Konfigurace zabezpečení DELL 3.10 OpenManage Enterprise

Informace o produktu OpenManage Enterprise 3.10

OpenManage Enterprise 3.10 je software určený pro správu a monitorování systémů. Zahrnuje různé funkce, jako jsou konfigurace zabezpečení, uživatelské příručky a příručky RESTful API. Software je pravidelně aktualizován za účelem zlepšení produktových řad a poznámky k vydání poskytují nejaktuálnější informace o funkcích produktu. Tento software je určen pro použití administrátory, správci zařízení a viewuživatelé, kteří používají OpenManage Enterprise pro správu a monitorování systémů. Dokumentaci, poznámky k verzi, aktualizace softwaru nebo informace o produktech naleznete na adrese Online Support na adrese https://www.dell.com/support

Poznámky, upozornění a varování

Uživatelská příručka obsahuje poznámky, upozornění a varování upozorňující uživatele na důležité informace, potenciální poškození hardwaru nebo ztrátu dat a potenciální poškození majetku, zranění nebo smrt.

• POZNÁMKA: POZNÁMKA označuje důležité informace, které vám pomohou lépe využívat váš produkt.
• POZOR: UPOZORNĚNÍ označuje potenciální poškození hardwaru nebo ztrátu dat a říká, jak se problému vyhnout.
• VAROVÁNÍ: VAROVÁNÍ označuje potenciální poškození majetku, zranění osob nebo smrt.

Historie revizí
Tabulka historie revizí v uživatelské příručce zobrazuje nejnovější revizi dokumentu spolu s datem vydání a popisem obsahu aktualizovaného pro vydání OpenManage Enterprise. Následující tabulka ukazuje historii revizí tohoto dokumentu:

Revize	Datum	Popis
A01	ledna 2023	Obsah byl aktualizován pro tuto verzi OpenManage Enterprise.

Související dokumentace
Uživatelská příručka uvádí několik publikací, které poskytují další informace o OpenManage Enterprise, včetně matice podpory, poznámek k verzi, průvodce konfigurací zabezpečení, uživatelské příručky, průvodce RESTful API, poznámek k vydání modulární edice a průvodce modulárním vydáním RESTful API. Kromě těchto základních dokumentů jsou na YouTube k dispozici také bílé knihy, dokumentace pluginů a ukázky.

Další informace poskytují následující publikace:

• OpenManage Enterprise Support Matrix
• OpenManage Enterprise Release Notes
• Průvodce konfigurací zabezpečení OpenManage Enterprise
• OpenManage Enterprise User's Guide
• Průvodce OpenManage Enterprise RESTful API
• OpenManage Enterprise RESTful API na https://developer.dell.com/apis.
• Poznámky k verzi OpenManage Enterprise Modular Edition
• Průvodce rozhraním RESTful API OpenManage Enterprise Modular Edition

POZNÁMKA: Ukázky videí a výukové programy najdete v seznamu stop Dell OpenManage Enterprise na YouTube nebo se podívejte na následující videa s ukázkami OpenManage Enterprise Graphical User Interface (GUI) v akci:

• OpenManage Enterprise přesview (01:44 m)
• Vytvoření základní linie firmwaru v OpenManage Enterprise (01:22 m)
• Konzola pro správu systémů OpenManage Enterprise (02:02 m)
• Pro OpenManage Enterprise přejděte na https://www.dell.com/openmanagemanuals.
  Chcete-li zobrazit dokumentaci:
  • OpenManage Enterprise, klikněte
    Dell OpenManage Enterprise > Dell OpenManage Enterprise > Dokumentace.
  • OpenManage Mobile, klikněte
    OpenManage Mobile > Vyberte požadovanou verzi > Dokumentace.
• Pro OpenManage Enterprise plugins, přejděte na https://www.dell.com/openmanagemanuals.
  Chcete-li zobrazit dokumentaci:
  • Plugin OpenManage Enterprise Services, klikněte
    OpenManage Enterprise Connected Services > OpenManage Enterprise Services > Dokumentace.
  • Plugin OpenManage Enterprise Power Manager, klikněte
    OpenManage Enterprise Power Manager > OpenManage Enterprise Power Manager > Dokumentace.
  • Plugin OpenManage Enterprise Update Manager, klikněte
    OpenManage Enterprise Update Manager > OpenManage Enterprise Update Manager > Dokumentace.
  • Plugin OpenManage Enterprise CloudIQ, klikněte
    OpenManage Enterprise Connected Services > OpenManage Enterprise CloudIQ > Dokumentace.
• Pro OpenManage Enterprise API přejděte na https://developer.dell.com/products,
  Chcete-li zobrazit dokumentaci API:
  • OpenManage Enterprise, klikněte na Servery > OpenManage Enterprise API
  • OpenManage Enterprise Modular Edition, klikněte na Servery > OpenManage Enterprise Modular API
  • Plugin OpenManage Enterprise Services, klikněte na Servery > OpenManage Enterprise Services API.
  • Plugin OpenManage Enterprise Update Manager, klikněte na Servery > OpenManage Enterprise Update Manager API
  • Plugin OpenManage Enterprise Power Manager, klikněte na Servery > OpenManage Enterprise Power Manager API
  • Plugin OpenManage Enterprise CloudIQ, klikněte na CloudIQ Public API

