Les composants logiciels de gestion des systèmes de Dell OpenManage fournissent les fonctionnalités de sécurité suivantes :
Authentification des utilisateurs par ID d'utilisateurs et mots de passe stockés dans le matériel ou, éventuellement, en utilisant Microsoft® Active Directory®
Autorisation basée sur les rôles permettant la configuration de privilèges spécifiques pour chaque utilisateur
Configuration d'ID utilisateur et de mot de passe via l'interface Web ou la CLI (interface de ligne de commande) (dans la plupart des cas)
Cryptage SSL de 128 et 40 bits (pour les pays où 128 bits n'est pas acceptable)
REMARQUE : Telnet ne prend pas en charge le cryptage SSL.
Configuration du délai d'attente de session (en minutes) via l'interface Web ou la CLI
Configuration d'un grand nombre des ports courants
Fonctionnalités de sécurité intégrées
Ports
Le tableau 2-1 répertorie les ports utilisés par les logiciels de gestion de systèmes Dell OpenManage, d'autres services de systèmes d'exploitation standard et d'autres applications d'agents. Des ports configurés correctement sont nécessaires pour permettre aux logiciels de gestion de systèmes Dell OpenManage de se connecter à un périphérique distant à travers des firewalls. S'il est impossible de communiquer avec un périphérique distant, il se peut qu'un numéro de port incorrect a été spécifié.
REMARQUE : « Version » dans le Tableau 2-1 fait référence à la version de produit minimale qui utilise le port (ou la version explicite
si spécifiée).
Tableau 2-1. Emplacements par défaut des ports UDP/TCP de Dell OpenManage
No de port
Type de Port
Version
Niveau de cryptage max.
Direction
Utilisation
Configurable
Contrôleur de gestion de la carte mère de Dell OpenManage, systèmes PowerEdge™ x8xx
623
RMCP
UDP
Systèmes PowerEdge x800 seulement
Aucun
Entrée/Sortie
Accès IPMI via le LAN
Non
Utilitaire de gestion de carte mère Dell OpenManage
623
Telnet
TCP
1.x
Aucun
Entrées/Sorties
Accepte les connexions Telnet entrantes
Oui
623
RMCP
UDP
1.x
Aucun
Entrées/Sorties
Commandes BMC de base : état du serveur, mise hors/sous tension, etc.
Non
623
RMCP
UDP
1.x
Aucun
Entrées/Sorties
Commandes BMC de base et redirection de console
Non
Dell OpenManage Client Connector
135
RPC
TCP/UDP
2.0
Aucun
Entrées/Sorties
Affichage des données de gestion client
Non
389
LDAP
TCP
2.0
128 bits
Entrées/Sorties
Authentification de domaine
Non
4995
HTTPS
TCP
2.0
SSL 128 bits
Entrées/Sorties
Interface utilisateur Web
Oui
1024 - 65535 (attribution dynamique)
DCOM
TCP/UDP
2.0
Aucun
Entrées/Sorties
Affichage des données de gestion client
La plage de port peut être restreinte.
Dell OpenManage Client Instrumentation
20
HTTP et FTP
TCP
6.x, 7.x
Aucun
Entrées/Sorties
Communication BIOS flash
Non
21
HTTP et FTP
TCP
6.x, 7.x
Aucun
Entrées/Sorties
Communication BIOS flash
Non
80
HTTP et FTP
TCP
6.x, 7.x
Aucun
Entrées/Sorties
Communication BIOS flash
Non
135
DCOM
TCP/UDP
6.x, 7.x
Aucun
Entrées/Sorties
Surveillance et configuration via WMI
Non
135
DCOM
TCP
7.x
Aucun
Sorties
Transmission d'événement via WMI
Non
162
SNMP
UDP
6.x
Aucun
Sorties
Transmission d'événement via SNMP
Non
1024-65535 (attribution dynamique)
DCOM
TCP/UDP
6.x, 7.x
Aucun
Entrées/Sorties
Surveillance et configuration via WMI
> 32780 (attribution dynamique)
DMI
TCP/UDP
6.x
Aucun
Entrées/Sorties
Surveillance et configuration via DMI
Varie d'un système à un autre.
