Configurazione della sicurezza aziendale di DELL 3.10 OpenManage
Informazioni sul prodotto OpenManage Enterprise 3.10
OpenManage Enterprise 3.10 è un software progettato per la gestione e il monitoraggio dei sistemi. Include varie funzionalità come configurazioni di sicurezza, guide per l'utente e guide API RESTful. Il software viene periodicamente aggiornato per migliorare le linee di prodotti e le note di rilascio forniscono le informazioni più aggiornate sulle caratteristiche del prodotto. Questo software è destinato all'uso da parte di amministratori, gestori di dispositivi e viewers che utilizzano OpenManage Enterprise per la gestione e il monitoraggio dei sistemi. Per documentazione, note sulla versione, aggiornamenti software o informazioni sui prodotti, visitare il supporto in linea all'indirizzo https://www.dell.com/support
Note, precauzioni e avvertenze
Il manuale dell'utente include note, precauzioni e avvertenze per avvisare gli utenti di informazioni importanti, potenziali danni all'hardware o perdita di dati e potenziali danni alla proprietà, lesioni personali o morte rispettivamente.
- NOTA: Una NOTA indica informazioni importanti che ti aiutano a utilizzare al meglio il tuo prodotto.
- ATTENZIONE: Un messaggio di ATTENZIONE indica un potenziale danno all'hardware o una perdita di dati e spiega come evitare il problema.
- AVVERTIMENTO: Un'AVVERTENZA indica un potenziale rischio di danni alla proprietà, lesioni personali o morte.
Cronologia delle revisioni
La tabella della cronologia delle revisioni nel manuale dell'utente mostra l'ultima revisione del documento insieme alla data di rilascio e alla descrizione del contenuto aggiornato per il rilascio di OpenManage Enterprise. La tabella seguente mostra la cronologia delle revisioni di questo documento:
| Revisione | Data | Descrizione |
| A01 | Gennaio 2023 | Contenuto aggiornato per questa versione di OpenManage Enterprise. |
Documentazione correlata
Il manuale dell'utente elenca diverse pubblicazioni che forniscono informazioni aggiuntive su OpenManage Enterprise, tra cui matrice di supporto, note di rilascio, guida alla configurazione della sicurezza, guida dell'utente, guida all'API RESTful, note sulla versione dell'edizione modulare e guida all'API RESTful dell'edizione modulare. Oltre a questi documenti di base, su YouTube sono disponibili anche white paper, documentazione sui plug-in e demo.
Le seguenti pubblicazioni forniscono ulteriori informazioni:
- Matrice di supporto aziendale OpenManage
- Note sulla versione di OpenManage Enterprise
- Guida alla configurazione della sicurezza di OpenManage Enterprise
- Guida dell'utente di OpenManage Enterprise
- Guida alle API RESTful di OpenManage Enterprise
- API RESTful di OpenManage Enterprise su https://developer.dell.com/apis.
- Note sulla versione di OpenManage Enterprise Modular Edition
- Guida alle API RESTful di OpenManage Enterprise Modular Edition
NOTA: per dimostrazioni video ed esercitazioni, cerca la playlist di Dell OpenManage Enterprise su YouTube o guarda i seguenti video per dimostrazioni dell'interfaccia utente grafica (GUI) di OpenManage Enterprise in azione:
- OpenManage Enterprise finitoview (01:44)
- Creazione di una baseline del firmware in OpenManage Enterprise (01:22 m)
- Console di gestione dei sistemi OpenManage Enterprise (02:02 m)
- Per OpenManage Enterprise, vai a https://www.dell.com/openmanagemanuals.
Per visualizzare la documentazione di:- ApriGestisci impresa, fai clic su
Dell OpenManage Enterprise > Dell OpenManage Enterprise > Documentazione. - Apri Gestisci dispositivi mobili, fai clic su
OpenManage Mobile > Selezionare la versione richiesta > Documentazione.
- ApriGestisci impresa, fai clic su
- Per OpenManage Enterprise plugins, vai a https://www.dell.com/openmanagemanuals.
Per visualizzare la documentazione di:- Plugin OpenManage Enterprise Services, fare clic su
OpenManage Enterprise Connected Services > OpenManage Enterprise Services > Documentazione. - Plugin OpenManage Enterprise Power Manager, fare clic su
OpenManage Enterprise Power Manager > OpenManage Enterprise Power Manager > Documentazione. - Plugin OpenManage Enterprise Update Manager, fare clic su
OpenManage Enterprise Update Manager > OpenManage Enterprise Update Manager > Documentazione. - Plugin OpenManage Enterprise CloudIQ, fare clic su
Servizi connessi di OpenManage Enterprise > OpenManage Enterprise CloudIQ > Documentazione.