Návod k použití produktu

1. Ujistěte se, že používáte nejnovější verzi uživatelské příručky, navštivte Online podporu na adrese https://www.dell.com/support.
2. Koncepční informace o správě OpenManage Enterprise naleznete v uživatelské příručce.
3. Při konfiguraci nastavení zabezpečení pro OpenManage Enterprise postupujte podle průvodce konfigurací zabezpečení.
4. Informace o integraci OpenManage Enterprise s jinými systémy naleznete v příručce RESTful API.
5. Pro OpenManage Enterprise plugins, návštěva https://www.dell.com/openmanagemanuals a vyberte požadovaný plugin pro dokumentaci.
6. Pokud produkt nefunguje správně nebo jak je popsáno v uživatelské příručce, kontaktujte technickou podporu.

2023 Dell Inc. nebo její dceřiné společnosti. Všechna práva vyhrazena. Dell Technologies, Dell a další ochranné známky jsou ochranné známky společnosti Dell Inc. nebo jejích dceřiných společností. Ostatní ochranné známky mohou být ochrannými známkami příslušných vlastníků.

Předmluva

V rámci snahy o zlepšení produktových řad pravidelně vydáváme revize softwaru. Proto některé funkce popsané v tomto dokumentu nemusí být podporovány všemi verzemi aktuálně používaného softwaru. Poznámky k vydání produktu poskytují nejaktuálnější informace o funkcích produktu. Pokud produkt nefunguje správně nebo nefunguje tak, jak je popsáno v tomto dokumentu, obraťte se na odborníka technické podpory.

POZNÁMKA: Tento dokument byl v době zveřejnění přesný. Přejděte na Online podporu (https://www.dell.com/support), abyste se ujistili, že používáte nejnovější verzi tohoto dokumentu.

Účel
Tento dokument obsahuje koncepční informace o správě OpenManage Enterprise.

Publikum
Tento dokument je určen pro použití správci, správci zařízení a viewuživatelé, kteří používají OpenManage Enterprise pro správu a monitorování systémů.

Kromě základních dokumentů poskytujeme také bílé knihy, dokumentaci pluginů a ukázky na YouTube.

Typografické konvence
Tento dokument používá následující konvence stylu:

• Tučné Používá se pro názvy prvků rozhraní, jako jsou názvy oken, dialogových oken, tlačítek, polí, názvů karet, názvů klíčů a cest nabídek (to, co uživatel konkrétně vybere nebo klikne)
• Kurzíva Používá se pro úplné názvy publikací, na které se v textu odkazuje
• Monospace Používá se pro:
  • Systémový kód
  • Systémový výstup, jako je chybová zpráva nebo skript
  • názvy cest, filenázvy, výzvy a syntaxe
  • Příkazy a možnosti
• Jednoprostorová kurzíva Používá se pro proměnné
• Jednoprostorové tučné Používá se pro zadání uživatele
• [ ] Hranaté závorky uzavírají volitelné hodnoty
• | Svislý pruh označuje alternativní výběr – pruh znamená „nebo“
• { } Složené závorky uzavírají obsah, který musí uživatel zadat, například x nebo y nebo z
• … Elipsy označují nepodstatné informace vynechané z example

Kde získat pomoc
Přejděte na Online podporu na https://www.dell.com/support a klikněte na Kontaktovat podporu. Chcete-li otevřít požadavek na službu, musíte mít platnou smlouvu o podpoře. Podrobnosti o získání platné smlouvy o podpoře nebo s dotazy týkajícími se vašeho účtu vám poskytne obchodní zástupce.

POZNÁMKA:
Pro rychlý přístup k obsahu OpenManage Enterprise User's Guide otevřete online nápovědu OpenManage Enterprise kliknutím na ? ikonu v pravém horním rohu obrazovky v grafickém uživatelském rozhraní produktu.

