Retour à la page du sommaire

Sécurité de Dell OpenManage™

Guide de sécurité et d'installation de Dell OpenManage™, version 5.1

  Fonctionnalités de sécurité

  Fonctionnalités de sécurité intégrées

  Gestion de la sécurité



Fonctionnalités de sécurité

Les composants logiciels de gestion des systèmes de Dell OpenManage fournissent les fonctionnalités de sécurité suivantes :

REMARQUE : Telnet ne prend pas en charge le cryptage SSL.

Fonctionnalités de sécurité intégrées

Ports

Le tableau 2-1 répertorie les ports utilisés par les logiciels de gestion de systèmes Dell OpenManage, d'autres services de systèmes d'exploitation standard et d'autres applications d'agents. Des ports configurés correctement sont nécessaires pour permettre aux logiciels de gestion de systèmes Dell OpenManage de se connecter à un périphérique distant à travers des firewalls. S'il est impossible de communiquer avec un périphérique distant, il se peut qu'un numéro de port incorrect a été spécifié.

REMARQUE : « Version » dans le tableau 2-1 fait allusion à la version de produit minimale qui utilise le port (ou la version explicite si spécifiée).

Tableau 2-1. Emplacements par défaut des ports UDP/TCP de Dell OpenManage 

N° de port

 

Type de port

Version

Niveau de cryptage max.

Direction

Utilisation

Configurable

Contrôleur de gestion de la carte mère de Dell OpenManage - systèmes PowerEdge™ x8xx

623

RMCP

UDP

Systèmes PowerEdge x800 uniquement

Aucune

Entrées/Sorties

Accès IPMI via le réseau local (LAN)

Non

Utilitaire de gestion de la carte mère de Dell OpenManage

623

Telnet

TCP

1.x

Aucune

Entrées/Sorties

Accepte des connexions Telnet entrantes

Oui

623

RMCP

UDP

1.x

Aucune

Entrées/Sorties

Commandes BMC de base : condition de serveur, mise sous/hors tension, etc.

Non

623

RMCP

UDP

1.x

Aucune

Entrées/Sorties

Commandes BMC de base et redirection de console

Non

Dell OpenManage Client Connector

135

RPC

TCP/UDP

2.0

Aucune

Entrées/Sorties

Affichage des données de gestion de client

Non

389

LDAP

TCP

2.0

128 bits

Entrées/Sorties

Authentification de domaine

Non

4995

HTTPS

TCP

2.0

SSL 128 bits

Entrées/Sorties

GUI Web

Oui

1024 - 65535
(attribué dynamiquement)

DCOM

TCP/UDP

2.0

Aucune

Entrées/Sorties

Affichage des données de gestion de client

La plage de port peut être restreinte.

Dell OpenManage Client Instrumentation

20

HTTP et FTP

TCP

6.x, 7.x

Aucune

Entrées/Sorties

Communication BIOS flash

Non

21

HTTP et FTP

TCP

6.x, 7.x

Aucune

Entrées/Sorties

Communication BIOS flash

Non

80

HTTP et FTP

TCP

6.x, 7.x

Aucune

Entrées/Sorties

Communication BIOS flash

Non

135

DCOM

TCP/UDP

6.x, 7.x

Aucune

Entrées/Sorties

Surveillance et Configuration via WMI

Non

135

DCOM

TCP

7.x

Aucune

Sorties

Transmission d'événements via WMI

Non

162

SNMP

UDP

6.x

Aucune

Sorties

Transmission d'événements via SNMP

Non

1024-65535
(attribué dynamiquement)

DCOM

TCP/UDP

6.x, 7.x

Aucune

Entrées/Sorties

Surveillance et configuration via WMI

 

> 32780
(attribué dynamiquement)

DMI

TCP/UDP

6.x

Aucune

Entrées/Sorties

Surveillance et configuration via DMI

Varie d'un système à un autre.

