Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.3

171

172

173

174

175

176

177

178

179

180

Obwohl Administratoren die lokalen Konfigurationsoptionen mithilfe von lokalen RACADM-Befehleneinstellenkönnen,istesausSicherheitsgründennur

möglich,dieOptionenübereinebandexternewebbasierteiDRAC6-SchnittstelleoderBefehlszeilenoberflächezurückzusetzen.DieOption

cfgRacTuneLocalConfigDisable gilt, sobald der Einschalt-Selbsttest des Systems abgeschlossen ist und das System in eine Betriebssystemumgebung

gestartet wurde. Das Betriebssystem kann Microsoft

Windows Server

oder Enterprise Linux sein (Betriebssysteme, die Befehle des lokalen RACADM

ausführenkönnen)odereinbeschränkteinsetzbaresBetriebssystemwiedieMicrosoftWindows

-Vorinstallationsumgebungodervmlinux,diezumAusführen

von Befehlen des lokalen RACADM im Dell OpenManage Deployment Toolkit verwendet werden.

EsgibtverschiedeneSituationen,indeneneinAdministratoreinelokaleKonfigurationu.U.deaktivierenmuss.Beispiel:IneinemDatenzentrummitmehreren

AdministratorenfürServerundRemote-Zugriffs-Gerätebenötigendiejenigen,diefürdieWartungvonServer-Software-Stackszuständigsind,eventuellkeine

AdministratorrechtefürdenZugriffaufRemote-Zugriffs-Geräte.AufähnlicheWeisehabenTechnikerwährendroutinemäßigenSystemwartungsarbeiten

eventuelldirektenZugriffaufServerundsinddadurchinderLage,SystemeneuzustartenundaufdaskennwortgeschützteBIOSzuzugreifen.Essollte

jedochnichtmöglichsein,dasssieRemote-Zugriffs-Gerätekonfigurieren.AdministratorenvonRemote-Zugriffs-GerätensollteninAnbetrachtderMöglichkeit

solcherSituationenerwägen,dielokaleKonfigurationzudeaktivieren.

AdministratorensollteninBetrachtziehen,dassdasDeaktivierenlokalerKonfigurationendieBerechtigungenzumAusführenlokalerKonfigurationenstark

einschränkt,wasauchdasZurücksetzendesiDRAC6aufseineursprünglicheKonfigurationeinschließt.SiesolltenentsprechendeOptionendahernur

anwenden,wenndieswirklichnotwendigistunddabeilediglicheineSchnittstelleaufeinmaldeaktivieren,umeinemvollständigenVerlustihrer

Anmeldungsberechtigungenvorzubeugen.WennAdministratorenz.B.allelokaleniDRAC6-Benutzer deaktiviert haben und nur Benutzern des Microsoft Active

Directory

-Verzeichnisdienstes gestatten, sich am iDRAC6 anzumelden, und die Infrastruktur der Active Directory-Authentifizierungdaraufhinfehlschlägt,istes

möglich,dasssichdieAdministratorennichtmehranmeldenkönnen.EinevergleichbareSituationtrittauf,wennAdministratorendiegesamtelokale

Konfiguration deaktiviert haben und einen iDRAC6 mit statischer IP-AdressezueinemNetzwerkhinzufügen,dasbereitseinenDHCP-Server (dynamisches

Host-Konfigurationsprotokoll)enthält,undderDHCP-Server die iDRAC6-IP-AdressedaraufhineinemanderenGerätimNetzwerkzuweist.Durchdensich

ergebendenKonfliktkanndiebandexterneKommunikationdesDRACdeaktiviertwerden,woraufhinAdministratorendieFirmwareübereineserielle

VerbindungaufihrestandardmäßigenEinstellungenzurücksetzenmüssen.