- Plugin OpenManage Enterprise Services, fare clic su
- Per le API di OpenManage Enterprise, vai a https://developer.dell.com/products,
Per visualizzare la documentazione API di:- OpenManage Enterprise, fare clic su Server > OpenManage Enterprise API
- OpenManage Enterprise Modular Edition, fare clic su Server > OpenManage Enterprise Modular API
- Plugin OpenManage Enterprise Services, fare clic su Server > OpenManage Enterprise Services API.
- Plugin OpenManage Enterprise Update Manager, fare clic su Server > OpenManage Enterprise Update Manager API
- Plugin OpenManage Enterprise Power Manager, fare clic su Server > OpenManage Enterprise Power Manager API
- Plugin OpenManage Enterprise CloudIQ, fare clic su CloudIQ Public API
Istruzioni per l'uso del prodotto
- Assicurarsi di utilizzare l'ultima versione del manuale dell'utente visitando il supporto online all'indirizzo https://www.dell.com/support.
- Fare riferimento al manuale dell'utente per informazioni concettuali sulla gestione di OpenManage Enterprise.
- Segui la guida alla configurazione della sicurezza per configurare le impostazioni di sicurezza per OpenManage Enterprise.
- Fare riferimento alla guida API RESTful per integrare OpenManage Enterprise con altri sistemi.
- Per OpenManage Enterprise plugins, visita https://www.dell.com/openmanagemanuals e selezionare il plug-in richiesto per la documentazione.
- Contattare il supporto tecnico se il prodotto non funziona correttamente o come descritto nel manuale dell'utente.
2023 Dell Inc. o sue sussidiarie. Tutti i diritti riservati. Dell Technologies, Dell e altri marchi sono marchi di Dell Inc. o delle sue consociate. Altri marchi possono essere marchi dei rispettivi proprietari.
Prefazione
Come parte di uno sforzo per migliorare le linee di prodotti, rilasciamo periodicamente revisioni del software. Pertanto, alcune funzioni descritte in questo documento potrebbero non essere supportate da tutte le versioni del software attualmente in uso. Le note sulla versione del prodotto forniscono le informazioni più aggiornate sulle funzionalità del prodotto. Contattare il professionista del supporto tecnico se un prodotto non funziona correttamente o non funziona come descritto in questo documento.
NOTA: Questo documento era accurato al momento della pubblicazione. Vai al supporto online (https://www.dell.com/support) per assicurarti di utilizzare la versione più recente di questo documento.
Scopo
Questo documento include informazioni concettuali sulla gestione di OpenManage Enterprise.
Pubblico
Questo documento è destinato all'uso da parte di amministratori, gestori di dispositivi e viewers che utilizzano OpenManage Enterprise per la gestione e il monitoraggio dei sistemi.
Oltre ai documenti principali, forniamo anche white paper, documentazione sui plug-in e demo su YouTube.
Convenzioni tipografiche
Questo documento utilizza le seguenti convenzioni di stile:
- Grassetto Utilizzato per i nomi degli elementi dell'interfaccia, come nomi di finestre, finestre di dialogo, pulsanti, campi, nomi di schede, nomi di tasti e percorsi di menu (ciò che l'utente seleziona o fa clic specificatamente)
- Corsivo Utilizzato per i titoli completi delle pubblicazioni a cui si fa riferimento nel testo
- Monospazio Usato per:
- Codice di sistema
- Output di sistema, ad esempio un messaggio di errore o uno script
- Nomi di percorso, filenomi, prompt e sintassi
- Comandi e opzioni
- Corsivo monospazio Utilizzato per le variabili
- Grassetto a spaziatura fissa Usato per l'input dell'utente
- [ ] Le parentesi quadre racchiudono valori facoltativi
- | La barra verticale indica selezioni alternative: la barra significa "o"
- { } Le parentesi graffe racchiudono il contenuto che l'utente deve specificare, ad esempio x o y o z
- … I puntini di sospensione indicano informazioni non essenziali omesse dall'example
Dove trovare aiuto
Vai al supporto online all'indirizzo https://www.dell.com/support e fare clic su Contatta l'assistenza. Per aprire una richiesta di assistenza, è necessario disporre di un contratto di assistenza valido. Contatta il tuo rappresentante di vendita per i dettagli su come ottenere un contratto di supporto valido o per domande sul tuo account.
NOTA:
Per accedere rapidamente al contenuto della Guida per l'utente di OpenManage Enterprise, aprire la Guida in linea di OpenManage Enterprise facendo clic su ? icona nell'angolo in alto a destra di una schermata nella GUI del prodotto.