Dell OpenManage IT Assistant
20
FTP
TCP
6.x
Aucun
Entrées/Sorties
BIOS flash
Non
22
SSH
TCP
7.x
128 bits
Entrées/Sorties
Lancement contextuel de l'application IT Assistant : client SSH
Mises à jour à distance de Server Administrator : pour les systèmes prenant Linux en charge
Oui
23
Telnet
TCP
7.x
Aucun
Entrées/Sorties
Lancement contextuel de l'application IT Assistant : Telnet vers périphérique Linux
Non
25
SMTP
TCP
7.x
Aucun
Entrées/Sorties
Action d'alerte par e-mail optionnelle d'IT Assistant
Non
68
UDP
UDP
6.x, 7.x
Aucun
Sorties
Réveil sur LAN
Oui
80
HTTP
TCP
6.x
Aucun
Entrées/Sorties
BIOS flash
Non
80
HTTP
TCP
7.x
Aucun
Entrées/Sorties
Lancement contextuel de l'application IT Assistant : console PowerConnect™
Non
135
RPC
TCP
6.x, 7.x
Aucun
Entrées/Sorties
Réception d'événement via CIM depuis Server Administrator : pour les systèmes prenant en charge Windows®
Non
135
RPC
TCP/UDP
6.x
Aucun
Entrées/Sorties
Détection DMI de systèmes distants
Non
135
RPC
TCP/UDP
7.x
Aucun
Entrées/Sorties
Transfert de mise à jour distante vers Server Administrator : pour les systèmes prenant en charge Windows
Ligne de commande distante : pour les systèmes prenant en charge Windows
Non
161
SNMP
UDP
6.x, 7.x
Aucun
Entrées/Sorties
Gestion des requêtes SNMP
Non
162
SNMP
UDP
6.x, 7.x
Aucun
Entrées
Réception d'événement via SNMP
Non
162
SNMP
UDP
7.x
Aucun
Sorties
Action de transfert d'interruptions SNMP depuis IT Assistant
Non
389
LDAP
TCP
7.x
128 bits
Entrées/Sorties
Authentification de domaine pour connexion IT Assistant
Non
1433
Propriétaire
TCP
7.x
Aucun
Entrées/Sorties
Accès distant optionnel au serveur SQL
Oui
2606
Propriétaire
TCP
6.x, 7.x
Aucun
Entrées/Sorties
Port de communication du service de surveillance du réseau
Oui
2607
HTTPS
TCP
7.x
SSL 128 bits
Entrées/Sorties
Interface utilisateur Web d'IT Assistant
Oui
3389
RDP
TCP
7.x
SSL 128 bits
Entrées/Sorties
Lancement contextuel de l'application IT Assistant : bureau distant des services Terminal Server de Windows
Oui
11487/11489
Propriétaire
TCP/UDP
6.x
Aucun
Sorties
BIOS flash
Non
Dell OpenManage Server Administrator
22
SSH
TCP
2.0
128 bits
Entrées/Sorties
Ligne de commande distante de Server Administrator (pour IT Assistant). Fonctionnalité de mise à jour de logiciel à distance (pour Linux).
Oui
25
SMTP
TCP
2.0
Aucun
Entrées/Sorties
Messages d'alerte par e-mail optionnels depuis Server Administrator
Non
135
RPC
TCP/UDP
2.0
Aucun
Entrées/Sorties
Requêtes de gestion CIM
Non
135
RPC
TCP/UDP
2.0
Aucun
Entrées/Sorties
Ligne de commande distante de Server Administrator (pour IT Assistant). Fonctionnalité de mise à jour de logiciel à distance (pour Windows).
Non
139
NetBIOS
TCP
2.0
Aucun
Entrées/Sorties
Ligne de commande distante de Server Administrator (pour IT Assistant). Mise à jour de logiciel à distance (pour Windows).
