Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.3

161

162

163

164

165

166

167

168

169

170

项在系统开机自检完成并且引导到操作系统环境后应用。操作系统可以是 Microsoft

Windows Server

或 Enterprise Linux 等可以运行本地 RACADM 命令的操作系统，或者是用来

运行 Dell OpenManage Deployment Toolkit 本地 RACADM 命令的 Microsoft Windows

预安装环境或 vmlinux 的有限使用操作系统。

有几种情况可能需要管理员禁用本地配置。例如，在有多个管理员管理服务器和远程访问设备的数据中心，负责维护服务器软件的管理员可能不需要远程访问设备的管理权限。同样，技术人

员在日常系统维护时会实际接触到服务器—可以重新引导系统并访问密码保护的 BIOS—但是不应能够配置远程访问设备。在这样的情况下，远程访问设备管理员可能希望禁用本地配置。

管理员应记住，由于禁用本地配置会极大地限制本地配置权限—包括重设 iDRAC6 为默认配置的能力—所以应该只在必要时使用这些选项，并且一般情况下应一次只禁用一个接口以避免一下

失去所有登录权限。例如，如果管理员已禁用所有本地 iDRAC6 用户并且只允许 Microsoft Active Directory

目录服务用户登录 iDRAC6，则 Active Directory 验证基础架构随后会出

现故障，而管理员将可能无法登录。同样，如果管理员已禁用所有本地配置并在已有动态主机配置协议 (DHCP) 服务器的网络上为 iDRAC6 设置静态 IP 地址，而 DHCP 服务器随后将该

iDRAC6 IP 地址分配给网络上的另一个设备，则随后出现的冲突会禁用 DRAC 的带外连接，要求管理员通过串行连接将固件重设为默认设置。



禁用 iDRAC6 远程虚拟 KVM

管理员可以有选择地禁用 iDRAC6 远程 KVM，为本地用户在系统上工作提供了一个灵活安全的机制，防止其他人通过控制台重定向查看该用户的操作。为了使用此功能，必须在服务器上安

装 iDRAC 受管节点软件。管理员可以使用以下命令禁用远程 vKVM：

racadm LocalConRedirDisable 1

命令 LocalConRedirDisable 在带参数 1 执行时会禁用现有的远程 vKVM 会话窗口

要帮助防止远程用户重写本地用户设置，此命令只对本地 RACADM 可用。管理员可以在支持 RACADM 的操作系统中使用此命令，包括 Microsoft Windows Server 2003 和 SUSE

Linux Enterprise Server 10。由于此命令在整个系统重新引导过程中持续有效，管理员必须明确撤销后才能重新启用远程 vKVM。可以使用参数 0 来设置：

racadm LocalConRedirDisable 0

有几种情况可能需要禁用 iDRAC6 远程 vKVM。例如，管理员可能不希望远程 iDRAC6 用户查看系统上配置的 BIOS 设置，在这种情况下可以通过使用 LocalConRedirDisable 命令在

系统开机自检期间禁用远程 vKVM。可能还希望每次管理员登录系统时都自动禁用远程 vKVM 来提高安全性，在这种情况下可以从用户登录脚本执行 LocalConRedirDisable 命令来实

现。

有关登录脚本的详情，请参阅 technet2.microsoft.com/windowsserver/en/library/31340f46-b3e5-4371-bbb9-6a73e4c63b621033.mspx。

使用 SSL 和数字证书保证 iDRAC6 通信安全

本小节提供关于 iDRAC6 中包括的以下数据安全功能的信息：

l “安全套接字层 (SSL)”

l “证书签名请求 (CSR)”

l “访问 SSL 主菜单”

l “生成证书签名请求”



安全套接字层 (SSL)

iDRAC6 包括 Web Server，通过配置 Web Server 可使用行业标准的 SSL 安全协议在 Internet 上传输加密数据。基于公共密钥和私人密钥加密技术构建的 SSL 是广泛接受的技术，

用于在客户端和服务器之间提供验证和加密的通信以防止网络上的窃听现象。

启用 SSL 的系统：

l 向启用 SSL 的客户端验证自身

l 允许客户端向服务器验证自身

l 允许两个系统建立加密连接

此加密过程提供高级别数据保护。iDRAC6 使用 128 位 SSL 加密标准，这是北美 Internet 浏览器常用的最安全加密方式。

iDRAC6 Web Server 包括 Dell 自签 SSL 数字证书（服务器 ID）。要确保 Internet 上的高安全性，请向 iDRAC6 提交请求生成新的证书签名请求 (CSR) 来更换 Web Server SSL

证书。



证书签名请求 (CSR)

CSR 是向认证机构 (CA) 请求安全服务器证书的数字请求。安全服务器证书可以保护远程系统的身份，并确保与远程系统交换的信息不会被他人查看或更改。要确保 DRAC 的安全，强烈建

议您生成 CSR，将 CSR 提交至 CA，然后上载从 CA 返回的证书。

CA 是 IT 行业认可的企业实体，可满足高标准的可靠性审查、识别和其它重要安全标准。例如，Thwate 和 VeriSign 均为 CA。CA 收到您的 CSR 后，将对 CSR 中包含的信息进行检查

和验证。如果申请者符合 CA 的安全标准，CA 将向申请者颁发证书，以便在通过网络和 Internet 进行交易时唯一标识该申请者。

CA 批准 CSR 并向您发送证书后，您必须将证书上载至 iDRAC6 固件。存储在 iDRAC6 固件中的 CSR 信息必须与证书中包含的信息匹配。

注：请参阅 Dell 支持网站 support.dell.com 上有关

禁用

DRAC

中的本地配置和远程虚拟

KVM 的白皮书了解详情。