Retour à la page du sommaire
Sécurité de Dell OpenManage™
Guide de sécurité et d'installation de Dell OpenManage™, version 5.1
Fonctionnalités de sécurité
Fonctionnalités de sécurité intégrées
Gestion de la sécurité
Fonctionnalités de sécurité
Les composants logiciels de gestion des systèmes de Dell OpenManage fournissent les fonctionnalités de sécurité suivantes :
- Authentification des utilisateurs par ID d'utilisateurs et mots de passe stockés dans le matériel ou, éventuellement, en utilisant Microsoft® Active Directory®
- Autorisation basée sur les rôles permettant la configuration de privilèges spécifiques pour chaque utilisateur
- Configuration d'ID utilisateur et de mot de passe via l'interface Web ou la CLI (interface de ligne de commande) (dans la plupart des cas)
- Cryptage SSL de 128 et 40 bits (pour les pays où 128 bits n'est pas acceptable)
|
REMARQUE : Telnet ne prend pas en charge le cryptage SSL. |
- Configuration du délai d'attente de session (en minutes) via l'interface Web ou la CLI
- Configuration d'un grand nombre des ports courants
Fonctionnalités de sécurité intégrées
Ports
Le tableau 2-1 répertorie les ports utilisés par les logiciels de gestion de systèmes Dell OpenManage, d'autres services de systèmes d'exploitation standard et d'autres applications d'agents. Des ports configurés correctement sont nécessaires pour permettre aux logiciels de gestion de systèmes Dell OpenManage de se connecter à un périphérique distant à travers des firewalls. S'il est impossible de communiquer avec un périphérique distant, il se peut qu'un numéro de port incorrect a été spécifié.
|
REMARQUE : « Version » dans le tableau 2-1 fait allusion à la version de produit minimale qui utilise le port (ou la version explicite si spécifiée). |
Tableau 2-1. Emplacements par défaut des ports UDP/TCP de Dell OpenManage
N° de port
|
|
Type de port
|
Version
|
Niveau de cryptage max.
|
Direction
|
Utilisation
|
Configurable
|
Contrôleur de gestion de la carte mère de Dell OpenManage - systèmes PowerEdge™ x8xx
|
623
| RMCP
| UDP
| Systèmes PowerEdge x800 uniquement
| Aucune
| Entrées/Sorties
| Accès IPMI via le réseau local (LAN)
| Non
|
Utilitaire de gestion de la carte mère de Dell OpenManage
|
623
| Telnet
| TCP
| 1.x
| Aucune
| Entrées/Sorties
| Accepte des connexions Telnet entrantes
| Oui
|
623
| RMCP
| UDP
| 1.x
| Aucune
| Entrées/Sorties
| Commandes BMC de base : condition de serveur, mise sous/hors tension, etc.
| Non
|
623
| RMCP
| UDP
| 1.x
| Aucune
| Entrées/Sorties
| Commandes BMC de base et redirection de console
| Non
|
Dell OpenManage Client Connector
|
135
| RPC
| TCP/UDP
| 2.0
| Aucune
| Entrées/Sorties
| Affichage des données de gestion de client
| Non
|
389
| LDAP
| TCP
| 2.0
| 128 bits
| Entrées/Sorties
| Authentification de domaine
| Non
|
4995
| HTTPS
| TCP
| 2.0
| SSL 128 bits
| Entrées/Sorties
| GUI Web
| Oui
|
1024 - 65535 (attribué dynamiquement)
| DCOM
| TCP/UDP
| 2.0
| Aucune
| Entrées/Sorties
| Affichage des données de gestion de client
| La plage de port peut être restreinte.