Kde najít podpůrnou matici
Nahlédněte do matice podpory pro Dell OpenManage Enterprise na adrese https://www.dell.com/openmanagemanuals a klepněte na položku Dokumentace.

Vaše komentáře
Vaše návrhy nám pomohou nadále zlepšovat přesnost, organizaci a celkovou kvalitu uživatelských publikací. Své názory na tento dokument zasílejte na https://contentfeedback.dell.com/s.

Rychlá reference zabezpečení

témata:
• Modely nasazení
• Bezpečnostní profesionálfiles

Modely nasazení
OpenManage Enterprise je navržen pro nasazení jako virtuální zařízení pro různé podporované hypervizory (VMware, Hyper-V a KVM). Obecně jej lze použít v prostředích, která podporují načítání formátů VMDK nebo VHD. Další informace o nasazení OME najdete v dokumentu o nasazení na OpenManage Enterprise Deployment.

Bezpečnostní profesionálfiles
OpenManage Enterprise je ve výchozím nastavení nakonfigurován tak, aby zajistil bezpečné interakce uživatelů se zařízením. Zákazníci potřebují nakonfigurovat heslo uživatele „admin“ prostřednictvím TUI (Text User Interface), aby získali přístup k uživatelskému rozhraní OME (GUI) nebo zbývajícím API. Ve výchozím nastavení je služba SSH zakázána (nelze konfigurovat uživatelem) a interakce se zařízením je omezena na použití web UI nebo REST API. OME také přesměrovává všechny požadavky HTTP na HTTPS a zajišťuje, že se zařízením OME budou navázána pouze zabezpečená šifrovaná připojení.

Povolení přesměrování HTTPS
Přesměrování HTTP na HTTPS přesměrování web komunikace serveru z portu HTTP (výchozí je 80) na port HTTPS (výchozí je 443). Tím je zajištěno, že když se klienti připojí k OME, vytvoří se pouze zabezpečené šifrované připojení. Přesměrování HTTPS je ve výchozím nastavení povoleno a uživatel jej nemůže konfigurovat.

Zabezpečení produktu a subsystému

témata:
• Mapa bezpečnostních kontrol
• Autentizace
• Nastavení zabezpečení přihlášení
• Typy autentizace a aspekty nastavení
• Oprávnění
• Bezpečnost dat
• Kryptografie

Mapa bezpečnostních kontrol
OpenManage Enterprise je aplikace pro správu a monitorování systémů, která poskytuje komplexní view serverů, šasi, úložiště a síťových přepínačů Dell v podnikové síti.

POZNÁMKA: OME nyní umožňuje uživatelům zakázat všechny verze CIFS.

Autentizace
OpenManage Enterprise podporuje relaci a základní ověřování, které umožňuje místním uživatelům přístup k aplikaci. Ve výchozím nastavení je na nově nainstalovaných zařízeních konfigurován pouze uživatel admin. Heslo pro vestavěného administrátora je třeba změnit pomocí textového uživatelského rozhraní při prvním přihlášení. Vestavěný správce může vytvářet další uživatele s různými rolemi (správci, správci zařízení a Viewers). Správci mohou nakonfigurovat podporu ověřování uživatelů AD/LDAP a/nebo OpenID Connect. OpenManage Enterprise podporuje role a oprávnění pro omezení přístupu uživatelů k určitým funkcím – úplné mapování podrobností o přístupu založeném na funkcích naleznete v uživatelské příručce OpenManage Enterprise.

Nastavení zabezpečení přihlášení
OpenManage Enterprise podporuje pouze zabezpečená připojení k zařízení přes kanál TLS v1.2. OME přesměrovává všechny požadavky HTTP na HTTPS a zajišťuje, že přihlašovací údaje jsou sdělovány prostřednictvím zabezpečeného kanálu. Nastavení konfigurace zabezpečení OME jsou přístupná v Web Uživatelské rozhraní pomocí stránky OpenManage Enterprise > Nastavení aplikace > Zabezpečení. Příchozí připojení k zařízení lze omezit poskytnutím podrobností IP sítě v možnosti Omezit povolený rozsah IP (Uživatelé mohou do tohoto pole zadat více rozsahů IP) nebo výběrem Zásady uzamčení přihlášení a poskytnutím podrobností, jako jsou:

• Chcete-li zabránit konkrétnímu uživatelskému jménu v přihlášení do OpenManage Enterprise, zaškrtněte políčko Podle uživatelského jména.
• Zaškrtnutím políčka Podle IP adresy zabráníte konkrétní IP adrese v přihlášení do OpenManage Enterprise.
• Do pole Lockout Fail Count zadejte počet neúspěšných pokusů, po kterých musí OpenManage Enterprise zabránit uživateli v dalším přihlášení. Výchozí hodnota jsou tři pokusy.
• Do pole Lockout Fail Window zadejte dobu, po kterou musí OpenManage Enterprise zobrazovat informace o neúspěšném pokusu.
• Do pole Lockout Penalty Time zadejte dobu, po kterou je uživateli zabráněno v provedení jakéhokoli pokusu o přihlášení po více neúspěšných pokusech.

