Retour à la page du sommaire
Sécurité de Dell OpenManage™
Guide de sécurité et d'installation de Dell OpenManage™, version 5.0
Fonctionnalités de sécurité
Fonctionnalités de sécurité intégrées
Gestion de la sécurité
Fonctionnalités de sécurité
Les composants logiciels de gestion des systèmes de Dell OpenManage fournissent les fonctionnalités de sécurité suivantes :
- Authentification des utilisateurs par ID d'utilisateurs et mots de passe stockés dans le matériel ou, éventuellement, en utilisant Microsoft® Active Directory®
- Autorisation basée sur les rôles permettant la configuration de privilèges spécifiques pour chaque utilisateur
- Configuration d'ID utilisateur et de mot de passe via l'interface Web ou la CLI (interface de ligne de commande) (dans la plupart des cas)
- Cryptage SSL de 128 et 40 bits (pour les pays où 128 bits n'est pas acceptable)
 |
REMARQUE : Telnet ne prend pas en charge le cryptage SSL.
|
- Configuration du délai d'attente de session (en minutes) via l'interface Web ou la CLI
- Configuration d'un grand nombre des ports courants
Fonctionnalités de sécurité intégrées
Ports
Le tableau 2-1 répertorie les ports utilisés par les logiciels de gestion de systèmes Dell OpenManage, d'autres services de systèmes d'exploitation standard et d'autres applications d'agents. Des ports configurés correctement sont nécessaires pour permettre aux logiciels de gestion de systèmes Dell OpenManage de se connecter à un périphérique distant à travers des firewalls. S'il est impossible de communiquer avec un périphérique distant, il se peut qu'un numéro de port incorrect a été spécifié.
|
REMARQUE : « Version » dans le Tableau 2-1 fait référence à la version de produit minimale qui utilise le port (ou la version explicite
si spécifiée).
|
Tableau 2-1. Emplacements par défaut des ports UDP/TCP de Dell OpenManage
|
No de port
|
|
Type de Port
|
Version
|
Niveau de cryptage max.
|
Direction
|
Utilisation
|
Configurable
|
|---|
Contrôleur de gestion de la carte mère de Dell OpenManage, systèmes PowerEdge™ x8xx |
623 | RMCP | UDP | Systèmes PowerEdge x800 seulement | Aucun | Entrée/Sortie | Accès IPMI via le LAN | Non |
Utilitaire de gestion de carte mère Dell OpenManage |
623 | Telnet | TCP | 1.x | Aucun | Entrées/Sorties | Accepte les connexions Telnet entrantes | Oui |
623 | RMCP | UDP | 1.x | Aucun | Entrées/Sorties | Commandes BMC de base : état du serveur, mise hors/sous tension, etc. | Non |
623 | RMCP | UDP | 1.x | Aucun | Entrées/Sorties | Commandes BMC de base et redirection de console | Non |
Dell OpenManage Client Connector |
135 | RPC | TCP/UDP | 2.0 | Aucun | Entrées/Sorties | Affichage des données de gestion client | Non |
389 | LDAP | TCP | 2.0 | 128 bits | Entrées/Sorties | Authentification de domaine | Non |
4995 | HTTPS | TCP | 2.0 | SSL 128 bits | Entrées/Sorties | Interface utilisateur Web | Oui |
1024 - 65535
(attribution dynamique) | DCOM | TCP/UDP | 2.0 | Aucun | Entrées/Sorties | Affichage des données de gestion client | La plage de port peut être restreinte. |
Dell OpenManage Client Instrumentation |
20 | HTTP et FTP | TCP | 6.x, 7.x | Aucun | Entrées/Sorties | Communication BIOS flash | Non |
21 | HTTP et FTP | TCP | 6.x, 7.x | Aucun | Entrées/Sorties | Communication BIOS flash | Non |
80 | HTTP et FTP | TCP | 6.x, 7.x | Aucun | Entrées/Sorties | Communication BIOS flash | Non |
135 | DCOM | TCP/UDP | 6.x, 7.x | Aucun | Entrées/Sorties | Surveillance et configuration via WMI | Non |
135 | DCOM | TCP | 7.x | Aucun | Sorties | Transmission d'événement via WMI | Non |
162 | SNMP | UDP | 6.x | Aucun | Sorties | Transmission d'événement via SNMP | Non |
1024-65535
(attribution dynamique) | DCOM | TCP/UDP | 6.x, 7.x | Aucun | Entrées/Sorties | Surveillance et configuration via WMI | |
> 32780
(attribution dynamique) | DMI | TCP/UDP | 6.x | Aucun | Entrées/Sorties | Surveillance et configuration via DMI | Varie d'un système à un autre. |
Dell OpenManage IT Assistant |
20 | FTP | TCP | 6.x | Aucun | Entrées/Sorties | BIOS flash | Non |
22 | SSH | TCP | 7.x | 128 bits | Entrées/Sorties | Lancement contextuel de l'application IT Assistant : client SSH Mises à jour à distance de Server Administrator : pour les systèmes prenant Linux en charge | Oui |