|
Dell OpenManage Client Instrumentation
|
20
| HTTP et FTP
| TCP
| 6.x, 7.x
| Aucune
| Entrées/Sorties
| Communication BIOS flash
| Non
|
21
| HTTP et FTP
| TCP
| 6.x, 7.x
| Aucune
| Entrées/Sorties
| Communication BIOS flash
| Non
|
80
| HTTP et FTP
| TCP
| 6.x, 7.x
| Aucune
| Entrées/Sorties
| Communication BIOS flash
| Non
|
135
| DCOM
| TCP/UDP
| 6.x, 7.x
| Aucune
| Entrées/Sorties
| Surveillance et Configuration via WMI
| Non
|
135
| DCOM
| TCP
| 7.x
| Aucune
| Sorties
| Transmission d'événements via WMI
| Non
|
162
| SNMP
| UDP
| 6.x
| Aucune
| Sorties
| Transmission d'événements via SNMP
| Non
|
1024-65535 (attribué dynamiquement)
| DCOM
| TCP/UDP
| 6.x, 7.x
| Aucune
| Entrées/Sorties
| Surveillance et configuration via WMI
|
|
> 32780 (attribué dynamiquement)
| DMI
| TCP/UDP
| 6.x
| Aucune
| Entrées/Sorties
| Surveillance et configuration via DMI
| Varie d'un système à un autre.
|
Dell OpenManage IT Assistant
|
20
| FTP
| TCP
| 6.x
| Aucune
| Entrées/Sorties
| BIOS flash
| Non
|
22
| SSH
| TCP
| 7.x
| 128 bits
| Entrées/Sorties
| Lancement contextuel de l'application IT Assistant : client SSH
Mises à jour à distance de logiciel de Server Administrator : systèmes prenant Linux en charge
| Oui
|
23
| Telnet
| TCP
| 7.x
| Aucune
| Entrées/Sorties
| Lancement contextuel de l'application IT Assistant : Telnet vers le périphérique Linux
| Non
|
25
| SMTP
| TCP
| 7.x
| Aucune
| Entrées/Sorties
| Action d'alerte par e-mail en option effectuée par IT Assistant
| Non
|
68
| UDP
| UDP
| 6.x, 7.x
| Aucune
| Sorties
| Réveil sur LAN
| Oui
|
80
| HTTP
| TCP
| 6.x
| Aucune
| Entrées/Sorties
| BIOS flash
| Non
|
80
| HTTP
| TCP
| 7.x
| Aucune
| Entrées/Sorties
| Lancement contextuel de l'application IT Assistant : console PowerConnect™
| Non
|
135
| RPC
| TCP
| 6.x, 7.x
| Aucune
| Entrées/Sorties
| Réception d'événements via CIM depuis Server Administrator : systèmes prenant en charge Windows®
| Non
|
135
| RPC
| TCP/UDP
| 6.x
| Aucune
| Entrées/Sorties
| Découverte DMI de systèmes distants
| Non
|
135
| RPC
| TCP/UDP
| 7.x
| Aucune
| Entrées/Sorties
| Transfert de mise à jour de logiciel à distance vers Server Administrator : systèmes prenant en charge Windows
Ligne de commande à distance : systèmes prenant en charge Windows
| Non
|
161
| SNMP
| UDP
| 6.x, 7.x
| Aucune
| Entrées/Sorties
| Gestion des requêtes SNMP
| Non
|
162
| SNMP
| UDP
| 6.x, 7.x
| Aucune
| Entrées
| Réception d'événements via SNMP
| Non
|
162
| SNMP
| UDP
| 7.x
| Aucune
| Sorties
| Action de transfert d'interruptions SNMP depuis IT Assistant
| Non
|
389
| LDAP
| TCP
| 7.x
| 128 bits
| Entrées/Sorties
| Authentification de domaine pour la connexion d'IT Assistant
| Non
|
1433
| Propriétaire
| TCP
| 7.x
| Aucune
| Entrées/Sorties
| Accès au serveur SQL distant en option
| Oui
|
2606
| Propriétaire
| TCP
| 6.x, 7.x
| Aucune
| Entrées/Sorties
| Port de communication du service de surveillance réseau
| Oui
|
2607
| HTTPS
| TCP
| 7.x
| SSL 128 bits
| Entrées/Sorties
| GUI Web d'IT Assistant
| Oui
|
3389
| RDP
| TCP
| 7.x
| SSL 128 bits
| Entrées/Sorties
| Lancement contextuel de l'application IT Assistant : bureau distant vers les services Windows Terminal Server
| Oui
|
11487/11489
| Propriétaire
| TCP/UDP
| 6.x
| Aucune
| Sorties
| BIOS flash
| Non
|
443
| Propriétaire
| TCP
| 8.0
| Aucune
| Entrées/Sorties
| Découverte et inventaire de stockage EMC
| Non
|
623
| RMCP
| UDP
| 8.0
| Aucune
| Entrées/Sorties
| Accès IPMI via le réseau local (LAN)
| Non
|
6389
| Propriétaire
| TCP
| 8.0
| Aucune
| Entrées/Sorties
| Active la communication entre un système hôte (par l'agent hôte NaviCLI/NaviSecCLI ou Navisphere ) et un agent de matrice Navisphere sur un système de stockage.