Dell OpenManage IT Assistant

20

FTP

TCP

6.x

Aucune

Entrées/Sorties

BIOS flash

Non

22

SSH

TCP

7.x

128 bits

Entrées/Sorties

Lancement contextuel de l'application IT Assistant : client SSH

Mises à jour à distance de logiciel de Server Administrator : systèmes prenant Linux en charge

Oui

23

Telnet

TCP

7.x

Aucune

Entrées/Sorties

Lancement contextuel de l'application IT Assistant : Telnet vers le périphérique Linux

Non

25

SMTP

TCP

7.x

Aucune

Entrées/Sorties

Action d'alerte par e-mail en option effectuée par IT Assistant

Non

68

UDP

UDP

6.x, 7.x

Aucune

Sorties

Réveil sur LAN

Oui

80

HTTP

TCP

6.x

Aucune

Entrées/Sorties

BIOS flash

Non

80

HTTP

TCP

7.x

Aucune

Entrées/Sorties

Lancement contextuel de l'application IT Assistant : console PowerConnect™

Non

135

RPC

TCP

6.x, 7.x

Aucune

Entrées/Sorties

Réception d'événements via CIM depuis Server Administrator : systèmes prenant en charge Windows®

Non

135

RPC

TCP/UDP

6.x

Aucune

Entrées/Sorties

Découverte DMI de systèmes distants

Non

135

RPC

TCP/UDP

7.x

Aucune

Entrées/Sorties

Transfert de mise à jour de logiciel à distance vers Server Administrator : systèmes prenant en charge Windows

Ligne de commande à distance : systèmes prenant en charge Windows

Non

161

SNMP

UDP

6.x, 7.x

Aucune

Entrées/Sorties

Gestion des requêtes SNMP

Non

162

SNMP

UDP

6.x, 7.x

Aucune

Entrées

Réception d'événements via SNMP

Non

162

SNMP

UDP

7.x

Aucune

Sorties

Action de transfert d'interruptions SNMP depuis IT Assistant

Non

389

LDAP

TCP

7.x

128 bits

Entrées/Sorties

Authentification de domaine pour la connexion d'IT Assistant

Non

1433

Propriétaire

TCP

7.x

Aucune

Entrées/Sorties

Accès au serveur SQL distant en option

Oui

2606

Propriétaire

TCP

6.x, 7.x

Aucune

Entrées/Sorties

Port de communication du service de surveillance réseau

Oui

2607

HTTPS

TCP

7.x

SSL 128 bits

Entrées/Sorties

GUI Web d'IT Assistant

Oui

3389

RDP

TCP

7.x

SSL 128 bits

Entrées/Sorties

Lancement contextuel de l'application IT Assistant : bureau distant vers les services Windows Terminal Server

Oui

11487/11489

Propriétaire

TCP/UDP

6.x

Aucune

Sorties

BIOS flash

Non

443

Propriétaire

TCP

8.0

Aucune

Entrées/Sorties

Découverte et inventaire de stockage EMC

Non

623

RMCP

UDP

8.0

Aucune

Entrées/Sorties

Accès IPMI via le réseau local (LAN)

Non

6389

Propriétaire

TCP

8.0

Aucune

Entrées/Sorties

Active la communication entre un système hôte (par l'agent hôte NaviCLI/NaviSecCLI ou Navisphere ) et un agent de matrice Navisphere sur un système de stockage.

Non

Dell OpenManage Server Administrator

22

SSH

TCP

2.0

128 bits

Entrées/Sorties

Ligne de commande de Server Administrator à distance (pour IT Assistant). Fonctionnalité de mise à jour de logiciel à distance (pour Linux).

Oui

25

SMTP

TCP

2.0

Aucune

Entrées/Sorties

Messages d'alerte par e-mail en option depuis Server Administrator

Non

135

RPC

TCP/UDP

2.0

Aucune

Entrées/Sorties

Requêtes de gestion CIM

Non

135

RPC

TCP/UDP

2.0

Aucune

Entrées/Sorties

Ligne de commande de Server Administrator à distance (pour IT Assistant). Fonctionnalité de mise à jour de logiciel à distance (pour Windows).

Non

139

NetBIOS

TCP

2.0

Aucune

Entrées/Sorties

Ligne de commande de Server Administrator à distance (pour IT Assistant). Mise à jour de logiciel à distance (pour Windows).