23 | Telnet | TCP | 7.x | Aucun | Entrées/Sorties | Lancement contextuel de l'application IT Assistant : Telnet vers périphérique Linux | Non |
25 | SMTP | TCP | 7.x | Aucun | Entrées/Sorties | Action d'alerte par e-mail optionnelle d'IT Assistant | Non |
68 | UDP | UDP | 6.x, 7.x | Aucun | Sorties | Réveil sur LAN | Oui |
80 | HTTP | TCP | 6.x | Aucun | Entrées/Sorties | BIOS flash | Non |
80 | HTTP | TCP | 7.x | Aucun | Entrées/Sorties | Lancement contextuel de l'application IT Assistant : console PowerConnect™ | Non |
135 | RPC | TCP | 6.x, 7.x | Aucun | Entrées/Sorties | Réception d'événement via CIM depuis Server Administrator : pour les systèmes prenant en charge Windows® | Non |
135 | RPC | TCP/UDP | 6.x | Aucun | Entrées/Sorties | Détection DMI de systèmes distants | Non |
135 | RPC | TCP/UDP | 7.x | Aucun | Entrées/Sorties | Transfert de mise à jour distante vers Server Administrator : pour les systèmes prenant en charge Windows Ligne de commande distante : pour les systèmes prenant en charge Windows | Non |
161 | SNMP | UDP | 6.x, 7.x | Aucun | Entrées/Sorties | Gestion des requêtes SNMP | Non |
162 | SNMP | UDP | 6.x, 7.x | Aucun | Entrées | Réception d'événement via SNMP | Non |
162 | SNMP | UDP | 7.x | Aucun | Sorties | Action de transfert d'interruptions SNMP depuis IT Assistant | Non |
389 | LDAP | TCP | 7.x | 128 bits | Entrées/Sorties | Authentification de domaine pour connexion IT Assistant | Non |
1433 | Propriétaire | TCP | 7.x | Aucun | Entrées/Sorties | Accès distant optionnel au serveur SQL | Oui |
2606 | Propriétaire | TCP | 6.x, 7.x | Aucun | Entrées/Sorties | Port de communication du service de surveillance du réseau | Oui |
2607 | HTTPS | TCP | 7.x | SSL 128 bits | Entrées/Sorties | Interface utilisateur Web d'IT Assistant | Oui |
3389 | RDP | TCP | 7.x | SSL 128 bits | Entrées/Sorties | Lancement contextuel de l'application IT Assistant : bureau distant des services Terminal Server de Windows | Oui |
11487/11489 | Propriétaire | TCP/UDP | 6.x | Aucun | Sorties | BIOS flash | Non |
Dell OpenManage Server Administrator |
22 | SSH | TCP | 2.0 | 128 bits | Entrées/Sorties | Ligne de commande distante de Server Administrator (pour IT Assistant). Fonctionnalité de mise à jour de logiciel à distance (pour Linux). | Oui |
25 | SMTP | TCP | 2.0 | Aucun | Entrées/Sorties | Messages d'alerte par e-mail optionnels depuis Server Administrator | Non |
135 | RPC | TCP/UDP | 2.0 | Aucun | Entrées/Sorties | Requêtes de gestion CIM | Non |
135 | RPC | TCP/UDP | 2.0 | Aucun | Entrées/Sorties | Ligne de commande distante de Server Administrator (pour IT Assistant). Fonctionnalité de mise à jour de logiciel à distance (pour Windows). | Non |
139 | NetBIOS | TCP | 2.0 | Aucun | Entrées/Sorties | Ligne de commande distante de Server Administrator (pour IT Assistant). Mise à jour de logiciel à distance (pour Windows). | Non |
161 | SNMP | UDP | 1.x, 2.0 | Aucun | Entrées/Sorties | Gestion des requêtes SNMP | Non |
162 | SNMP | UDP | 1.x, 2.0 | Aucun | Sorties | Événement d'interruption SNMP | Non |
445 | NetBIOS | TCP | 2.0 | Aucun | Entrées/Sorties | Mises à jour de logiciel à distance de Server Administrator (pour Windows) | Non |
1311 | HTTPS | TCP | 1.x | SSL 128 bits | Entrées/Sorties | Interface utilisateur Web | Oui |
11487 | Propriétaire | UDP | 1.x | Aucun | Entrées | Lancement de la mise à jour flash à distance du BIOS depuis IT Assistant | Oui |
11489 | Propriétaire | TCP | 1.x | Aucun | Entrées | Transfert de fichier de mise à jour flash du BIOS depuis IT Assistant | Oui |
1024 -65535 | DCOM | TCP/UDP | 2.0 | Aucun | Entrées/Sorties | Gestion de requête CIM/WMI | Oui |
Dell Remote Access Controller (DRAC) : DRAC III, DRAC III/XT, ERA et ERA/O |
21 | FTP | TCP | 1.0 | Aucun | Entrées/Sorties | Mise à jour de micrologiciel via FTP et téléchargement de certificat | Non |
23 | Telnet | TCP | 1.0 | Aucun | Entrées/Sorties | Gestion CLI Telnet optionnelle | Non |
25 | SMTP | TCP | 1.0 | Aucun | Entrées/Sorties | Messages d'alerte par e-mail optionnels | Non |
68 | DHCP | UDP | 1.2 | Aucun | Entrées/Sorties | Adresse IP DHCP | Non |
69 | TFTP | UDP | 1.0 | Aucun | Entrées/Sorties | Mise à jour de micrologiciel via FTP ordinaire.