| Non
|
Dell OpenManage Server Administrator
|
22
| SSH
| TCP
| 2.0
| 128 bits
| Entrées/Sorties
| Ligne de commande de Server Administrator à distance (pour IT Assistant). Fonctionnalité de mise à jour de logiciel à distance (pour Linux).
| Oui
|
25
| SMTP
| TCP
| 2.0
| Aucune
| Entrées/Sorties
| Messages d'alerte par e-mail en option depuis Server Administrator
| Non
|
135
| RPC
| TCP/UDP
| 2.0
| Aucune
| Entrées/Sorties
| Requêtes de gestion CIM
| Non
|
135
| RPC
| TCP/UDP
| 2.0
| Aucune
| Entrées/Sorties
| Ligne de commande de Server Administrator à distance (pour IT Assistant). Fonctionnalité de mise à jour de logiciel à distance (pour Windows).
| Non
|
139
| NetBIOS
| TCP
| 2.0
| Aucune
| Entrées/Sorties
| Ligne de commande de Server Administrator à distance (pour IT Assistant). Mise à jour de logiciel à distance (pour Windows).
| Non
|
161
| SNMP
| UDP
| 1.x, 2.0
| Aucune
| Entrées/Sorties
| Gestion des requêtes SNMP
| Non
|
162
| SNMP
| UDP
| 1.x, 2.0
| Aucune
| Sorties
| Événément d'interruption SNMP
| Non
|
445
| NetBIOS
| TCP
| 2.0
| Aucune
| Entrées/Sorties
| Mises à jour de logiciel à distance vers Server Administrator (pour Windows)
| Non
|
1311
| HTTPS
| TCP
| 1.x
| SSL 128 bits
| Entrées/Sorties
| GUI Web
| Oui
|
11487
| Propriétaire
| UDP
| 1.x
| Aucune
| Entrées
| Mise à jour flash du BIOS à distance depuis IT Assistant
| Oui
|
11489
| Propriétaire
| TCP
| 1.x
| Aucune
| Entrées
| Transfert à distance des fichiers de mise à jour flash du BIOS depuis IT Assistant
| Oui
|
1024 -65535
| DCOM
| TCP/UDP
| 2.0
| Aucune
| Entrées/Sorties
| Gestion des requêtes CIM/WMI
| Oui
|
Dell Remote Access Controller (DRAC) : DRAC III, DRAC III/XT, ERA et ERA/O
|
21
| FTP
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| Mise à jour de micrologiciel via FTP et téléchargement d'un certificat
| Non
|
23
| Telnet
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| Gestion en option de la CLI basée Telnet
| Non
|
25
| SMTP
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| Messages d'alerte par e-mail en option
| Non
|
68
| DHCP
| UDP
| 1.2
| Aucune
| Entrées/Sorties
| Adresse IP attribuée via DHCP
| Non
|
69
| TFTP
| UDP
| 1.0
| Aucune
| Entrées/Sorties
| Mise à jour de micrologiciel via Trivial FTP. Amorçage sur disquette distante via TFTP
| Non
|
80
| HTTP
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| GUI Web redirigée vers HTTPS
| Non
|
162
| SNMP
| UDP
| 1.0
| Aucune
| Sorties
| Événément d'interruption SNMP
| Non
|
443
| HTTPS
| TCP
| 1.0
| SSL 128 bits
| Entrées/Sorties
| GUI de gestion Web
| Non
|
443
| HTTPS
| TCP
| 3.2
| SSL 128 bits
| Entrées/Sorties
| Utilitaire CLI racadm distant
| Non
|
5869
| Propriétaire
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| Utilitaire CLI racadm distant
| Non
|
5900
| VNC
| TCP
| 1.0
| DES 56 bits
| Entrées/Sorties
| Redirection vidéo
| Oui
|
5900
| VNC
| TCP
| 3.2
| RC 128 bits
| Entrées/Sorties
| Redirection vidéo
| Oui
|
5981
| VNC
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| Redirection vidéo
| Oui
|
aléatoire et > 32768
| Propriétaire
