OpenManage Integration for VMware vCenter 版本 5.3 安全配置指南 3 月 2021 年 Rev.
注意、小心和警告 注: “注意”表示帮助您更好地使用该产品的重要信息。 小心: “小心”表示可能会损坏硬件或导致数据丢失,并告诉您如何避免此类问题。 警告: “警告”表示可能会导致财产损失、人身伤害甚至死亡。 © 2010 - 2021 Dell Inc. 或其子公司。保留所有权利。Dell、EMC 和其他商标是 Dell Inc.
目录 图.................................................................................................................................................. 5 表.................................................................................................................................................. 6 章 1: 前言........................................................................................................................................ 7 章 2: 本说明文件中使用的术语...............................................
OMIVV 操作系统更新........................................................................................................................................................ 22 产品代码完整性.................................................................................................................................................................. 23 章 5: 其他配置和管理......................................................................................................................
图 1 安全控制图................................................................................................................................................................. 10 2 安全错误消息.............................................................................................................................................................
表 6 1 修订历史记录............................................................................................................................................................... 7 2 本说明文件中使用的术语.......................................................................................................................................... 8 3 权限组..........................................................................................................................................................................
1 前言 作为改进其产品线的一项措施,Dell EMC 会定期发布其软件和硬件的修订版。本文档中介绍的有些功能可能只受当前使用的部分软 件或硬件版本支持。产品发行说明提供了有关产品功能的最新信息。 如果某个产品不能正常运行或其功能与本文档的描述不符,请与您的 Dell EMC 技术支持专业人员联系。本文档在发布时准确无误。 要确保您使用的是本文档的最新版本,请转至 https://www.dell.com/support。 用途 本文档包含有关 OpenManage Integration for VMware vCenter (OMIVV) 的安全特性和功能的信息。 读者对象 本文档面向负责 OMIVV 安全管理的人员。 修订历史记录 下表呈现了本文档的修订历史。 表. 1: 修订历史记录 修订版 日期 说明 A00_5.2.0 2020 年 10 月 OpenManage Integration for VMware vCenter 5.2 安全配置指南的初始版本。 A00_5.3.
2 本说明文件中使用的术语 表.
3 部署模式 您可以在 VMware vCenter 环境中部署 OpenManage Integration for VMware vCenter (OMIVV) 作为 OVF。 主题: • • 开放式虚拟化格式 (OVF) 部署 安全配置文件 开放式虚拟化格式 (OVF) 部署 如果您已有 VMware vSphere 虚拟机环境,建议您将 OMIVV 部署为开放式虚拟化格式 (OVF)。 OVF 部署模式包括预配置的捆绑包,其中包含 OMIVV 软件和 OMIVV 软件运行所依托的 Linux 操作系统。 OVF 环境还包括预配置的防火墙,该防火墙已针对 OMIVV 与受监测系统之间的通信要求进行调整。 OVF 使用 OVF 模板文件进行部署。有关将 OMIVV 部署为 OVF 的更多信息,请参见 https://www.dell.com/support 上提供的 OpenManage Integration for VMware vCenter 5.