Amorçage sur disquette distante via TFTP | Non |
80 | HTTP | TCP | 1.0 | Aucun | Entrées/Sorties | Interface utilisateur Web redirigée sur HTTPS | Non |
162 | SNMP | UDP | 1.0 | Aucun | Sorties | Événement d'interruption SNMP | Non |
443 | HTTPS | TCP | 1.0 | SSL 128 bits | Entrées/Sorties | Interface de gestion Web | Non |
443 | HTTPS | TCP | 3.2 | SSL 128 bits | Entrées/Sorties | Utilitaire distant racadm CLI | Non |
5869 | Propriétaire | TCP | 1.0 | Aucun | Entrées/Sorties | Utilitaire distant racadm CLI | Non |
5900 | VNC | TCP | 1.0 | DES 56 bits | Entrées/Sorties | Redirection vidéo | Oui |
5900 | VNC | TCP | 3.2 | RC 128 bits | Entrées/Sorties | Redirection vidéo | Oui |
5981 | VNC | TCP | 1.0 | Aucun | Entrées/Sorties | Redirection vidéo | Oui |
aléatoire et > 32 768 | Propriétaire | TCP | 1.0 | Aucun | Entrées/Sorties | Mise à jour de micrologiciel depuis l'interface utilisateur Web | Non |
DRAC 4 |
22 | SSHv2 | TCP | 1.30 | 128 bits | Entrées/Sorties | Gestion optionnelle Secure Shell (SSH) CLI | Oui |
23 | Telnet | TCP | 1.0 | Aucun | Entrées/Sorties | Gestion Telnet CLI optionnelle | Oui |
25 | SMTP | TCP | 1.0 | Aucun | Entrées/Sorties | Messages d'alerte par e-mail optionnels | Non |
53 | DNS | UDP | 1.20 | Aucun | Entrées/Sorties | Enregistrement dynamique du Serveur de nom de domaine (DNS) du nom d'hôte attribué dans DRAC | Non |
68 | DHCP | UDP | 1.0 | Aucun | Entrées/Sorties | Adresse IP DHCP | Non |
69 | TFTP | UDP | 1.0 | Aucun | Entrées/Sorties | Mise à jour de micrologiciel via FTP ordinaire. | Non |
80 | HTTP | TCP | 1.0 | Aucun | Entrées/Sorties | Interface utilisateur Web redirigée sur HTTPS | Oui |
161 | SNMP | UDP | 1.0 | Aucun | Entrées/Sorties | Gestion des requêtes SNMP | Non |
162 | SNMP | UDP | 1.0 | Aucun | Sorties | Événement d'interruption SNMP | Non |
443 | HTTPS | TCP | 1.0 | SSL 128 bits | Entrées/Sorties | Interface de gestion Web et utilitaire CLI racadm distant | Oui |
636 | LDAPS | TCP | 1.0 | SSL 128 bits | Entrées/Sorties | Authentification optionnelle des services Active Directory (ADS) | Non |
3269 | LDAPS | TCP | 1.0 | SSL 128 bits | Entrées/Sorties | Authentification optionnelle des services Active Directory (ADS) | Non |
3668 | Propriétaire | TCP | 1.0 | Aucun | Entrées/Sorties | service de média virtuel sur CD/disquette | Oui |
5869 | Propriétaire | TCP | 1.0 | Aucun | Entrées/Sorties | racadm distant | Non |
5900 | Propriétaire | TCP | 1.0 | RC4 128 bits, trafic clavier/souris uniquement | Entrées/Sorties | Redirection vidéo | Oui |
DRAC/MC |
23 | Telnet | TCP | 1.0 | Aucun | Entrées/Sorties | Gestion Telnet CLI optionnelle | Oui |
25 | SMTP | TCP | 1.0 | Aucun | Entrées/Sorties | Messages d'alerte par e-mail optionnels | Non |
53 | DNS | UDP | 1.0 | Aucun | Entrées/Sorties | Enregistrement DNS dynamique de nom d'hôte attribué dans le DRAC | Non |
68 | DHCP | UDP | 1.0 | Aucun | Entrées/Sorties | Adresse IP DHCP | Non |
69 | TFTP | UDP | 1.0 | Aucun | Entrées/Sorties | Mise à jour de micrologiciel via FTP ordinaire. | Non |
80 | HTTP | TCP | 1.0 | Aucun | Entrées/Sorties | Interface utilisateur Web redirigée sur HTTPS | Oui |