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| Mise à jour de micrologiciel depuis la GUI Web
| Non
|
DRAC 4
|
22
| SSHv2
| TCP
| 1.30
| 128 bits
| Entrées/Sorties
| Gestion de CLI Secure Shell (SSH) en option
| Oui
|
23
| Telnet
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| Gestion de CLI Telnet en option
| Oui
|
25
| SMTP
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| Messages d'alerte par e-mail en option
| Non
|
53
| DNS
| UDP
| 1.20
| Aucune
| Entrées/Sorties
| Enregistrement du serveur de noms de domaine (DNS) dynamique du nom d'hôte attribué dans DRAC
| Non
|
68
| DHCP
| UDP
| 1.0
| Aucune
| Entrées/Sorties
| Adresse IP attribuée par DHCP
| Non
|
69
| TFTP
| UDP
| 1.0
| Aucune
| Entrées/Sorties
| Mise à jour de micrologiciel via Trivial FTP
| Non
|
80
| HTTP
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| GUI Web redirigée vers HTTPS
| Oui
|
161
| SNMP
| UDP
| 1.0
| Aucune
| Entrées/Sorties
| Gestion des requêtes SNMP
| Non
|
162
| SNMP
| UDP
| 1.0
| Aucune
| Sorties
| Événément d'interruption SNMP
| Non
|
443
| HTTPS
| TCP
| 1.0
| SSL 128 bits
| Entrées/Sorties
| GUI de gestion Web et utilitaire CLI racadm distant
| Oui
|
636
| LDAPS
| TCP
| 1.0
| SSL 128 bits
| Entrées/Sorties
| Authentification Active Directory Services (ADS) en option
| Non
|
3269
| LDAPS
| TCP
| 1.0
| SSL 128 bits
| Entrées/Sorties
| Authentification Active Directory Services (ADS) en option
| Non
|
3668
| Propriétaire
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| Service de média virtuel sur CD/disquette
| Oui
|
5869
| Propriétaire
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| racadm distant
| Non
|
5900
| Propriétaire
| TCP
| 1.0
| RC4 128 bits, trafic de clavier/souris uniquement
| Entrées/Sorties
| Redirection vidéo
| Oui
|
DRAC/MC
|
23
| Telnet
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| Gestion CLI Telnet en option
| Oui
|
25
| SMTP
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| Messages d'alerte par e-mail en option
| Non
|
53
| DNS
| UDP
| 1.0
| Aucune
| Entrées/Sorties
| Enregistrement DNS dynamique du nom d'hôte attribué dans DRAC
| Non
|
68
| DHCP
| UDP
| 1.0
| Aucune
| Entrées/Sorties
| Adresse IP attribuée via DHCP
| Non
|
69
| TFTP
| UDP
| 1.0
| Aucune
| Entrées/Sorties
| Mise à jour de micrologiciel via Trivial FTP
| Non
|
80
| HTTP
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| GUI Web redirigée vers HTTPS
| Oui
|
161
| SNMP
| UDP
| 1.0
| Aucune
| Entrées/Sorties
| Gestion des requêtes SNMP
| Non
|
162
| SNMP
| UDP
| 1.0
| Aucune
| Sorties
| Événément d'interruption SNMP
| Non
|
389
| LDAP
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| Authentification Active Directory Services (ADS) en option
| Non
|
443
| HTTPS
| TCP
| 1.0
| SSL 128 bits
| Entrées/Sorties
| GUI de gestion Web et utilitaire CLI racadm distant
| Non
|
636
| LDAPS
| TCP
| 1.0
| SSL 128 bits
| Entrées/Sorties
| Authentification Active Directory Services (ADS) en option
| Non
|
3269
| LDAPS
| TCP
| 1.0
| SSL 128 bits
| Entrées/Sorties
| Authentification Active Directory Services (ADS) en option
| Non