Dove trovare la matrice di supporto
Consultare Support Matrix su Dell OpenManage Enterprise all'indirizzo https://www.dell.com/openmanagemanuals e fare clic su Documentazione.
I vostri commenti
I tuoi suggerimenti ci aiuteranno a continuare a migliorare l'accuratezza, l'organizzazione e la qualità generale delle pubblicazioni degli utenti. Invia le tue opinioni su questo documento a https://contentfeedback.dell.com/s.
Riferimento rapido sulla sicurezza
Argomenti:
• Modelli di distribuzione
• Professionista della sicurezzafiles
Modelli di distribuzione
OpenManage Enterprise è progettato per essere distribuito come appliance virtuale per una varietà di hypervisor supportati (VMware, Hyper-V e KVM). In generale, può essere utilizzato in ambienti che supportano il caricamento dei formati VMDK o VHD. Per ulteriori informazioni sulla distribuzione di OME, vedere il white paper sulla distribuzione in OpenManage Enterprise Deployment.
Professionista della sicurezzafiles
OpenManage Enterprise è configurato per impostazione predefinita per garantire interazioni utente sicure con l'appliance. I clienti devono configurare la password dell'utente "admin" tramite la TUI (Text User Interface) per accedere all'OME User Interface (GUI) o alle altre API. Per impostazione predefinita, il servizio SSH è disabilitato (non configurabile dall'utente) e l'interazione con l'appliance è limitata all'utilizzo del web API dell'interfaccia utente o REST. Inoltre, OME reindirizza tutte le richieste HTTP a HTTPS e garantisce che vengano stabilite solo connessioni crittografate sicure con l'appliance OME.
Abilitazione del reindirizzamento HTTPS
Reindirizzamento da HTTP a HTTPS reindirizzamenti web comunicazione del server dalla porta HTTP (l'impostazione predefinita è 80) alla porta HTTPS (l'impostazione predefinita è 443). Ciò garantisce che vengano stabilite solo connessioni crittografate sicure quando i client si connettono a OME. Il reindirizzamento HTTPS è abilitato per impostazione predefinita e non è configurabile dall'utente.
Sicurezza del prodotto e del sottosistema
Argomenti:
• Mappa dei controlli di sicurezza
• Autenticazione
• Impostazioni di sicurezza dell'accesso
• Tipi di autenticazione e considerazioni sulla configurazione
• Autorizzazione
• La sicurezza dei dati
• Crittografia
Mappa dei controlli di sicurezza
OpenManage Enterprise è un'applicazione per la gestione e il monitoraggio dei sistemi che fornisce un servizio completo view dei server, chassis, storage e switch di rete Dell sulla rete aziendale.
NOTA: OME ora consente agli utenti di disabilitare tutte le versioni di CIFS.
Autenticazione
OpenManage Enterprise supporta l'autenticazione di sessione e di base per consentire agli utenti locali di accedere all'applicazione. Per impostazione predefinita, solo l'utente amministratore è configurato sulle appliance appena installate. La password per l'utente amministratore integrato deve essere modificata tramite l'interfaccia utente di testo al primo accesso. L'amministratore integrato può creare altri utenti con ruoli diversi (amministratori, gestori di dispositivi e Viewers). Gli amministratori possono configurare per supportare l'autenticazione AD/LDAP e/o OpenID Connect User. OpenManage Enterprise supporta ruoli e privilegi per limitare l'accesso degli utenti a determinate funzionalità. Per una mappatura completa dei dettagli di accesso basati sulle funzionalità, fare riferimento alla Guida per l'utente di OpenManage Enterprise.
Impostazioni di sicurezza dell'accesso
OpenManage Enterprise supporta solo connessioni sicure all'appliance sul canale TLS v1.2. OME reindirizza tutte le richieste HTTP a HTTPS e garantisce che le credenziali vengano comunicate attraverso un canale sicuro. Le impostazioni di configurazione della sicurezza di OME sono accessibili nel file Web Interfaccia utente utilizzando la pagina OpenManage Enterprise > Impostazioni applicazione > Sicurezza. Le connessioni in entrata all'appliance possono essere limitate fornendo i dettagli dell'IP di rete nell'opzione Limita intervallo IP consentito (gli utenti possono inserire più intervalli IP in questo campo) o selezionando la politica di blocco dell'accesso e fornendo dettagli come:
- Selezionare la casella di controllo Per nome utente per impedire a un nome utente specifico di accedere a OpenManage Enterprise.
- Selezionare la casella di controllo Per indirizzo IP per impedire a un indirizzo IP specifico di accedere a OpenManage Enterprise.
- Nella casella Lockout Fail Count, immettere il numero di tentativi non riusciti dopo i quali OpenManage Enterprise deve impedire all'utente di accedere ulteriormente. Il valore predefinito è tre tentativi.