Přihlašovací chování se nezdařilo
V případě selhání ověření se uživateli zobrazí zpráva Zadané uživatelské jméno nebo heslo je nesprávné. Pokud se uživateli nepodaří úspěšně přihlásit (a překročí počet blokování při opakovaných pokusech o přihlášení), OME zamkne příslušný účet pro období indikované časem trestu za blokování.

Konfigurace relace
Administrátoři mohou ukončit libovolné uživatelské relace, aby omezili počet souběžných relací. Ve výchozím nastavení je povoleno šest souběžných relací GUI a 100 relací API, ale administrátor může změnit počet, aby omezil souběžné relace, a může nakonfigurovat až 100 souběžných relací. Správci mohou ukončit uživatelské relace tak, že přejdou do Nastavení aplikace > Uživatelská relace a vyberou jednoho nebo více uživatelů. Správci mohou také vidět, kolik uživatelů je přihlášeno, a mohou ukončit konkrétní relace v části Nastavení aplikace > karta Uživatel. OME poskytuje možnost omezit konkrétní rozsah IP adres pro přístup k zařízení.

Neaktivní relace jsou odstraněny, když vyprší časový limit nečinnosti nakonfigurovaný správcem a uživatel je odhlášen z konzoly.

Typy autentizace a aspekty nastavení
OpenManage Enterprise podporuje místní ověřování uživatelů a ověřování prostřednictvím poskytovatelů AD/LDAP nebo OpenID Connect. OpenManage Enterprise podporuje základní a relace založené (X-Auth) typy autentizace pro místní uživatele. Pro uživatele Directory a OpenID Connection závisí OpenManage Enterprise na infrastruktuře zákazníka. Administrátor může konfigurovat zákaznické připojení AD/LDAP a OpenID v OpenManage Enterprise a delegovat odpovědnost na tyto infrastruktury.

Konfigurace aktivního adresáře
Uživatel může nakonfigurovat aktivní adresář přechodem na Nastavení aplikace > Adresářová služba

OIDC ověřování
Uživatel může nakonfigurovat poskytovatele OpenID Connect přechodem do Nastavení aplikace > OIDC.

Správa uživatelů a pověření
Administrátor může vytvářet a spravovat uživatelské účty ze stránky Uživatelé v části Nastavení aplikace > Uživatelé v OpenManage Enterprise. Správce může v tomto průvodci provádět následující úlohy:

• View přidat, povolit, upravit, zakázat nebo odstranit uživatele OpenManage Enterprise (místní uživatelé importovaní z účtů AD a OIDC).
• Přiřaďte role OpenManage Enterprise uživatelům služby Active Directory importováním skupin adresářů. Pro roli správce zařízení může správce omezit rozsah pro členy importované skupiny adresářů.
• View, přidat, povolit, upravit, zakázat nebo odstranit poskytovatele připojení OpenID (PingFederate a/nebo Key Cloak).

Lokální uživatelská hesla jsou zašifrována a uložena v lokální databázi. Doporučené znaky pro hesla jsou následující:

• 0-9
• AZ
• AZ
• '
• –
• !
• „
• #
• $
• %
• &
• ( )
• *
• ,
• .
• /
• :
• ;
• ?
• @
• [
• \
• ]
• ^
• _
• `
• {
• |
• }
• ~
• +
• <
• =
• >

Předem načtené účty
OpenManage Enterprise má jako výchozího uživatele správce. Při prvním spuštění, po přijetí smlouvy EULA, je třeba nakonfigurovat heslo pro výchozí účet správce.

Výchozí přihlašovací údaje
V Open Manage Enterprise nejsou nakonfigurována žádná výchozí pověření. Heslo interního účtu správce je třeba nakonfigurovat ihned po prvním nasazení zařízení.

Jak zakázat místní účty
Lokální uživatele lze zakázat na stránce uživatele, která je přístupná v OpenManage Enterprise přes Nastavení aplikace > Uživatelé výběrem uživatele a kliknutím na zakázat.

POZNÁMKA: Uživatelský účet správce, který je vytvořen ve výchozím nastavení, nelze odstranit ani zakázat.