Non

161

SNMP

UDP

1.x, 2.0

Aucune

Entrées/Sorties

Gestion des requêtes SNMP

Non

162

SNMP

UDP

1.x, 2.0

Aucune

Sorties

Événément d'interruption SNMP

Non

445

NetBIOS

TCP

2.0

Aucune

Entrées/Sorties

Mises à jour de logiciel à distance vers Server Administrator (pour Windows)

Non

1311

HTTPS

TCP

1.x

SSL 128 bits

Entrées/Sorties

GUI Web

Oui

11487

Propriétaire

UDP

1.x

Aucune

Entrées

Mise à jour flash du BIOS à distance depuis IT Assistant

Oui

11489

Propriétaire

TCP

1.x

Aucune

Entrées

Transfert à distance des fichiers de mise à jour flash du BIOS depuis IT Assistant

Oui

1024 -65535

DCOM

TCP/UDP

2.0

Aucune

Entrées/Sorties

Gestion des requêtes CIM/WMI

Oui

Dell Remote Access Controller (DRAC) : DRAC III, DRAC III/XT, ERA et ERA/O

21

FTP

TCP

1.0

Aucune

Entrées/Sorties

Mise à jour de micrologiciel via FTP et téléchargement d'un certificat

Non

23

Telnet

TCP

1.0

Aucune

Entrées/Sorties

Gestion en option de la CLI basée Telnet

Non

25

SMTP

TCP

1.0

Aucune

Entrées/Sorties

Messages d'alerte par e-mail en option

Non

68

DHCP

UDP

1.2

Aucune

Entrées/Sorties

Adresse IP attribuée via DHCP

Non

69

TFTP

UDP

1.0

Aucune

Entrées/Sorties

Mise à jour de micrologiciel via Trivial FTP.
Amorçage sur disquette distante via TFTP

Non

80

HTTP

TCP

1.0

Aucune

Entrées/Sorties

GUI Web redirigée vers HTTPS

Non

162

SNMP

UDP

1.0

Aucune

Sorties

Événément d'interruption SNMP

Non

443

HTTPS

TCP

1.0

SSL 128 bits

Entrées/Sorties

GUI de gestion Web

Non

443

HTTPS

TCP

3.2

SSL 128 bits

Entrées/Sorties

Utilitaire CLI racadm distant

Non

5869

Propriétaire

TCP

1.0

Aucune

Entrées/Sorties

Utilitaire CLI racadm distant

Non

5900

VNC

TCP

1.0

DES 56 bits

Entrées/Sorties

Redirection vidéo

Oui

5900

VNC

TCP

3.2

RC 128 bits

Entrées/Sorties

Redirection vidéo

Oui

5981

VNC

TCP

1.0

Aucune

Entrées/Sorties

Redirection vidéo

Oui

aléatoire et > 32768

Propriétaire

TCP

1.0

Aucune

Entrées/Sorties

Mise à jour de micrologiciel depuis la GUI Web

Non

DRAC 4

22

SSHv2

TCP

1.30

128 bits

Entrées/Sorties

Gestion de CLI Secure Shell (SSH) en option

Oui

23

Telnet

TCP

1.0

Aucune

Entrées/Sorties

Gestion de CLI Telnet en option

Oui

25

SMTP

TCP

1.0

Aucune

Entrées/Sorties

Messages d'alerte par e-mail en option

Non

53

DNS

UDP

1.20

Aucune

Entrées/Sorties

Enregistrement du serveur de noms de domaine (DNS) dynamique du nom d'hôte attribué dans DRAC