Non
161
SNMP
UDP
1.x, 2.0
Aucun
Entrées/Sorties
Gestion des requêtes SNMP
Non
162
SNMP
UDP
1.x, 2.0
Aucun
Sorties
Événement d'interruption SNMP
Non
445
NetBIOS
TCP
2.0
Aucun
Entrées/Sorties
Mises à jour de logiciel à distance de Server Administrator (pour Windows)
Non
1311
HTTPS
TCP
1.x
SSL 128 bits
Entrées/Sorties
Interface utilisateur Web
Oui
11487
Propriétaire
UDP
1.x
Aucun
Entrées
Lancement de la mise à jour flash à distance du BIOS depuis IT Assistant
Oui
11489
Propriétaire
TCP
1.x
Aucun
Entrées
Transfert de fichier de mise à jour flash du BIOS depuis IT Assistant
Oui
1024 -65535
DCOM
TCP/UDP
2.0
Aucun
Entrées/Sorties
Gestion de requête CIM/WMI
Oui
Dell Remote Access Controller (DRAC) : DRAC III, DRAC III/XT, ERA et ERA/O
21
FTP
TCP
1.0
Aucun
Entrées/Sorties
Mise à jour de micrologiciel via FTP et téléchargement de certificat
Non
23
Telnet
TCP
1.0
Aucun
Entrées/Sorties
Gestion CLI Telnet optionnelle
Non
25
SMTP
TCP
1.0
Aucun
Entrées/Sorties
Messages d'alerte par e-mail optionnels
Non
68
DHCP
UDP
1.2
Aucun
Entrées/Sorties
Adresse IP DHCP
Non
69
TFTP
UDP
1.0
Aucun
Entrées/Sorties
Mise à jour de micrologiciel via FTP ordinaire. Amorçage sur disquette distante via TFTP
Non
80
HTTP
TCP
1.0
Aucun
Entrées/Sorties
Interface utilisateur Web redirigée sur HTTPS
Non
162
SNMP
UDP
1.0
Aucun
Sorties
Événement d'interruption SNMP
Non
443
HTTPS
TCP
1.0
SSL 128 bits
Entrées/Sorties
Interface de gestion Web
Non
443
HTTPS
TCP
3.2
SSL 128 bits
Entrées/Sorties
Utilitaire distant racadm CLI
Non
5869
Propriétaire
TCP
1.0
Aucun
Entrées/Sorties
Utilitaire distant racadm CLI
Non
5900
VNC
TCP
1.0
DES 56 bits
Entrées/Sorties
Redirection vidéo
Oui
5900
VNC
TCP
3.2
RC 128 bits
Entrées/Sorties
Redirection vidéo
Oui
5981
VNC
TCP
1.0
Aucun
Entrées/Sorties
Redirection vidéo
Oui
aléatoire et > 32 768
Propriétaire
TCP
1.0
Aucun
Entrées/Sorties
Mise à jour de micrologiciel depuis l'interface utilisateur Web
Non
DRAC 4
22
SSHv2
TCP
1.30
128 bits
Entrées/Sorties
Gestion optionnelle Secure Shell (SSH) CLI
Oui
23
Telnet
TCP
1.0
Aucun
Entrées/Sorties
Gestion Telnet CLI optionnelle
Oui
25
SMTP
TCP
1.0
Aucun
Entrées/Sorties
Messages d'alerte par e-mail optionnels
Non
53
DNS
UDP
1.20
Aucun
Entrées/Sorties
Enregistrement dynamique du Serveur de nom de domaine (DNS) du nom d'hôte attribué dans DRAC
Non
68
DHCP
UDP
1.0
Aucun
Entrées/Sorties
Adresse IP DHCP
Non
69
TFTP
UDP
1.0
Aucun
Entrées/Sorties
Mise à jour de micrologiciel via FTP ordinaire.
Non
80
HTTP
TCP
1.0
Aucun
Entrées/Sorties
Interface utilisateur Web redirigée sur HTTPS
Oui
161
SNMP
UDP
1.0
Aucun
Entrées/Sorties
Gestion des requêtes SNMP
Non
162
SNMP
UDP
1.0
Aucun
Sorties
Événement d'interruption SNMP
Non
443
HTTPS
TCP
1.0
SSL 128 bits
Entrées/Sorties
Interface de gestion Web et utilitaire CLI racadm distant
Oui
636
LDAPS
TCP
1.0
SSL 128 bits
Entrées/Sorties
Authentification optionnelle des services Active Directory (ADS)
Non
3269
LDAPS
TCP
1.0
SSL 128 bits
Entrées/Sorties
Authentification optionnelle des services Active Directory (ADS)
Non
3668
Propriétaire
TCP
1.0
Aucun
Entrées/Sorties
service de média virtuel sur CD/disquette
Oui
5869
Propriétaire
TCP
1.0
Aucun
Entrées/Sorties
racadm distant
Non
5900
Propriétaire
TCP
1.0
RC4 128 bits, trafic clavier/souris uniquement
Entrées/Sorties
Redirection vidéo
Oui
DRAC/MC
23
Telnet
TCP
1.0
Aucun
Entrées/Sorties
Gestion Telnet CLI optionnelle
Oui
25
SMTP
TCP
1.0
Aucun
Entrées/Sorties
Messages d'alerte par e-mail optionnels
Non
53
DNS
UDP
1.0
Aucun
Entrées/Sorties
Enregistrement DNS dynamique de nom d'hôte attribué dans le DRAC
Non
68
DHCP
UDP
1.0
Aucun
Entrées/Sorties
Adresse IP DHCP
Non
69
TFTP
UDP
1.0
Aucun
Entrées/Sorties
Mise à jour de micrologiciel via FTP ordinaire.