Správa přihlašovacích údajů
Po prvním spuštění systém vyzve uživatele, aby přijal smlouvu EULA, a vynutí jej, aby nastavil přihlašovací údaje prostřednictvím textového uživatelského rozhraní (TUI). Výchozí uživatel správce může v budoucnu změnit heslo správce ze stejného textového uživatelského rozhraní (TUI). Další uživatelské účty lze spravovat na stránce Nastavení aplikace > Uživatelé.

Změna hesla správce z textového uživatelského rozhraní

Zabezpečení přihlašovacích údajů
Pověření uživatele jsou jednosměrně hašována pomocí schématu OpenBSD bcrypt a uložena v databázi.

Složitost hesla
Doporučené znaky pro hesla jsou číslice (0-9), velká písmena (AZ), malá písmena (az),
', ,-, ,!, ,”, ,#, ,$, ,%, ,&, ,( ), ,*, ,,, ,., ,/, ,:, ,;, ,?, ,@ , ,[, ,\, ,], ,^, ,_, ,`, ,{, ,|, ,}, ,~, ,+, ,<, ,=, ,>.

Autentizace k externím systémům
OpenManage Enterprise ukládá přihlašovací údaje zařízení zašifrované pomocí šifrování AES s 128bitovou velikostí klíče pomocí šifrovacího klíče generovaného na Open Manage Enterprise. Přihlašovací údaje zařízení se používají ke komunikaci se zařízeními pomocí několika podporovaných protokolů, jako jsou protokoly Redfish, WSMan, SSH, IPMI a SNMP.

Povolení

OpenManage Enterprise má Role Based Access Control, která jasně definuje uživatelská oprávnění pro tři vestavěné role – správce, správce zařízení a Viewehm. Kromě toho může správce pomocí řízení přístupu založeného na rozsahu (SBAC) omezit skupiny zařízení, ke kterým má správce zařízení přístup.

Oprávnění RBAC
OpenManage Enterprise Users mají přiřazeny role, které určují jejich úroveň přístupu k nastavení zařízení a funkcím správy zařízení. Tato funkce se nazývá Role-Based Access Control (RBAC). Konzole před povolením akce vynucuje oprávnění požadovaná pro určitou akci. OpenManage Enterprise přichází se třemi vestavěnými rolemi – správce, správce zařízení a Viewehm. S využitím funkce Role-Based Access Control (RBAC) mohou administrátoři přiřazovat role při vytváření uživatelů. Role určují jejich úroveň přístupu k nastavení zařízení a funkcím správy zařízení. Řízení přístupu založené na rozsahu (SBAC) je rozšířením funkce RBAC, představené v OpenManage Enterprise verze 3.6.0, které umožňuje správci omezit roli Správce zařízení na podmnožinu skupin zařízení nazývaných obor.

Mapování rolí

Uživatel s rolí	Má následující uživatelská oprávnění
Správce	Má plný přístup ke všem úkolům, které lze provádět na konzole ● Úplný přístup (pomocí GUI a REST) ​​ke čtení, view, vytvářet, upravovat, mazat, exportovat a odstraňovat informace související se zařízeními a skupinami monitorovanými OpenManage Enterprise ● Může vytvářet místní uživatele, uživatele Microsoft Active Directory (AD) a LDAP a přiřazovat jim vhodné role ● Povolit a zakázat uživatele ● Upravit role stávajících uživatelů ● Odstraňte uživatele ● Změňte uživatelské heslo
Správce zařízení (DM)	Spouštějte úlohy, zásady a další akce na zařízeních (rozsah) přiřazených administrátorem
Viewer	● Pouze plechovka view informace zobrazené na OpenManage Enterprise a spouštění sestav ● y výchozí, má přístup pouze pro čtení ke konzole a všem skupinám ● Nelze spouštět úlohy nebo vytvářet a spravovat zásady

