Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.0

331

332

333

334

335

336

337

338

339

340

Obwohl Administratoren die lokalen Konfigurationsoptionen mithilfe von lokalen RACADM-Befehleneinstellenkönnen,istesausSicherheitsgründennur

möglich,dieOptionenübereinebandexternewebbasierteiDRAC6-SchnittstelleoderBefehlszeilenschnittstellezurückzusetzen.DieOption

cfgRacTuneLocalConfigDisable gilt, sobald der Einschalt-Selbsttest des Systems abgeschlossen ist und das System in eine Betriebssystemumgebung

gestartet wurde. Das Betriebssystem kann vom Typ Microsoft

Windows Server

oder Enterprise Linux sein - ein Betriebssystem, das Befehle des lokalen

RACADMausführenkann- odereinbeschränkteinsetzbaresBetriebssystemwiedieMicrosoftWindows

-Vorinstallationsumgebung oder vmlinux, die zum

AusführenderBefehledeslokalenRACADMimDellOpenManageDeploymentToolkitverwendetwerden.

Es gibt verschiedene Situationen, in denen ein Administrator eine lokale Konfiguration deaktivieren muss. Beispiel: In einem Datenzentrum mit verschiedenen

AdministratorenfürServerundRemote-Zugriffs-Komponentenbenötigendiejenigen,diefürdieWartungvonServersoftware-Stackszuständigsind,eventuell

keine Administratorrechte zum Zugriff auf Remote-Zugriffs-Komponenten.AufähnlicheWeisehabenTechnikerwährendroutinemäßigen

SystemwartungsarbeiteneventuelldirektenZugriffaufServerundsinddadurchinderLage,SystemeneuzustartenundaufdaskennwortgeschützteBIOS

zuzugreifen.Essollteihnendabeijedochnichtmöglichsein,Remote-Zugriffs-Komponenten zu konfigurieren. Administratoren von Remote-Zugriffs-

KomponentensollteninAnbetrachtderMöglichkeitsolcherSituationenerwägen,dielokaleKonfigurationzudeaktivieren.

AdministratorensollteninBetrachtziehen,dassdasDeaktivierenlokalerKonfigurationendieBerechtigungzumAusführenlokalerKonfigurationenstark

einschränkt,wasauchdasZurücksetzendesiDRAC6aufseineursprünglicheKonfigurationeinschließt.SiesolltenentsprechendeOptionendahernur

anwenden,wenndieswirklichnotwendigistunddabeilediglicheineSchnittstelleaufeinmaldeaktivieren,umeinemvollständigenVerlustihrer

Anmeldungsberechtigungvorzubeugen.WennAdministratorenz.B.allelokaleniDRAC6-Benutzer deaktiviert haben und nur Benutzern des Microsoft Active

Directory

-Verzeichnisdienstesgestatten,sichamiDRAC6anzumelden,unddieInfrastrukturderActiveDirectory-Authentifizierungdaraufhinfehlschlägt,ist

esmöglich,dasssichdieAdministratorennichtmehranmeldenkönnen.EinevergleichbareSituationtrittauf,wennAdministratorendiegesamtelokale

KonfigurationdeaktivierthabenundeineniDRAC6mitstatischerIP-AdresseeinemNetzwerkhinzufügen,dasbereitseinenDHCP-Server (Dynamisches Host-

Konfigurationsprotokoll)enthältundderDHCP-ServerdieiDRAC6-IP-Adresse daraufhin einer anderen Komponente auf dem Netzwerk zuweist. Durch den sich

ergebendenKonfliktkanndiebandexterneKonnektivitätdesDRACdeaktiviertwerden,woraufhinAdministratorendieFirmwareübereineserielleVerbindung

aufihrestandardmäßigenEinstellungenzurücksetzenmüssen.