4 产品和子系统安全性 主题: • • • • • • • • • • • • 安全控制图 验证 登录安全设置 身份验证类型和设置注意事项 用户和凭据管理 网络安全性 数据安全 加密 审计和日志记录 可服务性 OMIVV 操作系统更新 产品代码完整性 安全控制图 OMIVV 使用 iDRAC 执行 PowerEdge 服务器的部署、资源清册和更新,并从 iDRAC 接收 SNMP 陷阱。 OMIVV 的用户界面是设备管理 Web 页面。OMIVV 插件 UI 从 VMware vCenter 客户端运行,并提供主机硬件监测和管理功能。 所有系统凭据均存储在 OMIVV 安全存储中。 下图显示了 OMIVV 安全控制图: 图 1: 安全控制图 10 产品和子系统安全性
验证 访问控制 访问控制设置可为资源提供保护,防止它们受到未经授权的访问。具有 VMware vCenter 中配置的适当角色和权限的 VMware vCenter 用户可以访问 OMIVV 插件页面。为 OMIVV 设备管理员帐户授予 OMIVV 管理控制台和 RESTful API 访问权限。 默认用户帐户 OMIVV 包括以下默认用户帐户: ● 本地用户帐户 ● 只读用户帐户 ● Root 帐户 本地用户帐户 OMIVV 提供了单个默认本地管理用户帐户。此内部帐户的用户名为 admin。 本地管理员只能访问 Dell EMC OMIVV 管理控制台中的所有操作。 首次部署 OMIVV 时,系统会提示您设置密码。按照屏幕上的说明设置密码。 只读用户帐户 OMIVV 提供单个默认本地只读用户帐户。只读帐户的用户名为只读。 管理员只能使用虚拟机远程控制台登录到 OMIVV。 在故障排除期间可以使用此帐户查看关键设备状态和日志。 首次部署 OMIVV 时,系统会提示您设置密码。按照屏幕上的说明设置密码。 root 帐户 OMIVV 设备具有操作系统 root 帐户。 此默认帐户不可访问。技术支持团队使用
自动会话超时 空闲浏览器会话超时 默认情况下,非活动状态超过 15 分钟,OMIVV 会话就会超时,同时会自动将您注销。 身份验证类型和设置注意事项 vCenter 用户身份验证 OMIVV 依靠 vCenter 验证访问插件页面和处理 vCenter 操作的 RESTful API。插件页面和处理 vCenter 操作的 RESTful API 需要在注 册过程中 Dell EMC 在 vCenter 上创建的权限。 注册新 vCenter 服务器 前提条件 您的 vCenter 帐户应具有创建用户所需的权限。有关所需权限的更多信息,请参阅所需的非管理员用户的权限 页面上的 13。 关于此任务 安装 OMIVV 后,您可以注册 OMIVV 设备。OMIVV 使用具有必要 vCenter 操作权限的管理员用户帐户或非管理员用户帐户。单个 OMIVV 设备实例可支持 15 个 vCenter 服务器(具有或不具有链接模式)和最多 2000 个 ESXi 主机。 如果您尝试注册超过 15 个 Vcenter,将显示以下错误消息: 您的许可证仅允许 个 Vcenter,并且它们均已注册。 要注册新 vC
结果 注册 vCenter 服务器后,OMIVV 注册为 vCenter 插件,“Dell EMC OpenManage Integration”图标出现在 vSphere Client 中,通过它 可以访问 OMIVV 功能。 注: 对于 OMIVV 设备中的所有 vCenter 操作,OMIVV 使用已注册用户的权限,而不是登录到 VMware vCenter 的用户或 OMIVV 设备本地帐户的权限。例如,具有必要权限的用户 X 向 vCenter 注册 OMIVV,用户 Y 仅具有 Dell 权限。用户 Y 现在可以登录到 vCenter 并且可以从 OMIVV 触发固件更新任务。在执行固件更新任务时,OMIVV 使用用户 X 的权限将主机置于维护模式或重新 引导主机。 注: 如果您想上传自定义证书颁发机构 (CA) 签名的至证书 OMIVV,请确保先上传新证书再注册 vCenter。如果您在注册 vCenter 后上传新的自定义证书,vSphere Client 会显示通信错误。要解决此问题,请先注销,然后再登录 vCenter。如果问题仍然存 在,请重新启动 vCenter 服务器上的 vSphe
○ 更新 ● 主机 ○ CIM ■ CIM 交互 ● Host.Config ○ 高级设置 ○ 更改设置 ○ 连接 ○ 维护 ○ 网络配置 ○ 查询补丁程序 ○ 安全配置文件和防火墙 ● 资源清册 ○ 将主机添加到群集 ○ 添加独立主机 ○ 修改群集 ● 生命周期管理器:常规权限 ○ 读取 注: vSphere 生命周期管理器常规权限仅适用于 vCenter 7.0 及更高版本。 ● 主机配置文件 ○ 编辑 ○ 查看 ● 权限 ○ 修改权限 ○ 修改角色 ● 会话 ○ 验证会话 ● 任务 ○ 创建 ○ 更新 注: 如果使用非管理员用户注册 vCenter 服务器以访问任何 OMIVV 功能,则非管理员用户必须具有 Dell 权限。有关查找 Dell 权 限的更多信息,请参阅将 Dell 权限分配给现有角色 页面上的 14。 将 Dell 权限分配给现有角色 关于此任务 如果访问 OMIVV 的特定页面时没有向登录用户分配 Dell 权限,则显示错误 2000000。 您可以编辑现有角色以分配 Dell 权限。 步骤 1. 使用管理权限登录 vSphere Client (HTML-5)。 2.
有关 vCenter 内可用的 OMIVV 角色的详细信息,请参阅 Dell 操作角色 页面上的 15。 7. 编辑角色名称,然后输入所选角色的说明(如果需要)。 8. 单击完成。 从 vCenter 中注销,然后重新登录。现在,具有必要权限的用户可以执行 OMIVV 操作。 vCenter 用户安全 安全角色和权限 OpenManage Integration for VMware vCenter 以加密格式存储用户凭据。它不会向客户端应用程序提供任何密码,以避免任何不当请 求。备份数据库使用自定义的安全短语进行完全加密,因此数据不会被滥用。 默认情况下,管理员组中的用户具有所有权限。管理员可在 VMware vSphere Web 客户端中使用 OpenManage Integration for VMware vCenter 的所有功能。如果您希望用户有管理产品的必要权限,请执行以下操作: 1. 创建具有必要权限的角色。 2. 使用该用户注册 vCenter 服务器。 3.
