Users Guide

ManualsBrandsDell ManualsActive System ManagerDRAC5 Version 1.45

100

尽管管理员可以使用本地 racadm 命令设置本地配置选项，然而出于安全原因，可以只从带外 DRAC 5 GUI 或命令行界面进行重设。 cfgRacTuneLocalConfigDisable 选项在系统自检

完成并且引导到操作系统环境后应用。操作系统可以是 Microsoft

Windows Server

或 Enterprise Linux ，这样可以运行本地 racadm 命令的操作系统，或者是用来运行 Dell

OpenManage Deployment Toolkit 本地 racadm 命令的 Microsoft Windows

预安装环境或 vmlinux 的有限使用操作系统。

有几种情况可能需要管理员禁用本地配置。例如，在有多个管理员管理服务器和远程访问设备的数据中心，负责维护服务器软件的管理员可能不需要远程访问设备的管理权限。同样，技术人

员在日常系统维护时会实际接触到服务器 – 可以重新引导系统并访问密码保护的 BIOS – 但是不应能够配置远程访问设备。在这样的情况下，远程访问设备管理员可能希望禁用本地配置。

管理员应记住，由于禁用本地配置会极大地限制本地配置权限 – 包括重设 DRAC 5 为默认配置的能力 – 所以应该只在必要时使用这些选项，并且一般情况下应一次只禁用一个接口以避免

一下失去所有登录权限。例如，如果管理员已禁用所有本地 DRAC 5 用户并且只允许 Microsoft Active Directory

目录服务用户登录 DRAC 5，则 Active Directory 验证基础架构随后

会出现故障，而管理员将可能无法登录。同样，如果管理员已禁用所有本地配置并在已有动态主机配置协议 (DHCP) 服务器的网络上为 DRAC 5 设置静态 IP 地址，而 DHCP 服务器随后

将该 DRAC 5 IP 地址分配给网络上的另一个设备，则随后出现的冲突会禁用 DRAC 的带外连接，要求管理员通过串行连接将固件重设为默认设置。



禁用 DRAC 5 远程虚拟 KVM

管理员可以有选择地禁用 DRAC 5 远程 KVM，为用户在系统上工作提供了一个灵活安全的机制，防止其他人通过控制台重定向查看该用户的操作。为了使用此功能，必须在服务器上安装

DRAC 管理型节点软件。管理员可以使用以下命令禁用远程 vKVM：

racadm LocalConRedirDisable 1

命令 LocalConRedirDisable 在带参数 1 执行时会禁用现有的远程 vKVM 会话窗口

要帮助防止远程用户重写本地用户设置，此命令只对本地 racadm 可用。管理员可以在支持本地 racadm 的操作系统中使用此命令，包括 Microsoft Windows Server 2003 和 SUSE

Linux Enterprise Server 10。由于此命令在系统重新引导后依然有效，管理员必须明确撤销后才能重新启用远程 vKVM。可以使用参数 0 来设置：

racadm LocalConRedirDisable 0

有几种情况可能需要禁用 DRAC 5 远程 vKVM。例如，管理员不希望远程 DRAC 5 用户查看系统上配置的 BIOS 设置，在这种情况下可以通过使用 LocalConRedirDisable 命令在系统

POST 期间禁用远程 vKVM。可能还希望每次管理员登录系统时都自动禁用远程 vKVM 来提高安全性，在这种情况下可以从用户登录脚本设置执行 LocalConRedirDisable 命令来实现。

有关登录脚本的详情，请参阅 technet2.microsoft.com/windowsserver/en/library/31340f46-b3e5-4371-bbb9-6a73e4c63b621033.mspx。

使用 SSL 和数字认证确保 DRAC 5 通信

本小节提供关于 DRAC 5 中包括的以下数据安全性功能的信息：

l "安全套接字层 (SSL)"

l "认证签名请求 (CSR)"

l "访问 SSL 主菜单"

l "生成新的认证签名请求"

l "上载服务器认证"



安全套接字层 (SSL)

DRAC 包括一个 Web 服务器，服务器配置为使用业界标准的 SSL 安全协议以通过互联网传输加密数据。基于公共密钥和私人密钥加密技术构建的 SSL 是广泛接受的技术，用于在客户端

和服务器之间提供验证和加密的通信以防止网络上的窃听现象。

启用 SSL 的系统固件

l 向启用 SSL 的客户端验证自身

l 允许客户端向服务器验证自身

l 允许两个系统建立加密连接

此加密过程提供高级别数据保护。DRAC 使用 128 位 SSL 加密标准，北美互联网浏览器常用的最安全加密方式。

DRAC Web 服务器包括 Dell 自我签名的 SSL 数字证书（服务器 ID）。要确保互联网上的高安全性，请向 DRAC 提交请求生成新的认证签名请求 (CSR) 来更换 Web 服务器 SSL 认

证。



认证签名请求 (CSR)

CSR 是认证机构 (CA) 对安全服务器认证的数字请求。安全服务器认证可以确保远程系统的身份，并确保与远程系统交换的信息不会被他人查看或更改。要确保 DRAC 的安全，强烈建议您

生成 CSR，并将 CSR 提交至 CA，然后上载从 CA 返回的认证。

注：请参阅 Dell 支持网站 support.dell.com 上有关

禁用

DRAC

中的本地配置和远程虚拟

KVM 的白皮书了解详情。