VirtuelleiDRAC6-Remote-KVM deaktivieren

AdministratorenkönnendieiDRAC6-Remote-KVMselektivdeaktivierenundeinemlokalenBenutzersomiteineflexible,sichereMethodezurVerfügungstellen,

umaufdemSystemzuarbeiten,ohnedasseineanderePersonüberdieKonsolenumleitungdieMaßnahmendesBenutzersbeobachtenkann.Damitdiese

Funktion verwendet werden kann, ist auf dem Server die Installation der iDRAC-SoftwarefürdenverwaltetenKnotenerforderlich.Administratorenkönnendie

Remote-vKVM unter Verwendung des folgenden Befehls deaktivieren:

racadm LocalConRedirDisable 1

Der Befehl LocalConRedirDisable deaktiviert die vorhandenen Fenster der Remote-vKVM-Sitzung,wennermitArgument1ausgeführtwird.

Um zu verhindern, dass ein Remote-BenutzerdieEinstellungendeslokalenBenutzersüberschreibt,stehtdieserBefehlnurfürdenlokalenRACADMzur

Verfügung.AdministratorenkönnendiesenBefehlaufBetriebssystemen(einschließlichMicrosoftWindowsServer2003undSUSELinuxEnterpriseServer10)

verwenden,dieRACADMunterstützen.DadieserBefehlüberSystemneustartshinwegaufrechterhaltenbleibt,musservonAdministratorenumgekehrt

werden, damit die Remote-vKVM neu aktiviert werden kann. Die Umkehrung kann durch die Verwendung des Arguments 0 vorgenommen werden:

racadm LocalConRedirDisable 0

InverschiedenenSituationenistdieDeaktivierungvoniDRAC6-Remote-vKVMerforderlich.Esistz.B.möglich,dassAdministratorenvermeidenmöchten,dass

ein Remote-iDRAC6-Benutzer die auf einem System konfigurierten BIOS-Einstellungenanzeigenkann.IndiesemFallekönnenAdministratorendieRemote-

vKVMwährenddesSystem-POST deaktivieren, indem Sie den Befehl LocalConRedirDisable anwenden. Es empfiehlt sich vielleicht auch, die Sicherheit zu

erhöhen,indemdieRemote-vKVM immer dann automatisch deaktiviert wird, wenn sich ein Administrator am System anmeldet. Hierzu ist der Befehl

LocalConRedirDisableüberdieBenutzeranmeldungs-Scriptsauszuführen.

Weitere Informationen zu Anmeldungs-Scripts sind unter technet2,microsoft.com/windowsserver/en/library/31340f46-b3e5-4371-bbb9-

6a73e4c63b621033.mspx enthalten.

iDRAC6-DatenübertragungmitSSLunddigitalenZertifikatensichern

DieserUnterabschnittenthältInformationenüberdiefolgendenDatensicherheitsfunktionen,dieinIhremiDRAC6integriertsind:

l "Secure Sockets Layer (SSL)"

l "Zertifikatsignierungsanforderung (CSR)"

l "Zugriff auf das SSL-Hauptmenü"

l "Zertifikatsignierungsanforderung erstellen"



Secure Sockets Layer (SSL)

DeriDRAC6beinhalteteinenWebServer,derzurVerwendungdesSSL-Sicherheitsprotokolls nach industriellem Standard konfiguriert wurde, um

verschlüsselteDatenüberdasInternetzuübertragen.SSListaufgebautauföffentlicherundprivaterVerschlüsselungstechnologieundeineallgemein

akzeptierteTechnik,umauthentifizierteundverschlüsselteKommunikationenzwischenClientsundServernzubieten,undunbefugtesLauschenaufdem

Netzwerk zu verhindern.

Merkmale eines SSL-aktivierten Systems:

l Sich an einem SSL-aktivierten Client authentifizieren

ANMERKUNG: WeitereInformationenstehenimWeißbuchzumThemaLokale Konfiguration und virtuelle Remote-KVM im DRAC deaktivieren auf der

Support-Site von Dell unter support.dell.comzurVerfügung.

ANMERKUNG: WeitereInformationenstehenimWeißbuchzumThemaLokale Konfiguration und virtuelle Remote-KVM im DRAC deaktivieren auf der

Support-Site von Dell unter support.dell.comzurVerfügung.