- Nella casella Lockout Fail Window, immettere la durata per la quale OpenManage Enterprise deve visualizzare le informazioni su un tentativo non riuscito.
- Nella casella Lockout Penalty Time, immettere la durata per la quale all'utente viene impedito di effettuare qualsiasi tentativo di accesso dopo più tentativi falliti.
Comportamento di accesso non riuscito
Per eventuali errori di autenticazione, l'utente può visualizzare il messaggio Il nome utente o la password immessi non sono corretti. periodo indicato dal Lockout Penal Time.
Configurazione della sessione
Gli amministratori possono terminare qualsiasi sessione utente per limitare il numero di sessioni simultanee. Per impostazione predefinita, sono consentite sei sessioni GUI simultanee e 100 sessioni API, ma l'amministratore può modificare il numero per limitare le sessioni simultanee e può configurare fino a 100 sessioni simultanee. Gli amministratori possono terminare le sessioni utente accedendo a Impostazioni applicazione > Sessione utente e selezionando uno o più utenti. Gli amministratori possono anche vedere quanti utenti hanno effettuato l'accesso e possono terminare le sessioni specifiche in Impostazioni applicazione > scheda Utente. OME offre un'opzione per limitare un intervallo di indirizzi IP specifico per accedere all'appliance.
Le sessioni inattive vengono eliminate quando scade il timeout di inattività configurato dall'amministratore e l'utente viene disconnesso dalla console.
Tipi di autenticazione e considerazioni sulla configurazione
OpenManage Enterprise supporta l'autenticazione degli utenti locali e l'autenticazione tramite provider AD/LDAP o OpenID Connect. OpenManage Enterprise supporta i tipi di autenticazione di base e basati su sessione (X-Auth) per gli utenti locali. Per gli utenti di Directory e OpenID Connection, OpenManage Enterprise dipende dall'infrastruttura del cliente. L'amministratore può configurare la connessione AD/LDAP e OpenID del cliente in OpenManage Enterprise e delegare la responsabilità a queste infrastrutture.
Configurazione della directory attiva
L'utente può configurare Active Directory accedendo a Impostazioni applicazione > Servizio directory
Autenticazione OIDC
L'utente può configurare i provider OpenID Connect accedendo a Impostazioni applicazione > OIDC.
Gestione utenti e credenziali
L'amministratore può creare e gestire gli account utente dalla pagina Utenti accedendo a Impostazioni applicazione > Utenti in OpenManage Enterprise. L'amministratore può eseguire le seguenti attività in questa procedura guidata:
- View aggiungere, abilitare, modificare, disabilitare o eliminare gli utenti OpenManage Enterprise (utenti locali importati da account AD e OIDC).
- Assegna ruoli OpenManage Enterprise agli utenti di Active Directory importando i gruppi di directory. Per il ruolo di gestore dispositivi, l'amministratore può limitare l'ambito per i membri del gruppo di directory importato.
- View, aggiungere, abilitare, modificare, disabilitare o eliminare i provider di connessione OpenID (PingFederate e/o Key Cloak).
Le password degli utenti locali sono crittografate e archiviate nel database locale. I caratteri consigliati per le password sono i seguenti:
- 0-9
- La-AZ
- az
- '
- –
- !
- “
- #
- $
- %
- &
- ( )
- *
- ,
- .
- /
- :
- ;
- ?
- @
- [
- \
- ]
- ^
- _
- `
- {
- |
- }
- ~
- +
- <
- =
- >
Conti precaricati
OpenManage Enterprise ha admin come utente predefinito. Al primo avvio, dopo che l'EULA è stato accettato, deve essere configurata la password per l'account admin predefinito.
Credenziali predefinite
Nessuna credenziale predefinita è configurata in Open Manage Enterprise. La password dell'account Admin interno deve essere configurata subito dopo aver distribuito l'appliance per la prima volta.
Come disabilitare gli account locali
Gli utenti locali possono essere disabilitati dalla pagina utente accessibile in OpenManage Enterprise tramite Impostazioni applicazione > Utenti selezionando l'utente e facendo clic su disabilita.
NOTA: l'account utente Admin, creato per impostazione predefinita, non può essere eliminato o disattivato.
Gestione delle credenziali
Dopo il primo avvio, il sistema richiede all'utente di accettare l'EULA e obbliga l'utente a impostare le credenziali tramite l'interfaccia utente di testo (TUI). L'utente amministratore predefinito può modificare la password amministratore dalla stessa interfaccia utente di testo (TUI) in futuro. Altri account utente possono essere gestiti da Impostazioni applicazione > Pagina Utenti.