Non

68

DHCP

UDP

1.0

Aucune

Entrées/Sorties

Adresse IP attribuée par DHCP

Non

69

TFTP

UDP

1.0

Aucune

Entrées/Sorties

Mise à jour de micrologiciel via Trivial FTP

Non

80

HTTP

TCP

1.0

Aucune

Entrées/Sorties

GUI Web redirigée vers HTTPS

Oui

161

SNMP

UDP

1.0

Aucune

Entrées/Sorties

Gestion des requêtes SNMP

Non

162

SNMP

UDP

1.0

Aucune

Sorties

Événément d'interruption SNMP

Non

443

HTTPS

TCP

1.0

SSL 128 bits

Entrées/Sorties

GUI de gestion Web et utilitaire CLI racadm distant

Oui

636

LDAPS

TCP

1.0

SSL 128 bits

Entrées/Sorties

Authentification Active Directory Services (ADS) en option

Non

3269

LDAPS

TCP

1.0

SSL 128 bits

Entrées/Sorties

Authentification Active Directory Services (ADS) en option

Non

3668

Propriétaire

TCP

1.0

Aucune

Entrées/Sorties

Service de média virtuel sur CD/disquette

Oui

5869

Propriétaire

TCP

1.0

Aucune

Entrées/Sorties

racadm distant

Non

5900

Propriétaire

TCP

1.0

RC4 128 bits, trafic de clavier/souris uniquement

Entrées/Sorties

Redirection vidéo

Oui

DRAC/MC

23

Telnet

TCP

1.0

Aucune

Entrées/Sorties

Gestion CLI Telnet en option

Oui

25

SMTP

TCP

1.0

Aucune

Entrées/Sorties

Messages d'alerte par e-mail en option

Non

53

DNS

UDP

1.0

Aucune

Entrées/Sorties

Enregistrement DNS dynamique du nom d'hôte attribué dans DRAC

Non

68

DHCP

UDP

1.0

Aucune

Entrées/Sorties

Adresse IP attribuée via DHCP

Non

69

TFTP

UDP

1.0

Aucune

Entrées/Sorties

Mise à jour de micrologiciel via Trivial FTP

Non

80

HTTP

TCP

1.0

Aucune

Entrées/Sorties

GUI Web redirigée vers HTTPS

Oui

161

SNMP

UDP

1.0

Aucune

Entrées/Sorties

Gestion des requêtes SNMP

Non

162

SNMP

UDP

1.0

Aucune

Sorties

Événément d'interruption SNMP

Non

389

LDAP

TCP

1.0

Aucune

Entrées/Sorties

Authentification Active Directory Services (ADS) en option

Non

443

HTTPS

TCP

1.0

SSL 128 bits

Entrées/Sorties

GUI de gestion Web et utilitaire CLI racadm distant

Non

636

LDAPS

TCP

1.0

SSL 128 bits

Entrées/Sorties

Authentification Active Directory Services (ADS) en option

Non

3269

LDAPS

TCP

1.0

SSL 128 bits

Entrées/Sorties

Authentification Active Directory Services (ADS) en option

Non

KVM numérique

2068

Propriétaire

TCP

1.0

SSL 128 bits

Entrées/Sorties

Redirection vidéo : clavier/souris

Non

3668

Propriétaire

TCP

1.0

Aucune

Entrées/Sorties

Média virtuel

Non

8192

Propriétaire

TCP

1.0

Aucune

Entrées/Sorties

Redirection vidéo vers le visualiseur client

Non

REMARQUE : Les ports CIM sont dynamiques. Consultez la base de connaissances de Microsoft à l'adresse support.microsoft.com pour des informations sur l'utilisation du port CIM.
REMARQUE : Si vous utilisez un firewall, vous devez ouvrir tous les ports répertoriés dans le tableau 2-1 précédent pour qu'IT Assistant et les autres applications Dell OpenManage fonctionnent correctement.

Gestion de la sécurité

Dell fournit l'administration de la sécurité et de l'accès via le contrôle d'accès basé sur le rôle (RBAC), l'authentification et le cryptage, ou via Active Directory, tant pour l'interface Web que l'interface de ligne de commande.

Contrôle d'accès basé sur le rôle (RBAC)

Le RBAC gère la sécurité en déterminant les opérations pouvant être exécutées par les utilisateurs ayant des rôles spécifiques. Chaque utilisateur se voit attribuer un ou plusieurs rôles et chaque rôle est accompagné d'un ou de plusieurs privilèges d'utilisateur qui sont octroyés aux utilisateurs jouant ce rôle spécifique. Avec le RBAC, l'administration de la sécurité peut correspondre étroitement à la structure d'une organisation. Pour des informations sur la configuration d'utilisateurs Dell OpenManage, consultez la section « Attribution des privilèges d'utilisateur ».

Privilèges d'utilisateur

Server Administrator octroie des droits d'accès différents selon les privilèges de groupe attribués à l'utilisateur. Les trois niveaux d'utilisateur sont :Utilisateur, Utilisateur privilégié et Administrateur.

Les utilisateurs peuvent afficher la plupart des informations.

Les utilisateurs privilégiés peuvent définir les valeurs des seuils d'avertissement, exécuter des tests de diagnostic et configurer les mesures d'alerte qui doivent être prises lorsqu'un événement d'avertissement ou de panne se produit.

Les administrateurs peuvent configurer et effectuer des actions d'arrêt, configurer des actions de récupération automatique au cas où un système a un système d'exploitation bloqué et effacer les journaux de matériel, d'événements et de commandes. Les administrateurs peuvent aussi envoyer des e-mails.

