP

TCP

2.0

なし

イン / アウト

Server Administrator からの電子メール警告メッセージオプション

不可

135

RPC

TCP/UDP

2.0

なし

イン / アウト

CIM 管理クエリ

不可

135

RPC

TCP/UDP

2.0

なし

イン / アウト

リモート Server Administrator コマンドライン(IT Assistant 用)。 リモートソフトウェアアップデート機能(Windows 用)。

不可

139

NetBIOS

TCP

2.0

なし

イン / アウト

リモート Server Administrator コマンドライン(IT Assistant 用)。 リモートソフトウェアアップデート(Windows 用)。

不可

161

SNMP

UDP

1.x、2.0

なし

イン / アウト

SNMP クエリ管理

不可

162

SNMP

UDP

1.x、2.0

なし

アウト

SNMP トラップイベント

不可

445

NetBIOS

TCP

2.0

なし

イン / アウト

Server Administrator(Windows 用)に対するリモートソフトウェアアップデート

不可

1311

HTTPS

TCP

1.x

128 ビット SSL

イン / アウト

ウェブ GUI

11487

専用

UDP

1.x

なし

イン

IT Assistant からのリモート BIOS のフラッシュアップデートの開始

11489

専用

TCP

1.x

なし

イン

IT Assistant からのリモート BIOS のフラッシュアップデートのファイル転送

1024 -65535

DCOM

TCP/UDP

2.0

なし

イン / アウト

CIM/WMI クエリ管理

Dell Remote Access Controller(DRAC):DRAC III、DRAC III/XT、ERA、および ERA/O

21

FTP

TCP

1.0

なし

イン / アウト

FTP 経由のファームウェアアップデートおよび証明書のアップロード / ダウンロード

不可

23

Telnet

TCP

1.0

なし

イン / アウト

Telnet ベースの CLI 管理オプション

不可

25

SMTP

TCP

1.0

なし

イン / アウト

電子メール警告メッセージオプション

不可

68

DHCP

UDP

1.2

なし

イン / アウト

DHCP 設定の IP アドレス

不可

69

TFTP

UDP

1.0

なし

イン / アウト

Trivial FTP 経由のファームウェアアップデート。
TFTP 経由のリモートフロッピーブート。

不可

80

HTTP

TCP

1.0

なし

イン / アウト

HTTPS へのウェブ GUI リダイレクト

不可

162

SNMP

UDP

1.0

なし

アウト

SNMP トラップイベント

不可

443

HTTPS

TCP

1.0

128 ビット SSL

イン / アウト

ウェブ管理 GUI

不可

443

HTTPS

TCP

3.2

128 ビット SSL

イン / アウト

リモート racadm CLI ユーティリティ

不可

5869

専用

TCP

1.0

なし

イン / アウト

リモート racadm CLI ユーティリティ

不可

5900

VNC

TCP

1.0

56 ビット DES

イン / アウト

ビデオリダイレクト

5900

VNC

TCP

3.2

128 ビット RC

イン / アウト

ビデオリダイレクト

5981

VNC

TCP

1.0

なし

イン / アウト

ビデオリダイレクト

ランダムおよび > 32768

専用

TCP

1.0

なし

イン / アウト

ウェブ GUI からのファームウェアアップデート

不可

DRAC 4

22

SSHv2

TCP

1.30

128 ビット

イン / アウト

セキュアシェル(SSH)CLI 管理オプション

23

Telnet

TCP

1.0

なし

イン / アウト

Telnet の CLI 管理オプション

25

SMTP

TCP

1.0

なし

イン / アウト

電子メール警告メッセージオプション

不可

53

DNS

UDP

1.20

なし

イン / アウト

DRAC 内で設定されたホスト名のダイナミックなドメインネームサーバー(DNS)登録

不可

68

DHCP

UDP

1.0

なし

イン / アウト

DHCP 設定の IP アドレス

不可

69

TFTP

UDP

1.0

なし

イン / アウト

Trivial FTP 経由のファームウェアアップデート。

不可

80

HTTP

TCP

1.0

なし

イン / アウト