Modifica della password dell'amministratore dall'interfaccia utente testuale
Protezione delle credenziali
Le credenziali utente vengono sottoposte ad hashing unidirezionale utilizzando lo schema bcrypt di OpenBSD e memorizzate nel database.
Complessità della password
I caratteri consigliati per le password sono numeri (0-9), lettere maiuscole (AZ), lettere minuscole (az),
', ,-, ,!, ,”, ,#, ,$, ,%, ,&, ,( ), ,*, ,,, ,., ,/, ,:, ,;, ,?, ,@ , ,[, ,\, ,], ,^, ,_, ,`, ,{, ,|, ,}, ,~, ,+, ,<, ,=, ,>.
Autenticazione a sistemi esterni
OpenManage Enterprise salva le credenziali del dispositivo crittografate con la crittografia AES con una dimensione della chiave di 128 bit utilizzando la chiave di crittografia generata su Open Manage Enterprise. Le credenziali del dispositivo vengono utilizzate per comunicare con i dispositivi utilizzando più protocolli supportati come i protocolli Redfish, WSMan, SSH, IPMI e SNMP.
OpenManage Enterprise dispone di un controllo degli accessi basato sui ruoli che definisce chiaramente i privilegi utente per i tre ruoli integrati: amministratore, gestore dispositivi e Viewehm. Inoltre, utilizzando il controllo di accesso basato sull'ambito (SBAC), un amministratore può limitare i gruppi di dispositivi a cui ha accesso un gestore di dispositivi.
Privilegi RBAC
Agli utenti di OpenManage Enterprise vengono assegnati ruoli che determinano il loro livello di accesso alle impostazioni dell'appliance e alle funzionalità di gestione dei dispositivi. Questa funzione è definita come controllo degli accessi in base al ruolo (RBAC). La console impone il privilegio richiesto per una determinata azione prima di consentire l'azione. OpenManage Enterprise viene fornito con tre ruoli integrati: amministratore, gestore dispositivi e Viewehm. Con l'uso della funzione di controllo degli accessi in base al ruolo (RBAC), gli amministratori possono assegnare ruoli durante la creazione degli utenti. I ruoli determinano il loro livello di accesso alle impostazioni dell'appliance e alle funzionalità di gestione dei dispositivi. Il controllo degli accessi basato sull'ambito (SBAC) è un'estensione della funzionalità RBAC, introdotta in OpenManage Enterprise versione 3.6.0, che consente a un amministratore di limitare un ruolo di Gestione dispositivi a un sottoinsieme di gruppi di dispositivi denominato ambito.
Mappatura dei ruoli
| Utente con ruolo | Ha il seguente privilegio utente |
| Amministratore | Ha pieno accesso a tutte le attività che possono essere eseguite sulla console
● Accesso completo (tramite GUI e REST) per leggere, view, creare, modificare, eliminare, esportare e rimuovere informazioni relative a dispositivi e gruppi monitorati da OpenManage Enterprise ● Può creare utenti locali, Microsoft Active Directory (AD) e LDAP e assegnare ruoli adeguati ● Abilitare e disabilitare gli utenti ● Modificare i ruoli degli utenti esistenti ● Eliminare gli utenti ● Modificare la password dell'utente |
| Gestore dispositivi (DM) | Eseguire attività, criteri e altre azioni sui dispositivi (ambito) assegnati dall'amministratore |
| Viewer | ● Può solo view informazioni visualizzate su OpenManage Enterprise ed eseguire report
● Per impostazione predefinita, ha accesso in sola lettura alla console ea tutti i gruppi ● Impossibile eseguire attività o creare e gestire criteri |
Sicurezza della rete
Protocolli e porte supportati sulle stazioni di gestione
OpenManage Enterprise Protocolli e porte supportati sulle stazioni di gestione
| Porta Numero | Protocollo | Tipo di porta | Livello massimo di crittografia | Fonte | Direzione | Destinazione | Utilizzo |
| 22 | SSH | TCP | 256 bit | Stazione di gestione | In | Appliance OpenManage Enterprise | ● Richiesto per l'ingresso solo se si utilizza FSD. L'amministratore di OpenManage Enterprise deve abilitarlo solo se interagisce con il personale di supporto Dell. |
| 25 | SMT | TCP | Nessuno | Appliance OpenManage Enterprise | Fuori | Stazione di gestione | ● Per ricevere avvisi e-mail
da OpenManage Enterprise. |