|
KVM numérique
|
2068
| Propriétaire
| TCP
| 1.0
| SSL 128 bits
| Entrées/Sorties
| Redirection vidéo : clavier/souris
| Non
|
3668
| Propriétaire
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| Média virtuel
| Non
|
8192
| Propriétaire
| TCP
| 1.0
| Aucune
| Entrées/Sorties
| Redirection vidéo vers le visualiseur client
| Non
|
|
REMARQUE : Les ports CIM sont dynamiques. Consultez la base de connaissances de Microsoft à l'adresse support.microsoft.com pour des informations sur l'utilisation du port CIM. |
|
REMARQUE : Si vous utilisez un firewall, vous devez ouvrir tous les ports répertoriés dans le tableau 2-1 précédent pour qu'IT Assistant et les autres applications Dell OpenManage fonctionnent correctement. |
Gestion de la sécurité
Dell fournit l'administration de la sécurité et de l'accès via le contrôle d'accès basé sur le rôle (RBAC), l'authentification et le cryptage, ou via Active Directory, tant pour l'interface Web que l'interface de ligne de commande.
Contrôle d'accès basé sur le rôle (RBAC)
Le RBAC gère la sécurité en déterminant les opérations pouvant être exécutées par les utilisateurs ayant des rôles spécifiques. Chaque utilisateur se voit attribuer un ou plusieurs rôles et chaque rôle est accompagné d'un ou de plusieurs privilèges d'utilisateur qui sont octroyés aux utilisateurs jouant ce rôle spécifique. Avec le RBAC, l'administration de la sécurité peut correspondre étroitement à la structure d'une organisation. Pour des informations sur la configuration d'utilisateurs Dell OpenManage, consultez la section « Attribution des privilèges d'utilisateur ».
Privilèges d'utilisateur
Server Administrator octroie des droits d'accès différents selon les privilèges de groupe attribués à l'utilisateur. Les trois niveaux d'utilisateur sont :Utilisateur, Utilisateur privilégié et Administrateur.
Les utilisateurs peuvent afficher la plupart des informations.
Les utilisateurs privilégiés peuvent définir les valeurs des seuils d'avertissement, exécuter des tests de diagnostic et configurer les mesures d'alerte qui doivent être prises lorsqu'un événement d'avertissement ou de panne se produit.
Les administrateurs peuvent configurer et effectuer des actions d'arrêt, configurer des actions de récupération automatique au cas où un système a un système d'exploitation bloqué et effacer les journaux de matériel, d'événements et de commandes. Les administrateurs peuvent aussi envoyer des e-mails.
Server Administrator accorde l'accès en lecture seule aux utilisateurs connectés avec des droits d'utilisateur ; l'accès en lecture et en écriture aux utilisateurs connectés avec des droits d'utilisateurs privilégiés ; et l'accès en lecture, en écriture et un accès d'administration aux utilisateurs connectés avec des droits d'administrateur. Consultez le tableau 2-2.
Tableau 2-2. Privilèges d'utilisateur
Privilèges d'utilisateur
| Type d'accès
|
|
Administration
|
Écriture
|
Lecture
|
Utilisateur
|
|
| X
|
Utilisateur privilégié
|
| X
| X
|
Administrateur
| X
| X
| X
|
L'accès en administrateur vous permet d'arrêter le système géré.
