Manualshelf

Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.0
321322323324325326327328329330
选项在系统自检完成并且引导到操作系统环境后应用。操作系统可以是 Microsoft
®
Windows Server
®
Enterprise Linux ,这样可以运行本地 RACADM 命令的操作系统,或者是用
来运行 Dell OpenManage Deployment Toolkit 本地 RACADM 命令的 Microsoft Windows
®
预安装环境或 vmlinux 的有限使用操作系统。
有几种情况可能需要管理员禁用本地配置。例如,在有多个管理员管理服务器和远程访问设备的数据中心,负责维护服务器软件的管理员可能不需要远程访问设备的管理权限。同样,技术人
员在日常系统维护时会实际接触到服务器—可以重新引导系统并访问密码保护的 BIOS但是不应能够配置远程访问设备。在这样的情况下,远程访问设备管理员可能希望禁用本地配置。
管理员应记住,由于禁用本地配置会极大地限制本地配置权限—包括重设 iDRAC6 为默认配置的能力—所以应该只在必要时使用这些选项,并且一般情况下应一次只禁用一个接口以避免一下
失去所有登录权限。例如,如果管理员已禁用所有本地 iDRAC6 用户并且只允许 Microsoft Active Directory
®
目录服务用户登录 iDRAC6,则 Active Directory 验证基础架构随后会出
现故障,而管理员将可能无法登录。同样,如果管理员已禁用所有本地配置并在已有动态主机配置协议 (DHCP) 服务器的网络上为 iDRAC6 设置静态 IP 地址,而 DHCP 服务器随后将该
iDRAC6IP地址分配给网络上的另一个设备,则随后出现的冲突会禁用 DRAC 的带外连接,要求管理员通过串行连接将固件重设为默认设置。
禁用 iDRAC6 KVM
管理员可以有选择地禁用 iDRAC6 远程 KVM,为用户在系统上工作提供了一个灵活安全的机制,防止其他人通过控制台重定向查看该用户的操作。为了使用此功能,必须在服务器上安装
iDRAC 管理型节点软件。管理员可以使用以下命令禁用远程 vKVM
racadm LocalConRedirDisable 1
命令 LocalConRedirDisable 在带参数 1 执行时会禁用现有的远程 vKVM 会话窗口
要帮助防止远程用户重写本地用户设置,此命令只对本地 RACADM 可用。管理员可以在支持本地 RACADM 的操作系统中使用此命令,包括 Microsoft Windows Server 2003
SUSE Linux Enterprise Server 10。由于此命令在系统重新引导后依然有效,管理员必须明确撤销后才能重新启用远程 vKVM。可以使用参数 0 来设置:
racadm LocalConRedirDisable 0
有几种情况可能需要禁用 iDRAC6 远程 vKVM。例如,管理员不希望远程 iDRAC6 用户查看系统上配置的 BIOS 设置,在这种情况下可以通过使用 LocalConRedirDisable 命令在系统
POST 期间禁用远程 vKVM。可能还希望每次管理员登录系统时都自动禁用远程 vKVM 来提高安全性,在这种情况下可以从用户登录脚本设置执行 LocalConRedirDisable 命令来实现。
有关登录脚本的详情,请参阅 technet2.microsoft.com/windowsserver/en/library/31340f46-b3e5-4371-bbb9-6a73e4c63b621033.mspx
使用 SSL 认证iDRAC6 通信
本小节提供关于 iDRAC6 中包括的以下数据安全性功能的信息:
l "安全套接字层 (SSL)"
l "认证签名请求 (CSR)"
l "访问 SSL 主菜单"
l "生成认证签名请求"
安全套接字 (SSL)
iDRAC6 包括 Web 服务器,通过配置 Web 服务器可使用行业标准的 SSL 安全协议在因特网上传输加密数据。基于公共密钥和私人密钥加密技术构建的 SSL 是广泛接受的技术,用于在
客户端和服务器之间提供验证和加密的通信以防止网络上窃听。
启用 SSL 的系统固件
l 向启用 SSL 的客户端验证自身
l 允许客户端向服务器验证自身
l 允许两个系统建立加密连接
此加密过程提供高级别数据保护。iDRAC6 使用 128 SSL 加密标准,北美互联网浏览器常用的最安全加密方式。
iDRAC6 Web 服务器包括 Dell 自签字的 SSL 数字认证 (Server ID)。要确保互联网上的高安全性,请向 iDRAC6 提交请求生成新的认证签名请求 (CSR) 来更换 Web 服务器 SSL
证。
认证签(CSR)
CSR 是认证机构 (CA) 对安全服务器认证的数字请求。安全服务器认证可以确保远程系统的身份,并确保与远程系统交换的信息不会被他人查看或更改。要确保 DRAC 的安全,强烈建议您
生成 CSR,并将 CSR 提交至 CA,然后上载从 CA 返回的认证。
认证机构是 IT 行业认可的企业实体,可满足高标准的可靠性审查、识别和其它重要安全标准。例如,Thwate VeriSign 均为 CACA 收到您的 CSR 后,将对 CSR 中包含的信息进行
检查和验证。如果申请者符合 CA 的安全标准,CA 将向申请者颁发认证,以便在通过网络和 Internet 进行交易时唯一标识该申请者。
CA 批准 CSR 并向您发送认证后,您必须将认证上载至 iDRAC6 固件。存储在 iDRAC6 固件中的 CSR 信息必须与证书中包含的信息匹配。
注: 请参阅 Dell 支持网站 support.dell.com 上有关
禁用
DRAC
中的本地配置和远程虚拟
KVM 的白皮书了解详情。