Virtuelle iDRAC6-Remote-KVM deaktivieren

AdministratorenkönnendieiDRAC6-Remote-KVMselektivdeaktivierenundeinemlokalenBenutzersomiteineflexible,sichereMethodezurVerfügungstellen,

umaufdemSystemzuarbeiten,ohnedasseineanderePersonüberdieKonsolenumleitungdieMaßnahmendesBenutzersbeobachtenkann.Damitdiese

Funktion verwendet werden kann, ist auf dem Server die Installation der iDRAC-SoftwarefürdenverwaltetenKnotenerforderlich.Administratorenkönnendie

Remote-vKVM unter Verwendung des folgenden Befehls deaktivieren:

racadm LocalConRedirDisable 1

Der Befehl LocalConRedirDisable deaktiviert die vorhandenen Fenster der Remote-vKVM-Sitzung,wennermitArgument1ausgeführtwird.

Um zu verhindern, dass ein Remote-BenutzerdieEinstellungendeslokalenBenutzersüberschreibt,stehtdieserBefehlnurfürdenlokalenRACADMzur

Verfügung.AdministratorenkönnendiesenBefehlaufBetriebssystemen(einschließlichMicrosoftWindowsServer2003undSUSELinuxEnterpriseServer10)

verwenden,dieRACADMunterstützen.DadieserBefehlüberSystemneustartshinwegaufrechterhaltenbleibt,müssenAdministratorendenBefehleigens

wieder aufheben, um die Remote-vKVM erneut zu aktivieren. Die Aufhebung kann durch die Verwendung des Arguments 0 vorgenommen werden:

racadm LocalConRedirDisable 0

In verschiedenen Situationen ist die Deaktivierung von iDRAC6-Remote-vKVMerforderlich.Esistz.B.möglich,dassAdministratorenvermeidenmöchten,dass

ein Remote-iDRAC6-Benutzer die auf einem System konfigurierten BIOS-Einstellungenanzeigenkann.IndiesemFallekönnensiedieRemote-vKVMwährend

des System-POST deaktivieren, indem Sie den Befehl LocalConRedirDisableanwenden.Esempfiehltsichu.U.,dieSicherheitzuerhöhen,indemdieRemote-

vKVM immer dann automatisch deaktiviert wird, wenn sich ein Administrator am System anmeldet. Hierzu ist der Befehl LocalConRedirDisableüberdie

Benutzeranmeldungsskriptsauszuführen.

Weitere Informationen zu Anmeldungsskripts sind unter technet2,microsoft.com/windowsserver/en/library/31340f46-b3e5-4371-bbb9-

6a73e4c63b621033.mspx zu finden.

iDRAC6-DatenübertragungmitSSLunddigitalenZertifikatensichern

DieserUnterabschnittenthältInformationenüberdiefolgendenDatensicherheitsfunktionen,dieinIhremiDRAC6integriertsind:

l "Secure Sockets Layer (SSL)"

l "Zertifikatsignierungsanforderung (CSR)"

l "Zugriff auf das SSL-Hauptmenü"

l "Zertifikatsignierungsanforderung erstellen"



Secure Sockets Layer (SSL)

Der iDRAC6 umfasst einen Web Server, der zur Verwendung des SSL-SicherheitsprotokollsnachindustriellemStandardkonfiguriertwurde,umverschlüsselte

DatenüberdasInternetzuübertragen.SSListaufeinerVerschlüsselungstechnologiemitöffentlichemundprivatemSchlüsselaufgebaut.Eshandeltsichum

eineallgemeinakzeptierteMethode,umauthentifizierteundverschlüsselteKommunikationenzwischenClientsundServernzuermöglichenundunbefugtes

Lauschen in einem Netzwerk zu verhindern.

Merkmale eines SSL-aktivierten Systems:

l Authentifiziert sich an einem SSL-aktivierten Client selbst

verwenden. Deaktivieren Sie nur eine Schnittstelle auf einmal, um zu vermeiden, dass Sie Ihre gesamten Anmeldungsberechtigungen verlieren.

ANMERKUNG: Weitere Informationen finden Sie im Informationsbericht zum Thema Lokale Konfiguration und virtuelle Remote-KVM im DRAC deaktivieren

auf der Support-Website von Dell unter support.dell.com.

ANMERKUNG: Weitere Informationen finden Sie im Informationsbericht zum Thema Lokale Konfiguration und virtuelle Remote-KVM im DRAC deaktivieren

auf der Support-Website von Dell unter support.dell.com.