L'accès en écriture vous permet de modifier ou de définir des valeurs sur le système géré.
L'accès en lecture vous permet d'afficher les données générées par Server Administrator. L'accès en lecture ne vous permet pas de modifier ou de définir des valeurs sur le système géré.
Niveaux de privilèges pour accéder aux services de Server Administrator
Le tableau 2-3 résume quels niveaux d'utilisateurs ont des privilèges d'accès et de gestion pour les services de Server Administrator.
Tableau 2-3. Niveaux de privilèges utilisateurs de Server Administrator
Service
| Niveau de privilège d'utilisateur requis
|
|
Affichage
|
Gestion
|
Instrumentation
| U, P, A
| P, A
|
Accès à distance
| U, P, A
| A
|
Mise à jour
| U, P, A
| A
|
Storage Management
| U, P, A
| A
|
Le tableau 2-4 définit les abréviations des niveaux de privilèges utilisateurs utilisées dans le tableau 2-3.
Tableau 2-4. Légende pour les niveaux de privilège des utilisateurs de Server Administrator
U
| Utilisateur
|
P
| Utilisateur privilégié
|
A
| Administrateur
|
Authentification
Le schéma d'authentification de Server Administrator vérifie que les types d'accès corrects sont attribués aux privilèges d'utilisateur corrects. En outre, lorsque la CLI est invoquée, le schéma d'authentification de Server Administrator valide le contexte à l'intérieur duquel le processus en cours s'exécute. Ce schéma d'authentification permet de s'assurer que toutes les fonctions de Server Administrator, qu'elles soient accessibles via la page d'accueil de Server Administrator ou la CLI, sont correctement authentifiées.
Authentification Microsoft Windows
Pour les systèmes d'exploitation Windows pris en charge, l'authentification Server Administrator utilise l'authentification Windows intégrée (anciennement NTLM). Ce système d'authentification sous-jacent permet à la sécurité de Server Administrator d'être incorporée à un schéma global de sécurité pour votre réseau.
Authentification de Red Hat® Enterprise Linux et SUSE ® Linux Enterprise Server
L'authentification de Server Administrator pour les systèmes d'exploitation Red HatEnterprise Linux et SUSE Linux Enterprise Server pris en charge est basée sur la bibliothèque des modules d'authentification enfichables (PAM). Cette bibliothèque de fonctions documentée permet à un administrateur de déterminer comment chaque application authentifie les utilisateurs.
Cryptage
L'accès à Server Administrator est assuré par une connexion HTTPS sécurisée qui utilise la technologie Secure Socket Layer (SSL) pour sécuriser et protéger l'identité du système géré. L'extension Java Secure Socket Extension (JSSE) est utilisée par les systèmes d'exploitation Windows, Red Hat Enterprise Linux et SUSE Linux Enterprise Server pris en charge pour protéger les références de l'utilisateur et les autres données sensibles transmises via le socket de connexion lorsque l'utilisateur accède à la page d'accueil de Server Administrator.
Microsoft Active Directory
Le logiciel de service Active Directory agit comme l'autorité centrale pour la sécurité du réseau, en laissant le système d'exploitation vérifier l'identité d'un utilisateur et contrôler l'accès de cet utilisateur aux ressources du réseau pour les applications Dell OpenManage fonctionnant sur une plateforme Windows prise en charge. Dell fournit des extensions de schéma à ses clients pour leur permettre de modifier leur base de données Active Directory et prendre en charge l'authentification et l'autorisation des opérations de gestion à distance. Active Directory peut maintenant s'interfacer avec IT Assistant, Server Administrator et les contrôleurs Dell Remote Access Controller pour ajouter et contrôler des utilisateurs et privilèges depuis une base de données centrale unique. Pour des informations sur l'utilisation d'Active Directory, consultez la section « Utilisation de Microsoft® Active Directory® ».
Retour à la page du sommaire