HTTPS へのウェブ GUI リダイレクト

161

SNMP

UDP

1.0

なし

イン / アウト

SNMP クエリ管理

不可

162

SNMP

UDP

1.0

なし

アウト

SNMP トラップイベント

不可

443

HTTPS

TCP

1.0

128 ビット SSL

イン / アウト

ウェブ管理 GUI とリモート racadm CLI ユーティリティ

636

LDAPS

TCP

1.0

128 ビット SSL

イン / アウト

Active Directory サービス(ADS)認証オプション

不可

3269

LDAPS

TCP

1.0

128 ビット SSL

イン / アウト

Active Directory サービス(ADS)認証オプション

不可

3668

専用

TCP

1.0

なし

イン / アウト

CD/ ディスケット仮想メディアサービス

5869

専用

TCP

1.0

なし

イン / アウト

リモート racadm

不可

5900

専用

TCP

1.0

128 ビット RC4、キーボード / マウストラフィックのみ

イン / アウト

ビデオリダイレクト

DRAC/MC

23

Telnet

TCP

1.0

なし

イン / アウト

Telnet の CLI 管理オプション

25

SMTP

TCP

1.0

なし

イン / アウト

電子メール警告メッセージオプション

不可

53

DNS

UDP

1.0

なし

イン / アウト

DRAC 内で設定されたホスト名のダイナミック DNS 登録

不可

68

DHCP

UDP

1.0

なし

イン / アウト

DHCP 設定の IP アドレス

不可

69

TFTP

UDP

1.0

なし

イン / アウト

Trivial FTP 経由のファームウェアアップデート。

不可

80

HTTP

TCP

1.0

なし

イン / アウト

HTTPS へのウェブ GUI リダイレクト

161

SNMP

UDP

1.0

なし

イン / アウト

SNMP クエリ管理

不可

162

SNMP

UDP

1.0

なし

アウト

SNMP トラップイベント

不可

389

LDAP

TCP

1.0

なし

イン / アウト

Active Directory サービス(ADS)認証オプション

不可

443

HTTPS

TCP

1.0

128 ビット SSL

イン / アウト

ウェブ管理 GUI とリモート racadm CLI ユーティリティ

不可

636

LDAPS

TCP

1.0

128 ビット SSL

イン / アウト

Active Directory サービス(ADS)認証オプション

不可

3269

LDAPS

TCP

1.0

128 ビット SSL

イン / アウト

Active Directory サービス(ADS)認証オプション

不可

デジタル KVM

2068

専用

TCP

1.0

128 ビット SSL

イン / アウト

ビデオリダイレクト — キーボード / マウス

不可

3668

専用

TCP

1.0

なし

イン / アウト

仮想メディア

不可

8192

専用

TCP

1.0

なし

イン / アウト

クライアントビューアへのビデオリダイレクト

不可

メモ:CIM ポートはダイナミックです。 CIM ポートの用途については、support.microsoft.com から Microsoft サポート技術情報(KB)を参照してください。
メモ:ファイアウォールを使用している場合は、IT Assistant や他の Dell OpenManage アプリケーションが正しく機能するように、上の表 2-1 に記載されているすべてのポートを開く必要があります。

セキュリティ管理

Dell では、ウェブインタフェースとコマンドラインインタフェースの両方で、役割ベースのアクセス制御(RBAC)、認証、暗号化、または Active Directory を使用してセキュリティとアクセス管理を提供しています。

役割ベースのアクセス制御(RBAC)

RBAC は特定の役割を持つユーザーが実行できる操作を決めて、セキュリティを管理します。 各ユーザーには 1 つまたは複数の役割が割り当てられ、それぞれの役割にはその役割のユーザーに許可される 1 つまたは複数のユーザー特権が割り当てられます。 RBAC では、セキュリティ管理は組織構造と密接に関係しています。 Dell OpenManage ユーザーの設定に関する情報は、「ユーザー特権の割り当て」を参照してください。

ユーザー特権

Server Administrator では、ユーザーが割り当てられているグループの特権に従って、異なるアクセス権が与えられます。 ユーザーには、ユーザーパワーユーザーシステム管理者の 3 レベルがあります。