| 53 | Il DNS | Protocollo UDP/TCP | Nessuno | Appliance OpenManage Enterprise | Fuori | Stazione di gestione | ● Per query DNS. |
| 68/546 (IPv6) | DHCP | Protocollo UDP/TCP | Nessuno | Appliance OpenManage Enterprise | Fuori | Stazione di gestione | ● Configurazione di rete. |
| 80* | HTTP | TCP | Nessuno | Stazione di gestione | In | Appliance OpenManage Enterprise | ● Il Web Pagina di destinazione della GUI. Questo reindirizzerà un utente a HTTPS (porta 443). |
| 123 | NTP | TCP | Nessuno | Appliance OpenManage Enterprise | Fuori | NTP Server | ● Sincronizzazione dell'ora (se abilitata). |
| 137, 138,
139, 445 |
CIFS | Protocollo UDP/TCP | Nessuno | iDRAC/CMC | In | Appliance OpenManage Enterprise | ● Per caricare o scaricare modelli di distribuzione. |
| ● Per caricare TSR e registri diagnostici. | |||||||
| ● Per scaricare i DUP del firmware/driver e il processo FSD. | |||||||
| ● Avvio su ISO di rete. | |||||||
| Appliance OpenManage Enterprise | Fuori | Quota CIFS | ● Per importare cataloghi firmware/driver dalla condivisione CIFS. | ||||
| 111, 2049
(predefinito) |
Non-Fisico | Protocollo UDP/TCP | Nessuno | Appliance OpenManage Enterprise | Fuori | Condivisione NFS esterna | ● Per scaricare il catalogo ei DUP dalla condivisione NFS per gli aggiornamenti del firmware. |
| ● Per l'aggiornamento manuale della console |
| Porta Numero | Protocollo | Tipo di porta | Livello massimo di crittografia | Fonte | Direzione | Destinazione | Utilizzo |
| dalla condivisione di rete. | |||||||
| 162* | SNMP | UDP | Nessuno | Stazione di gestione | Dentro/Fuori | Appliance OpenManage Enterprise | ● Ricezione di eventi tramite SNMP. La direzione è 'in uscita' solo se si utilizza la policy forward Trap. |
| 443
(predefinito) |
HTTPS | TCP | 128-bit SSL | Stazione di gestione | Dentro/Fuori | Appliance OpenManage Enterprise | ● Web GUI.
● Per scaricare gli aggiornamenti e le informazioni sulla garanzia da Dell.com. La crittografia a 256 bit è consentita durante la comunicazione con OpenManage Enterprise utilizzando HTTPS per il web GUI. |
| ● Rilevamento avviato dal server. | |||||||
| 514 | Registro di sistema | UDP | Nessuno | Appliance OpenManage Enterprise | Fuori | Server Syslog | ● Per inviare avvisi e informazioni sul registro di controllo al server Syslog. |
| 3269 | LDAPS | TCP | Nessuno | Appliance OpenManage Enterprise | Fuori | Stazione di gestione | ● Login AD/LDAP per Global Catalog. |
| 636 | LDAPS | TCP | Nessuno | Appliance OpenManage Enterprise | Fuori | Stazione di gestione | ● Login AD/LDAP per controller di dominio. |
La porta può essere configurata fino a 499 esclusi i numeri di porta già allocati.
Protocolli e porte supportati sui nodi gestiti
OpenManage Enterprise ha supportato i protocolli e le porte sui nodi gestiti
| Porta Numero | Protocollo | Tipo di porta | Livello massimo di crittografia | Fonte | directio n | Destinazione n | Utilizzo |
| 22 | SSH | TCP | 256 bit | Appliance OpenManage Enterprise | Fuori | Nodo gestito | ● Per il rilevamento del sistema operativo Linux, Windows e Hyper-V. |
| 161 | SNMP | UDP | Nessuno | Appliance OpenManage Enterprise | Fuori | Nodo gestito | ● Per query SNMP. |
| 162* | SNMP | UDP | Nessuno | Appliance OpenManage Enterprise | Dentro fuori | Nodo gestito | ● Inviare e ricevere trap SNMP. |
| Porta Numero | Protocollo | Tipo di porta | Livello massimo di crittografia | Fonte | directio n | Destinazione n | Utilizzo |
| 443 | Proprietar y/ WS- Man/ Scorfano | TCP | 256 bit | Appliance OpenManage Enterprise | Fuori | Nodo gestito | ● Rilevamento e inventario di iDRAC7 e versioni successive.
● Per la gestione CMC. |
| 623 | IPMI/RMCP | UDP | Nessuno | Appliance OpenManage Enterprise | Fuori | Nodo gestito | ● Accesso IPMI tramite LAN. |
| 69 | TFTP | UDP | Nessuno | CMC | In | Stazione di gestione | ● Per l'aggiornamento del firmware CMC. |
La porta può essere configurata fino a 499 esclusi i numeri di porta già allocati.
NOTA: in un ambiente IPv6, è necessario abilitare IPv6 e disabilitare IPv4 nell'appliance OpenManage Enterprise per garantire che tutte le funzionalità funzionino come previsto.