Zabezpečení sítě
Podporované protokoly a porty na řídicích stanicích

OpenManage Enterprise Podporované protokoly a porty na řídicích stanicích

Přístav Číslo	Protokol	Typ portu	Maximální úroveň šifrování	Zdroj	Směr	Cíl	Používání
22	SSH	TCP	256bitový	Řídící stanice	In	Zařízení OpenManage Enterprise	● Vyžadováno pro příchozí pouze při použití FSD. Správce OpenManage Enterprise musí povolit pouze v případě, že komunikuje s pracovníky podpory společnosti Dell.
25	SMTP	TCP	Žádný	Zařízení OpenManage Enterprise	Ven	Řídící stanice	● Příjem e-mailových upozornění od OpenManage Enterprise.
53	DNS	UDP/TCP	Žádný	Zařízení OpenManage Enterprise	Ven	Řídící stanice	● Pro dotazy DNS.
68/546 (IPv6)	DHCP	UDP/TCP	Žádný	Zařízení OpenManage Enterprise	Ven	Řídící stanice	● Konfigurace sítě.
80*	HTTP	TCP	Žádný	Řídící stanice	In	Zařízení OpenManage Enterprise	● The Web Vstupní stránka GUI. Tím se uživatel přesměruje na HTTPS (Port 443).
123	NTP	TCP	Žádný	Zařízení OpenManage Enterprise	Ven	NTP server	● Synchronizace času (je-li povolena).
137, 138, 139, 445	CIFS	UDP/TCP	Žádný	iDRAC/CMC	In	Zařízení OpenManage Enterprise	● Odeslání nebo stažení šablon nasazení.
							● Nahrát TSR a diagnostické protokoly.
							● Ke stažení DUP firmwaru/ovladače a procesu FSD.
							● Zavedení do sítě ISO.
				Zařízení OpenManage Enterprise	Ven	Podíl CIFS	● Importovat katalogy firmwaru/ovladače ze sdílené složky CIFS.
111, 2049 (výchozí)	NFS	UDP/TCP	Žádný	Zařízení OpenManage Enterprise	Ven	Externí sdílení NFS	● Stažení katalogu a DUP ze sdílené složky NFS pro aktualizace firmwaru.
							● Pro ruční upgrade konzole

Přístav Číslo	Protokol	Typ portu	Maximální úroveň šifrování	Zdroj	Směr	Cíl	Používání
							ze síťového sdílení.
162*	SNMP	UDP	Žádný	Řídící stanice	In/Out	Zařízení OpenManage Enterprise	● Příjem událostí přes SNMP. Směr je „odchozí“ pouze při použití zásady Trap forward.
443 (výchozí)	HTTPS	TCP	128bitové SSL	Řídící stanice	In/Out	Zařízení OpenManage Enterprise	●    Web GUI. ● Ke stažení aktualizací a informací o záruce z Dell.com. 256bitové šifrování je povoleno při komunikaci s OpenManage Enterprise pomocí HTTPS pro web GUI.
							● Zjišťování iniciované serverem.
514	Syslog	UDP	Žádný	Zařízení OpenManage Enterprise	Ven	Syslog server	● Chcete-li odeslat výstrahy a informace protokolu auditu na server Syslog.
3269	LDAPS	TCP	Žádný	Zařízení OpenManage Enterprise	Ven	Řídící stanice	● Přihlášení AD/LDAP pro globální katalog.
636	LDAPS	TCP	Žádný	Zařízení OpenManage Enterprise	Ven	Řídící stanice	● Přihlášení AD/LDAP pro řadič domény.

Port lze nakonfigurovat až na 499 s výjimkou čísel portů, která jsou již přidělena.

Podporované protokoly a porty na spravovaných uzlech
OpenManage Enterprise podporované protokoly a porty na spravovaných uzlech

Přístav Číslo	Protokol	Typ portu	Maximální úroveň šifrování	Zdroj	Directio n	Destinace n	Používání
22	SSH	TCP	256bitový	Zařízení OpenManage Enterprise	Ven	Spravovaný uzel	● Pro zjišťování operačního systému Linux, Windows a Hyper-V.
161	SNMP	UDP	Žádný	Zařízení OpenManage Enterprise	Ven	Spravovaný uzel	● Pro dotazy SNMP.
162*	SNMP	UDP	Žádný	Zařízení OpenManage Enterprise	Dovnitř ven	Spravovaný uzel	● Odesílat a přijímat depeše SNMP.

Přístav Číslo	Protokol	Typ portu	Maximální úroveň šifrování	Zdroj	Directio n	Destinace n	Používání
443	Vlastník y/ WS- Man/ Okouník	TCP	256bitový	Zařízení OpenManage Enterprise	Ven	Spravovaný uzel	● Zjišťování a inventarizace řadiče iDRAC7 a novějších verzí. ● Pro správu CMC.
623	IPMI/ RMCP	UDP	Žádný	Zařízení OpenManage Enterprise	Ven	Spravovaný uzel	● IPMI přístup přes LAN.
69	TFTP	UDP	Žádný	CMC	In	Řídící stanice	● Pro aktualizaci firmwaru CMC.

Port lze nakonfigurovat až na 499 s výjimkou čísel portů, která jsou již přidělena.