ユーザーはほとんどの情報を表示することができます。

パワーユーザーは警告しきい値の設定、診断テストの実行、および警告またはエラーイベントが発生したときに取る警告処置の設定を行うことができます。

システム管理者はシャットダウン処理の設定と実行、システムでオペレーティングシステムのハングが起こった場合の自動回復処理の設定や、ハードウェア、イベント、コマンドログのクリアなどができます。 システム管理者は電子メールを送信することもできます。

Server Administrator は、ユーザー特権でログインしたユーザーには読み取り専用のアクセス権、パワーユーザー特権でログインしたユーザーには読み取りと書き込みのアクセス権、システム管理者特権でログインしたユーザーには読み取り、書き込み、管理のアクセス権を与えます。 表 2-2 を参照してください。

表 2-2. ユーザー特権 

ユーザー特権

アクセスタイプ

  

システム管理者

書き込み

読み取り

ユーザー

 

 

X

パワーユーザー

 

X

X

システム管理者

X

X

X

システム管理者アクセス権があると、管理先システムのシャットダウンができます。

書き込みアクセス権があると、管理下システムで値の変更や設定ができます。

読み取りアクセス権があると、Server Administrator で報告されたデータを表示できます。 ただし、管理下システムで値を変更することはできません。

Server Administrator サービスにアクセスするための特権レベル

表 2-3 は、Server Administrator サービスにアクセスして管理する権限を持つユーザーレベルをまとめたものです。

表 2-3. Server Administrator ユーザー特権レベル 

サービス

必要なユーザー特権レベル

  

表示

管理

計装

U、P、A

P、A

リモートアクセス

U、P、A

A

アップデート

U、P、A

A

Storage Management

U、P、A

A

表 2-4 は、表 2-3 で使用した特権レベルの略語の意味を説明しています。

表 2-4. Server Administrator ユーザー特権レベルの凡例 

U

ユーザー

P

パワーユーザー

A

システム管理者

認証

Server Administrator 認証スキームは、正しいアクセスタイプが正しいユーザー特権に割り当てられているかどうか確認します。 また、CLI の起動時に、現在のプロセスが実行しているコンテキストを検証します。 この認証スキームは、アクセス元が Server Administrator ホームページか CLI かを問わず、すべての Server Administrator 機能が正しく認証されるようにします。

Microsoft Windows 認証

対応の Windows オペレーティングシステムにおいて、Server Administrator 認証は、統合 Windows 認証(旧 NTLM)で認証を行います。 この基盤となる認証システムによって、Server Administrator のセキュリティをネットワークの全体的なセキュリティスキームに組み込むことができます。

Red Hat® Enterprise Linux および SUSE® Linux Enterprise Server 認証

対応の Red Hat Enterprise Linux および SUSE Linux Enterprise Server オペレーティングシステムでは、Server Administrator の認証は PAM(Pluggable Authentication Modules)ライブラリに基づいています。 この文書化された関数ライブラリを使うと、管理者は個別のアプリケーションのユーザー認証方法を決定できます。

暗号化

Server Administrator には、SSL(Secure Socket Layer)技術を使用した安全な HTTPS 接続を介してアクセスすることにより、管理するシステムの身元を確認して保護します。 Windows、Red Hat Enterprise Linux、SUSE Linux Enterprise Server オペレーティングシステムでは、ユーザーが Server Administrator ホームページにアクセスしたときにソケット接続を介して転送されるログイン情報や機密データを保護するために JSSE(Java Secure Socket Extension)を使用しています。

Microsoft Active Directory

Active Directory サービスソフトウェアは、Microsoft Windows プラットフォームで実行している Dell OpenManage アプリケーションのネットワークリソースにアクセスするユーザーの識別と制御に使用され、ネットワークセキュリティの中央局の役割を果たします。 デルは顧客向けにスキーマ拡張機能を提供し、リモート管理での認証と許可をサポートするように Active Directory データベースを変更します。 Active Directory は現在 IT Assistant、Server Administrator、および Dell Remote Access Controller と連動して、中央の単一のデータベースからユーザーと権限の追加や制御ができます。 Active Directory の使用に関する詳細については、「Microsoft® Active Directory® の使い方」を参照してください。


目次ページに戻る