Server Administrator accorde l'accès en lecture seule aux utilisateurs connectés avec des droits d'utilisateur ; l'accès en lecture et en écriture aux utilisateurs connectés avec des droits d'utilisateurs privilégiés ; et l'accès en lecture, en écriture et un accès d'administration aux utilisateurs connectés avec des droits d'administrateur. Consultez le tableau 2-2.

Tableau 2-2. Privilèges d'utilisateur 

Privilèges d'utilisateur

Type d'accès

  

Administration

Écriture

Lecture

Utilisateur

 

 

X

Utilisateur privilégié

 

X

X

Administrateur

X

X

X

L'accès en administrateur vous permet d'arrêter le système géré.

L'accès en écriture vous permet de modifier ou de définir des valeurs sur le système géré.

L'accès en lecture vous permet d'afficher les données générées par Server Administrator. L'accès en lecture ne vous permet pas de modifier ou de définir des valeurs sur le système géré.

Niveaux de privilèges pour accéder aux services de Server Administrator

Le tableau 2-3 résume quels niveaux d'utilisateurs ont des privilèges d'accès et de gestion pour les services de Server Administrator.

Tableau 2-3. Niveaux de privilèges utilisateurs de Server Administrator 

Service

Niveau de privilège d'utilisateur requis

  

Affichage

Gestion

Instrumentation

U, P, A

P, A

Accès à distance

U, P, A

A

Mise à jour

U, P, A

A

Storage Management

U, P, A

A

Le tableau 2-4 définit les abréviations des niveaux de privilèges utilisateurs utilisées dans le tableau 2-3.

Tableau 2-4. Légende pour les niveaux de privilège des utilisateurs de Server Administrator 

U

Utilisateur

P

Utilisateur privilégié

A

Administrateur

Authentification

Le schéma d'authentification de Server Administrator vérifie que les types d'accès corrects sont attribués aux privilèges d'utilisateur corrects. En outre, lorsque la CLI est invoquée, le schéma d'authentification de Server Administrator valide le contexte à l'intérieur duquel le processus en cours s'exécute. Ce schéma d'authentification permet de s'assurer que toutes les fonctions de Server Administrator, qu'elles soient accessibles via la page d'accueil de Server Administrator ou la CLI, sont correctement authentifiées.

Authentification Microsoft Windows

Pour les systèmes d'exploitation Windows pris en charge, l'authentification Server Administrator utilise l'authentification Windows intégrée (anciennement NTLM). Ce système d'authentification sous-jacent permet à la sécurité de Server Administrator d'être incorporée à un schéma global de sécurité pour votre réseau.

Authentification de Red Hat® Enterprise Linux et SUSE ® Linux Enterprise Server

L'authentification de Server Administrator pour les systèmes d'exploitation Red HatEnterprise Linux et SUSE Linux Enterprise Server pris en charge est basée sur la bibliothèque des modules d'authentification enfichables (PAM). Cette bibliothèque de fonctions documentée permet à un administrateur de déterminer comment chaque application authentifie les utilisateurs.

Cryptage

L'accès à Server Administrator est assuré par une connexion HTTPS sécurisée qui utilise la technologie Secure Socket Layer (SSL) pour sécuriser et protéger l'identité du système géré. L'extension Java Secure Socket Extension (JSSE) est utilisée par les systèmes d'exploitation Windows, Red Hat Enterprise Linux et SUSE Linux Enterprise Server pris en charge pour protéger les références de l'utilisateur et les autres données sensibles transmises via le socket de connexion lorsque l'utilisateur accède à la page d'accueil de Server Administrator.

Microsoft Active Directory

Le logiciel de service Active Directory agit comme l'autorité centrale pour la sécurité du réseau, en laissant le système d'exploitation vérifier l'identité d'un utilisateur et contrôler l'accès de cet utilisateur aux ressources du réseau pour les applications Dell OpenManage fonctionnant sur une plateforme Windows prise en charge. Dell fournit des extensions de schéma à ses clients pour leur permettre de modifier leur base de données Active Directory et prendre en charge l'authentification et l'autorisation des opérations de gestion à distance. Active Directory peut maintenant s'interfacer avec IT Assistant, Server Administrator et les contrôleurs Dell Remote Access Controller pour ajouter et contrôler des utilisateurs et privilèges depuis une base de données centrale unique. Pour des informations sur l'utilisation d'Active Directory, consultez la section « Utilisation de Microsoft® Active Directory® ».


Retour à la page du sommaire