Users Guide
启用其它 DRAC 5 安全选项
要防止未授权访问远程系统,DRAC 5 提供了以下功能:
l IP 地址筛选 (IPRange) — 定义可以访问 DRAC 5 的特定范围的 IP 地址。
l IP 地址阻塞 — 限制特定 IP 地址的失败登录尝试次数。
这些功能在 DRAC 5 默认配置中禁用。 使用以下子命令或基于 Web 的界面启用这些功能。
racadm config -g cfgRacTuning -o <
对象
_
名称
> <
值
>
此外,将这些功能与相应的会话空闲超时值以及定义的网络安全计划结合使用。
以下小节提供了有关这些功能的其它信息。
IP 筛选 (IpRange)
IP 地址筛选(或 IP
范围检查
)只允许 IP 地址在用户特定范围内的客户端或管理工作站对 DRAC 5 进行访问。 所有其它登录都将被拒绝。
IP 筛选将接入登录的 IP 地址与以下 cfgRacTuning 属性中指定的 IP 地址范围相比较:
l cfgRacTuneIpRangeAddr
l cfgRacTuneIpRangeMask
cfgRacTuneIpRangeMask 属性既应用于接入 IP 地址,也应用于 cfgRacTuneIpRangeAddr 属性。 如果两个属性的结果相同,则允许接入登录请求访问 DRAC 5。 从该范围以外
的 IP 地址登录将收到一条错误。
如果以下表达式等于零,登录将会继续:
cfgRacTuneIpRangeMask & (<
接入
_IP_
地址
> ^ cfgRacTuneIpRangeAddr)
其中 & 是数量的按位“与”,而 ^ 是按位“异或”。
请参阅“DRAC 5 属性数据库组和对象定义”查看 cfgRacTune 属性的完整列表。
表 3-7. IP 地址筛选 (IpRange) 属性
启用 IP 筛选
以下是 IP 筛选设置的示例命令。
请参阅“使用 RACADM”了解有关 RACADM 和 RACADM 命令的详情。
要将登录限制到一个 IP 地址(例如,192.168.0.57),则使用全掩码,如下所示。
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.57
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.255
l HMAC-MD5-96
验证
l “Password”(密码)
注:SSHv1 不支持。
属性
说明
cfgRacTuneIpRangeEnable
启用 IP 范围检查功能。
cfgRacTuneIpRangeAddr
根据子网掩码中的 1,确定可接受的 IP 地址位样式。
此属性是与 cfgRacTuneIpRangeMask 的按位“与”,确定所允许 IP 地址的高端。 在高位包含此位样式的任何 IP 地址都允许建立 DRAC 5 会
话。 从此范围外的 IP 地址登录都会失败。 各属性中的默认值允许从 192.168.1.0 到 192.168.1.255 的地址范围建立 DRAC5会话。
cfgRacTuneIpRangeMask
定义 IP 地址中的重要位。 子网掩码应是网络掩码的形式,较重要的位全是 1,然后在低位全变为零。
注:以下 RACADM 命令会阻塞除 192.168.0.57 以外的所有 IP 地址