161 | SNMP | UDP | 1.0 | Aucun | Entrées/Sorties | Gestion des requêtes SNMP | Non |
162 | SNMP | UDP | 1.0 | Aucun | Sorties | Événement d'interruption SNMP | Non |
389 | LDAP | TCP | 1.0 | Aucun | Entrées/Sorties | Authentification optionnelle des services Active Directory (ADS) | Non |
443 | HTTPS | TCP | 1.0 | SSL 128 bits | Entrées/Sorties | Interface de gestion Web et utilitaire CLI racadm distant | Non |
636 | LDAPS | TCP | 1.0 | SSL 128 bits | Entrées/Sorties | Authentification optionnelle des services Active Directory (ADS) | Non |
3269 | LDAPS | TCP | 1.0 | SSL 128 bits | Entrées/Sorties | Authentification optionnelle des services Active Directory (ADS) | Non |
KVM numérique |
2068 | Propriétaire | TCP | 1.0 | SSL 128 bits | Entrées/Sorties | Redirection Vidéo : clavier/souris | Non |
3668 | Propriétaire | TCP | 1.0 | Aucun | Entrées/Sorties | Média virtuel | Non |
8192 | Propriétaire | TCP | 1.0 | Aucun | Entrées/Sorties | Redirection vidéo vers le visualiseur client | Non |
|
REMARQUE : Les ports CIM sont dynamiques. Consultez la base de connaissances de Microsoft à l'adresse support.microsoft.com pour des informations sur l'utilisation du port CIM.
|
|
REMARQUE : Si vous utilisez un firewall, vous devez ouvrir tous les ports répertoriés dans le tableau 2-1 précédent pour qu'IT Assistant et les autres applications Dell OpenManage fonctionnent correctement.
|
Gestion de la sécurité
Dell fournit l'administration de la sécurité et de l'accès via le contrôle d'accès basé sur le rôle (RBAC), l'authentification et le cryptage, ou via Active Directory, tant pour l'interface Web que l'interface de ligne de commande.
Contrôle d'accès basé sur le rôle (RBAC)
Le RBAC gère la sécurité en déterminant les opérations pouvant être exécutées par les utilisateurs ayant des rôles spécifiques. Chaque utilisateur se voit attribuer un ou plusieurs rôles et chaque rôle est accompagné d'un ou de plusieurs privilèges d'utilisateur qui sont octroyés aux utilisateurs jouant ce rôle spécifique. Avec le RBAC, l'administration de la sécurité peut correspondre étroitement à la structure d'une organisation. Pour des informations sur la configuration d'utilisateurs Dell OpenManage, consultez la section « Attribution des privilèges d'utilisateur ».
Privilèges d'utilisateur
Server Administrator octroie des droits d'accès différents selon les privilèges de groupe attribués à l'utilisateur. Les trois niveaux d'utilisateur sont :Utilisateur, Utilisateur privilégié . et Administrateur.
Les utilisateurs peuvent afficher la plupart des informations.
Les utilisateurs privilégiés peuvent définir les valeurs des seuils d'avertissement, exécuter des tests de diagnostic et configurer les mesures d'alerte qui doivent être prises lorsqu'un événement d'avertissement ou de panne se produit.
Les administrateurs peuvent configurer et effectuer des actions d'arrêt, configurer des actions de récupération automatique au cas où un système a un système d'exploitation bloqué et effacer les journaux de matériel, d'événements et de commandes. Les administrateurs peuvent aussi envoyer des e-mails.