Non
80
HTTP
TCP
1.0
Aucun
Entrées/Sorties
Interface utilisateur Web redirigée sur HTTPS
Oui
161
SNMP
UDP
1.0
Aucun
Entrées/Sorties
Gestion des requêtes SNMP
Non
162
SNMP
UDP
1.0
Aucun
Sorties
Événement d'interruption SNMP
Non
389
LDAP
TCP
1.0
Aucun
Entrées/Sorties
Authentification optionnelle des services Active Directory (ADS)
Non
443
HTTPS
TCP
1.0
SSL 128 bits
Entrées/Sorties
Interface de gestion Web et utilitaire CLI racadm distant
Non
636
LDAPS
TCP
1.0
SSL 128 bits
Entrées/Sorties
Authentification optionnelle des services Active Directory (ADS)
Non
3269
LDAPS
TCP
1.0
SSL 128 bits
Entrées/Sorties
Authentification optionnelle des services Active Directory (ADS)
Non
KVM numérique
2068
Propriétaire
TCP
1.0
SSL 128 bits
Entrées/Sorties
Redirection Vidéo : clavier/souris
Non
3668
Propriétaire
TCP
1.0
Aucun
Entrées/Sorties
Média virtuel
Non
8192
Propriétaire
TCP
1.0
Aucun
Entrées/Sorties
Redirection vidéo vers le visualiseur client
Non
REMARQUE : Les ports CIM sont dynamiques. Consultez la base de connaissances de Microsoft à l'adresse support.microsoft.com pour des informations sur l'utilisation du port CIM.
REMARQUE : Si vous utilisez un firewall, vous devez ouvrir tous les ports répertoriés dans le tableau 2-1 précédent pour qu'IT Assistant et les autres applications Dell OpenManage fonctionnent correctement.
Gestion de la sécurité
Dell fournit l'administration de la sécurité et de l'accès via le contrôle d'accès basé sur le rôle (RBAC), l'authentification et le cryptage, ou via Active Directory, tant pour l'interface Web que l'interface de ligne de commande.
Contrôle d'accès basé sur le rôle (RBAC)
Le RBAC gère la sécurité en déterminant les opérations pouvant être exécutées par les utilisateurs ayant des rôles spécifiques. Chaque utilisateur se voit attribuer un ou plusieurs rôles et chaque rôle est accompagné d'un ou de plusieurs privilèges d'utilisateur qui sont octroyés aux utilisateurs jouant ce rôle spécifique. Avec le RBAC, l'administration de la sécurité peut correspondre étroitement à la structure d'une organisation. Pour des informations sur la configuration d'utilisateurs Dell OpenManage, consultez la section « Attribution des privilèges d'utilisateur ».
Privilèges d'utilisateur
Server Administrator octroie des droits d'accès différents selon les privilèges de groupe attribués à l'utilisateur. Les trois niveaux d'utilisateur sont :Utilisateur, Utilisateur privilégié . et Administrateur.
Les utilisateurs peuvent afficher la plupart des informations.
Les utilisateurs privilégiés peuvent définir les valeurs des seuils d'avertissement, exécuter des tests de diagnostic et configurer les mesures d'alerte qui doivent être prises lorsqu'un événement d'avertissement ou de panne se produit.
Les administrateurs peuvent configurer et effectuer des actions d'arrêt, configurer des actions de récupération automatique au cas où un système a un système d'exploitation bloqué et effacer les journaux de matériel, d'événements et de commandes. Les administrateurs peuvent aussi envoyer des e-mails.