Condivisione di rete interna
Molte operazioni del server come l'aggiornamento del firmware, l'estrazione e la distribuzione dei modelli, l'ottenimento della diagnostica o del rapporto di supporto tecnico da un server richiedono l'accesso a una condivisione di rete esterna (NFS/CIFS/HTTPS). In genere, è responsabilità dell'utente configurare e fornire l'accesso alla condivisione di rete. OpenManage Enterprise include un'appliance integrata file share, per ridurre il lavoro necessario per impostare una condivisione di rete esterna e quindi migliorare l'esperienza del cliente. L'accesso alla condivisione di rete è ulteriormente protetto da credenziali, che vengono ruotate periodicamente. Per impostazione predefinita, l'appliance file la condivisione è resa disponibile tramite CIFS (v2) ed è resa disponibile ai dispositivi che devono accedervi per operazione. Per impostazione predefinita, un'istanza di OpenManage Enterprise in esecuzione avrà smbd (samba daemon) in ascolto sulle porte 139/445. Con OpenManage Enterprise 3.8.x, l'amministratore può scegliere di utilizzare HTTPS come protocollo per rendere file quota disponibile. Questa operazione può essere eseguita utilizzando la pagina Impostazioni applicazione come segue:
Una volta che il passaggio per utilizzare HTTPS per l'interno file viene eseguita la condivisione, smbd viene arrestato e l'appliance OME non funziona più come server CIFS. OME supporta i server 12-15G, ma solo le versioni successive del firmware del server supportano tutte le operazioni tramite condivisioni HTTPS. La tabella seguente identifica se l'operazione può essere supportata per i server e la versione FW minima richiesta per supportarla.
| Caso d'uso / Operazione | Server YX2X (12G) o YX3X (13G). | Server YX4X (14G) e superiori |
| Aggiornamento del firmware | Supportato utilizzando: HTTPS URI 2.70.70.70 (ottobre 2019) | Supportato utilizzando: HTTPS URI 3.00.00.00 |
| Aggiornamento del driver | DSU 1.9.1 | DSU 1.9.1 |
| Configurazione del server Profile (SCP) per l'acquisizione del modello, la distribuzione, l'inventario della configurazione e la correzione) | 2.70.70.70 | 3.00.00.00 |
| Rapporto di assistenza tecnica (TSR) | N / A | 3.21.21.21 (dicembre 2018) |
| Diagnostica remota | N / A | 3.00.00.00 |
- L'aggiornamento del driver di Windows viene effettuato tramite DSU/DUEC/IC (risultati D3) fornito da OME. DSU 1.9.1 offre il supporto HTTPS.
- Estrazione del modello e Profile La distribuzione è supportata anche su chassis e IOA. Lo chassis NPS non supporta HTTPS (interblocchi per team di sviluppo) e funzionerà solo con condivisioni NFS o CIFS. NGM supporta condivisioni HTTPS / NFS / CIFS.
Indipendentemente dalla scelta del protocollo (CIFS o HTTPS), l'accesso alla condivisione di rete integrata è controllato dalle credenziali, che vengono periodicamente ruotate ogni 6 ore. Questo intervallo non è configurabile. La posizione di condivisione e le credenziali vengono fornite ai dispositivi che ne hanno bisogno nel contesto di ciascun flusso di lavoro OME. Questa condivisione viene utilizzata solo per la comunicazione interna ai dispositivi e non esiste un metodo esterno per ottenere i dettagli della condivisione
Debug dell'assistenza sul campo (FSD)
Per impostazione predefinita, l'appliance OpenManage Enterprise ha l'accesso SSH disabilitato. Field Service Debug (FSD) consente l'accesso a livello root all'appliance tramite SSH e può essere autorizzato solo tramite i servizi Dell Support. Per ulteriori informazioni, consulta le sezioni Debug di Field Service nella Guida per l'utente di Open Manage Enterprise.
Aggiornamento di OpenManage Enterprise
Gli utenti possono eseguire l'aggiornamento alla versione successiva di OpenManage Enterprise scaricando l'ultimo bundle da dell.com. Per ulteriori informazioni, vedere la sezione Aggiornamento di OpenManage Enterprise nella guida dell'utente.
Sicurezza dei dati
OME archivia tutti i dati sensibili crittografati con la chiave di crittografia generata da OME. Tutte le credenziali utente vengono memorizzate con un hash unidirezionale e non possono essere decifrate. Tutte le credenziali del dispositivo sono crittografate con crittografia a chiave AES a 128 bit. Tutti gli altri dati sull'appliance sono protetti da privilegi e forniscono l'accesso in base ai privilegi. Inoltre, le policy SeLinux preconfigurate OME garantiscono la protezione dei dati e l'accesso ai flussi di lavoro OME.