Server Administrator accorde l'accès en lecture seule aux utilisateurs connectés avec des droits d'utilisateur ; l'accès en lecture et en écriture aux utilisateurs connectés avec des droits d'utilisateurs privilégiés ; et l'accès en lecture, en écriture et un accès d'administration aux utilisateurs connectés avec des droits d'administrateur. Consultez le tableau 2-2.
Tableau 2-2. Privilèges d'utilisateur
|
Privilèges d'utilisateur
|
Type d'accès
|
|---|
|
|
Administration
|
Écriture
|
Lecture
|
Utilisateur | | | X |
Utilisateur privilégié | | X | X |
Administrateur | X | X | X |
L'accès en administrateur vous permet d'arrêter le système géré.
L'accès en écriture vous permet de modifier ou de définir des valeurs sur le système géré.
L'accès en lecture vous permet d'afficher les données générées par Server Administrator. L'accès en lecture ne vous permet pas de modifier ou de définir des valeurs sur le système géré.
Niveaux de privilèges pour accéder aux services de Server Administrator
Le tableau 2-3 résume quels niveaux d'utilisateurs ont des privilèges d'accès et de gestion pour les services de Server Administrator.
Tableau 2-3. Niveaux de privilèges utilisateurs de Server Administrator
|
Service
|
Niveau de privilège d'utilisateur requis
|
|---|
|
|
Affichage
|
Gestion
|
Instrumentation | U, P, A | P, A |
Accès à distance | U, P, A | A |
Diagnostics | P, A | P, A |
Mise à jour | U, P, A | A |
Storage Management | U, P, A | A |
Le tableau 2-4 définit les abréviations des niveaux de privilèges utilisateurs utilisées dans le tableau 2-3.
Tableau 2-4. Légende pour les niveaux de privilège des utilisateurs de Server Administrator
U | Utilisateur |
P | Utilisateur privilégié |
A | Administrateur |
Authentification
Le schéma d'authentification de Server Administrator vérifie que les types d'accès corrects sont attribués aux privilèges d'utilisateur corrects. En outre, lorsque la CLI est invoquée, le schéma d'authentification de Server Administrator valide le contexte à l'intérieur duquel le processus en cours s'exécute. Ce schéma d'authentification permet de s'assurer que toutes les fonctions de Server Administrator, qu'elles soient accessibles via la page d'accueil de Server Administrator ou la CLI, sont correctement authentifiées.
Authentification Microsoft Windows
Pour les systèmes d'exploitation Windows pris en charge, l'authentification Server Administrator utilise l'authentification Windows intégrée (anciennement NTLM). Ce système d'authentification sous-jacent permet à la sécurité de Server Administrator d'être incorporée à un schéma global de sécurité pour votre réseau.
Authentification de serveur Red Hat® Enterprise Linux et SUSE® Linux Enterprise
L'authentification de Server Administrator pour les systèmes d'exploitation Red Hat Enterprise Linux et SUSE Linux Enterprise Server pris en charge est basée sur la bibliothèque des modules d'authentification enfichables (PAM). Cette bibliothèque de fonctions documentée permet à un administrateur de déterminer comment chaque application authentifie les utilisateurs.
Cryptage
L'accès à Server Administrator est assuré par une connexion HTTPS sécurisée qui utilise la technologie Secure Socket Layer (SSL) pour sécuriser et protéger l'identité du système géré. L'extension Java Secure Socket Extension (JSSE) est utilisée par les systèmes d'exploitation Windows, Red Hat Enterprise Linux et SUSE Linux Enterprise Server pris en charge pour protéger les références de l'utilisateur et autres données sensibles qui sont transmises par le support de connexion lorsque l'utilisateur accède à la page d'accueil de Server Administrator.
Microsoft Active Directory
Le logiciel de service Active Directory agit comme l'autorité centrale pour la sécurité du réseau, en laissant le système d'exploitation vérifier l'identité d'un utilisateur et contrôler l'accès de cet utilisateur aux ressources du réseau pour les applications Dell OpenManage fonctionnant sur une plate-forme Windows prise en charge. Dell fournit des extensions de schéma à ses clients pour leur permettre de modifier leur base de données Active Directory et prendre en charge l'authentification et l'autorisation des opérations de gestion à distance. Active Directory peut maintenant s'interfacer avec IT Assistant, Server Administrator et les contrôleurs Dell Remote Access Controller pour ajouter et contrôler des utilisateurs et privilèges depuis une base de données centrale unique. Pour des informations sur l'utilisation d'Active Directory, consultez la section « Utilisation de Microsoft® Active Directory® ».
Retour à la page du sommaire