Server Administrator accorde l'accès en lecture seule aux utilisateurs connectés avec des droits d'utilisateur ; l'accès en lecture et en écriture aux utilisateurs connectés avec des droits d'utilisateurs privilégiés ; et l'accès en lecture, en écriture et un accès d'administration aux utilisateurs connectés avec des droits d'administrateur. Consultez le tableau 2-2.
Tableau 2-2. Privilèges d'utilisateur
Privilèges d'utilisateur
Type d'accès
Administration
Écriture
Lecture
Utilisateur
X
Utilisateur privilégié
X
X
Administrateur
X
X
X
L'accès en administrateur vous permet d'arrêter le système géré.
L'accès en écriture vous permet de modifier ou de définir des valeurs sur le système géré.
L'accès en lecture vous permet d'afficher les données générées par Server Administrator. L'accès en lecture ne vous permet pas de modifier ou de définir des valeurs sur le système géré.
Niveaux de privilèges pour accéder aux services de Server Administrator
Le tableau 2-3 résume quels niveaux d'utilisateurs ont des privilèges d'accès et de gestion pour les services de Server Administrator.
Tableau 2-3. Niveaux de privilèges utilisateurs de Server Administrator
Service
Niveau de privilège d'utilisateur requis
Affichage
Gestion
Instrumentation
U, P, A
P, A
Accès à distance
U, P, A
A
Diagnostics
P, A
P, A
Mise à jour
U, P, A
A
Storage Management
U, P, A
A
Le tableau 2-4 définit les abréviations des niveaux de privilèges utilisateurs utilisées dans le tableau 2-3.
Tableau 2-4. Légende pour les niveaux de privilège des utilisateurs de Server Administrator
U
Utilisateur
P
Utilisateur privilégié
A
Administrateur
Authentification
Le schéma d'authentification de Server Administrator vérifie que les types d'accès corrects sont attribués aux privilèges d'utilisateur corrects. En outre, lorsque la CLI est invoquée, le schéma d'authentification de Server Administrator valide le contexte à l'intérieur duquel le processus en cours s'exécute. Ce schéma d'authentification permet de s'assurer que toutes les fonctions de Server Administrator, qu'elles soient accessibles via la page d'accueil de Server Administrator ou la CLI, sont correctement authentifiées.
Authentification Microsoft Windows
Pour les systèmes d'exploitation Windows pris en charge, l'authentification Server Administrator utilise l'authentification Windows intégrée (anciennement NTLM). Ce système d'authentification sous-jacent permet à la sécurité de Server Administrator d'être incorporée à un schéma global de sécurité pour votre réseau.
Authentification de serveur Red Hat® Enterprise Linux et SUSE® Linux Enterprise
L'authentification de Server Administrator pour les systèmes d'exploitation Red Hat Enterprise Linux et SUSE Linux Enterprise Server pris en charge est basée sur la bibliothèque des modules d'authentification enfichables (PAM). Cette bibliothèque de fonctions documentée permet à un administrateur de déterminer comment chaque application authentifie les utilisateurs.
Cryptage
L'accès à Server Administrator est assuré par une connexion HTTPS sécurisée qui utilise la technologie Secure Socket Layer (SSL) pour sécuriser et protéger l'identité du système géré. L'extension Java Secure Socket Extension (JSSE) est utilisée par les systèmes d'exploitation Windows, Red Hat Enterprise Linux et SUSE Linux Enterprise Server pris en charge pour protéger les références de l'utilisateur et autres données sensibles qui sont transmises par le support de connexion lorsque l'utilisateur accède à la page d'accueil de Server Administrator.
Microsoft Active Directory
Le logiciel de service Active Directory agit comme l'autorité centrale pour la sécurité du réseau, en laissant le système d'exploitation vérifier l'identité d'un utilisateur et contrôler l'accès de cet utilisateur aux ressources du réseau pour les applications Dell OpenManage fonctionnant sur une plate-forme Windows prise en charge. Dell fournit des extensions de schéma à ses clients pour leur permettre de modifier leur base de données Active Directory et prendre en charge l'authentification et l'autorisation des opérations de gestion à distance. Active Directory peut maintenant s'interfacer avec IT Assistant, Server Administrator et les contrôleurs Dell Remote Access Controller pour ajouter et contrôler des utilisateurs et privilèges depuis une base de données centrale unique. Pour des informations sur l'utilisation d'Active Directory, consultez la section « Utilisation de Microsoft® Active Directory® ».