POZNÁMKA: V prostředí IPv6 musíte povolit IPv6 a zakázat IPv4 v zařízení OpenManage Enterprise, aby všechny funkce fungovaly podle očekávání.

Sdílení v interní síti
Mnoho serverových operací, jako je aktualizace firmwaru, extrakce šablony a nasazení, získání diagnostiky nebo zprávy TechSupport ze serveru vyžaduje přístup k externí sdílené síťové složce (NFS / CIFS / HTTPS). Za nastavení a poskytnutí přístupu ke sdílené síťové složce je obvykle odpovědný uživatel. OpenManage Enterprise obsahuje vestavěné zařízení file sdílet, snížit práci potřebnou k nastavení externího síťového sdílení a zlepšit tak zákaznickou zkušenost. Přístup ke sdílené síťové složce je dále chráněn přihlašovacími údaji, které se pravidelně obměňují. Ve výchozím nastavení spotřebič file sdílení je zpřístupněno prostřednictvím CIFS (v2) a je zpřístupněno zařízením, která k němu potřebují přistupovat během operace. Ve výchozím nastavení bude spuštěná instance OpenManage Enteprise mít smbd (démon samba) naslouchající na portech 139/445. S OpenManage Enterprise 3.8.x má administrátor na výběr použití HTTPS jako protokolu k vytvoření interního protokolu file sdílet k dispozici. To lze provést pomocí stránky Nastavení aplikace následovně:

Jakmile přejde na použití HTTPS pro interní file sdílení se vytvoří, smbd se vypne a zařízení OME již nefunguje jako server CIFS. OME podporuje servery 12-15G, ale pouze novější verze firmwaru serveru podporují všechny operace prostřednictvím sdílení HTTPS. Níže uvedená tabulka uvádí, zda může být operace podporována pro servery, a minimální verze FW požadovaná pro její podporu.

Případ použití / operace	Servery YX2X (12G) nebo YX3X (13G).	YX4X (14G) a vyšší servery
Aktualizace firmwaru	Podporováno pomocí: HTTPS URI 2.70.70.70 (říjen 2019)	Podporováno pomocí: HTTPS URI 3.00.00.00
Aktualizace ovladače	DSU 1.9.1	DSU 1.9.1
Konfigurace serveru Profile (SCP) pro zachycení šablony, nasazení, inventář konfigurace a nápravu)	2.70.70.70	3.00.00.00
Zpráva technické podpory (TSR)	N/A	3.21.21.21 (prosinec 2018)
Vzdálená diagnostika	N/A	3.00.00.00

• Aktualizace ovladače Windows se provádí přes DSU / DUEC / IC (výrobky D3), které OME nese. DSU 1.9.1 nabízí podporu HTTPS.
• Extrakce šablony a Profile Nasazení je podporováno také na podvozku a IOA. NPS Chassis nepodporuje HTTPS (propojení podle vývojářského týmu) a bude fungovat pouze se sdílenými NFS nebo CIFS. NGM podporuje sdílení HTTPS / NFS / CIFS.

Bez ohledu na volbu protokolu (CIFS nebo HTTPS) je přístup k vestavěnému síťovému sdílení řízen přihlašovacími údaji, které se pravidelně každých 6 hodin obměňují. Tento interval nelze konfigurovat. Umístění sdílení a přihlašovací údaje jsou poskytovány zařízením, která je potřebují, v kontextu každého pracovního postupu OME. Tato sdílená složka se používá pouze pro interní komunikaci se zařízeními a neexistuje žádná externí metoda pro získání podrobností o sdílené složce

Ladění služby Field Service (FSD)
Ve výchozím nastavení má zařízení OpenManage Enterprise zakázán přístup SSH. Field Service Debug (FSD) umožňuje přístup k zařízení na úrovni root prostřednictvím SSH a lze jej autorizovat pouze prostřednictvím služeb podpory společnosti Dell. Další informace najdete v částech Field Service Debug v uživatelské příručce Open Manage Enterprise.

Aktualizace OpenManage Enterprise
Uživatelé mohou upgradovat na další verzi OpenManage Enterprise stažením nejnovějšího balíčku z dell.com. Další informace naleznete v uživatelské příručce v části Aktualizace OpenManage Enterprise.

Zabezpečení dat
OME ukládá všechna citlivá data zašifrovaná pomocí šifrovacího klíče vygenerovaného OME. Všechny přihlašovací údaje uživatele jsou uloženy s jednosměrnou hodnotou hash a nelze je dešifrovat. Všechny přihlašovací údaje zařízení jsou šifrovány pomocí 128bitového šifrování klíče AES. Všechna ostatní data na zařízení jsou chráněna oprávněními a poskytují přístup na základě oprávnění. Předkonfigurované zásady SeLinux OME také zajišťují ochranu dat a přístup k pracovním postupům OME.