Crittografia
I servizi interni sono configurati con specifici elenchi di controllo di accesso (ACL) che garantiscono l'accesso solo ai servizi richiesti. OpenManage Enterprise supporta algoritmi crittografici collaudati nel settore per la comunicazione con i client. OME consente solo la comunicazione tramite TLS v1.2 con i client. I client possono negoziare la comunicazione con OME utilizzando le seguenti cifre:
- TLS_ECDHE_RSA_CON_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_CON_AES_256_CBC_SHA384
- TLS_DHE_RSA_CON_AES_256_CBC_SHA256
- TLS_AND_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_CON_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_CON_AES_256_GCM_SHA384
NOTA: La selezione delle cifre NON è configurabile dall'utente.
Gestione dei certificati
Per impostazione predefinita, OME è configurato per l'utilizzo di certificati autofirmati. Gli amministratori possono configurare il certificato firmato dalla CA in Impostazioni applicazione > Sicurezza > Certificati. Gli utenti possono view Tutto view informazioni sul certificato SSL attualmente disponibile per il dispositivo accedendo a Impostazioni applicazione > Sicurezza > Certificati. Per impostazione predefinita, OpenManage Enterprise viene fornito con certificati autofirmati.
L'utente può anche generare CSR, farlo firmare e quindi caricare il certificato firmato nella console di OpenManage Enterprise.
Controllo e registrazione
L'auditing fornisce uno storico view degli utenti e dell'attività sul sistema. La pagina Registri di controllo elenca i dati di registro per aiutare te o i team di supporto Dell nella risoluzione dei problemi e nell'analisi. Un registro di controllo viene registrato quando:
- Viene assegnato un gruppo o viene modificata l'autorizzazione di accesso.
- Il ruolo utente è stato modificato.
- Azioni eseguite sui dispositivi monitorati da OpenManage Enterprise. Il registro di controllo fileI messaggi possono essere esportati nel CSV file formato
Registri
L'utente può accedere a tutti i registri dei servizi OME e ai registri di controllo dall'interfaccia utente. Passare a Monitor > Risoluzione dei problemi > Registri. Il supporto può utilizzare questi registri per analizzare i problemi dei clienti. Per impostazione predefinita, questi registri sono a livello INFO (o superiore).
OpenManage Enterprise dispone di una politica di rollover del registro basata sulle dimensioni. La dimensione massima del registro file può arrivare fino a 10 MB. Gli utenti possono trovare fino a 10 registri rollover files per qualsiasi servizio.
Scansione delle vulnerabilità della rete
| Problemi | Risoluzione |
| Il certificato SSL non può essere considerato attendibile | Le scansioni di sicurezza su OME possono mostrare i problemi del certificato SSL con il certificato predefinito su OME. Come best practice, i clienti possono scegliere di caricare il certificato CA attendibile nell'ambiente di produzione. |
| La catena di certificati SSL termina con un certificato autofirmato non riconosciuto | |
| Certificato SSL: il nome del computer (CN) non corrisponde al nome di dominio completo | |
| Certificato SSL – Rilevata data massima di validità non valida | |
| L'host remoto risponde a un orario ICMPamp richiesta. Ciò consente a un utente malintenzionato di conoscere la data impostata sul computer di destinazione, che può aiutare un utente malintenzionato remoto non autenticato a sconfiggere i protocolli di autenticazione basati sul tempo. | Le scansioni di sicurezza su OME possono mostrare il problema con la configurazione ICMP. La conoscenza dell'uptime di OpenManage Enterprise non è considerata un rischio e il suo sistema operativo è ben noto e documentato. |
| Porte non filtrate nelle scansioni NMAP | Le scansioni di sicurezza possono segnalare alcune delle porte su OME
come Non filtrato. Tutte le porte non filtrate sono chiuse tranne tutte le porte documentate. |
| Quando si utilizzano i cifrari DHE-RSA, httpd/mod_ssl usa la chiave a 1024 bit con i numeri primi comunemente usati. | Mentre iDRAC ha rimosso il supporto per le crittografie DHE per risolvere questo problema, per ulteriore protezione, OME ha mitigato |
| eseguendo le seguenti misure di sicurezza disabilitando il supporto di cifratura DHE_RSA. |
Documenti / Risorse
 |
Configurazione della sicurezza aziendale di DELL 3.10 OpenManage [pdf] Manuale del proprietario 3.10, 3.10 Configurazione della sicurezza OpenManage Enterprise, Configurazione della sicurezza OpenManage Enterprise, Configurazione della sicurezza aziendale, Configurazione della sicurezza |