Kryptografie

Interní služby jsou konfigurovány se specifickými seznamy řízení přístupu (ACL), které zajišťují, že přístup mohou mít pouze požadované služby. OpenManage Enterprise podporuje průmyslově osvědčené šifrovací algoritmy pro komunikaci s klienty. OME umožňuje pouze komunikaci přes TLS v1.2 s klienty. Klienti si mohou vyjednat komunikaci s OME pomocí níže uvedených šifer:

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

POZNÁMKA: Výběr šifer NENÍ uživatelsky konfigurovatelný.

Správa certifikátů
Ve výchozím nastavení je OME nakonfigurováno pro použití certifikátů s vlastním podpisem. Správci mohou konfigurovat certifikát podepsaný CA v části Nastavení aplikace > Zabezpečení > Certifikáty. Uživatelé mohou view vše view informace o aktuálně dostupném certifikátu SSL pro zařízení přejděte do Nastavení aplikace > Zabezpečení > Certifikáty. Ve výchozím nastavení se OpenManage Enterprise dodává s certifikáty s vlastním podpisem.

Uživatel může také vygenerovat CSR, nechat si ji podepsat a poté podepsaný certifikát nahrát do konzole OpenManage Enterprise.

Auditování a protokolování

Auditování poskytuje historické view uživatelů a aktivity v systému. Stránka Protokoly auditu uvádí data protokolu, která vám nebo týmům podpory společnosti Dell pomohou při odstraňování problémů a analýze. Protokol auditu se zaznamená, když:

• Je přiřazena skupina nebo je změněno přístupové oprávnění.
• Uživatelská role je změněna.
• Akce, které byly provedeny na zařízeních monitorovaných OpenManage Enterprise. Protokol auditu files lze exportovat do CSV file formát

Protokoly
Uživatel má přístup ke všem protokolům služeb OME a protokolům auditu z uživatelského rozhraní. Přejděte na Monitor > Odstraňování problémů > Protokoly. Podpora může tyto protokoly použít k analýze problémů zákazníků. Ve výchozím nastavení jsou tyto protokoly na úrovni INFO (nebo vyšší).

OpenManage Enterprise má zásadu rolování protokolu založenou na velikosti. Maximální velikost logu file může mít až 10 MB. Uživatelé mohou najít až 10 protokolů převrácení files pro jakoukoli službu.

Skenování zranitelnosti sítě

Problémy	Rezoluce
SSL certifikátu nelze důvěřovat	Bezpečnostní kontroly v OME mohou ukázat problémy s certifikátem SSL s výchozím certifikátem v OME. Jako osvědčený postup mohou zákazníci zvolit nahrání důvěryhodného certifikátu CA do produkčního prostředí.
Řetězec certifikátů SSL končí nerozpoznaným certifikátem s vlastním podpisem
Certifikát SSL – Název počítače (CN) neodpovídá FQDN
SSL certifikát – Bylo zjištěno neplatné datum maximální platnosti
Vzdálený hostitel odpovídá na časový interval ICMPamp žádost. To umožňuje útočníkovi znát datum, které je nastaveno na cílovém počítači, což může pomoci neověřenému vzdálenému útočníkovi překonat ověřovací protokoly založené na čase.	Bezpečnostní skenování v OME může ukázat problém s konfigurací ICMP. Znalost provozuschopnosti OpenManage Enterprise není považována za riziko a její operační systém je dobře známý a zdokumentovaný.
Nefiltrované porty při skenování NMAP	Bezpečnostní kontroly mohou hlásit některé porty na OME jako Nefiltrované. Všechny nefiltrované porty jsou uzavřeny, kromě všech zdokumentovaných portů.
Při použití šifer DHE-RSA, httpd/mod_ssl používá 1024bitový klíč s běžně používanými prvočísly.	Přestože iDRAC odstranil podporu pro šifry DHE, aby tento problém vyřešil, pro další ochranu OME zmírnil

provedením následujících bezpečnostních opatření vypnutím podpory šifry DHE_RSA.

Dokumenty / zdroje

Konfigurace zabezpečení DELL 3.10 OpenManage Enterprise [pdfUživatelská příručka 3.10, 3.10 OpenManage Enterprise Security Configuration, OpenManage Enterprise Security Configuration, Enterprise Security Configuration, Security Configuration

Reference

• Uživatelská příručka