表. 3: 权限组 组名称 说明 权限组 - Dell.Monitoring 配置监测、监测 权限组 - Dell. Reporting (Not used) 创建报告、运行报告 Dell 基础架构部署角色 该角色包含与虚拟机监控程序部署功能相关的权限。 此角色提供的权限为“配置主机凭据配置文件”、“分配标识”和“部署”。 权限组 — Dell.Deploy-Provisioning 配置主机凭据配置文件、分配标识、部署。 关于权限 OpenManage Integration for VMware vCenter 执行的每个操作均与权限相关联。以下部分列出了可用的操作和关联的权限: ● Dell.Configuration.
● Dell.Deploy-Provisioning.Create Template ○ 配置硬件配置的配置文件 ○ 配置虚拟机监管程序部署配置文件 ○ 配置连接配置文件 ○ 分配标识 ○ 部署 ● Dell.Configuration.Perform host-related tasks ○ 闪烁 LED、清除 LED ○ 启动 iDRAC 控制台 ○ 显示和清除 SEL 日志 ● Dell.Inventory.Configure Inventory ○ 在 Dell 服务器管理选项卡上显示系统资源清册 ○ 获得存储详细信息 ○ 获得电源监测详细信息 ○ 在连接配置文件页上的创建、显示、编辑、删除和测试连接配置文件 ○ 计划、更新和删除资源清册计划 ○ 在主机上运行资源清册 用户和凭据管理 预加载帐户 下表介绍了预加载的 OMIVV 帐户: 表.
管理凭据 如果您是第一次登录 Dell EMC 管理控制台,请以管理员身份登录(默认用户名为 admin)。 注: 如果忘记了管理员密码,将无法从 OMIVV 设备恢复。 更改 OMIVV 设备密码 关于此任务 可以在 vSphere 客户端中使用控制台更改 OMIVV 设备密码。 步骤 1. 打开 OMIVV Web 控制台。 2. 在 OpenManage Integration for VMware vCenter 虚拟设备设置实用程序中,单击更改管理员密码。 按照屏幕上的说明设置密码。 3. 在当前密码文本框中,输入当前管理员密码。 4. 在新密码文本框中输入新密码。 5. 在确认新密码文本框中输入新密码。 6.
表.
数据安全 OMIVV 维护的数据存储在设备内的内部数据库中,不能从外部访问。 通过 OMIVV 传输的数据受到安全通信信道的保护。 注: 建议 RESTful API 用户根据您的环境限制存储安全检索的凭据和数据。 加密 OMIVV 对以下组件使用加密: ● 访问控制 ● 验证 ● 数字签名 管理证书 OMIVV 使用证书进行安全 HTTP 访问 (HTTPS)。 默认情况下,OMIVV 将对 HTTPS 安全事务安装和使用自签名证书。 为增强安全性,建议使用证书颁发机构 (CA) 签名的或自定义的证书。 自签名证书足以在 Web 浏览器和服务器之间建立加密通道。自签名证书不可用于身份验证。 您可以使用以下类型的证书进行 OMIVV 身份验证: ● 自签名证书 当设备的主机名更改时,OMIVV 会生成自签名证书。 ● 由受信证书颁发机构 (CA) 供应商签名的证书。 注: 创建证书时,请考虑公司策略。 更新已注册 vCenter 服务器的证书 关于此任务 OpenManage Integration for VMware vCenter 通过使用 2048 位密钥长度的 RSA 加密标准,使用 Open
步骤 1. 在设备管理页面中,单击 HTTPS 证书区域中的生成证书签名请求。 此时将显示一条消息,表明如果生成新请求,则使用以前的 CSR 创建的证书无法再上传到设备。要继续请求,请单击继续。 2. 如果继续请求,则在生成证书签名请求对话框中,输入通用名称、组织名称、地点、省/自治区/直辖市、国家/地区、电子邮件 地址和主题备用名称 (SAN) 等相关信息,然后单击 继续。 注: OMIVV 不支持 SAN 的多个值。 3. 单击下载,然后将所得 CSR 保存到可访问的位置。 上传 HTTPS 证书 前提条件 确保证书使用 PEM 格式。 关于此任务 您可以使用 HTTPS 证书在 OMIVV 设备和主机系统或 vCenter 之间进行安全通信。要设置此类型的安全通信,请将 CSR 证书发送到 签署机构,然后使用管理控制台上载生成的 CSR。还有一个自签名的默认证书可用于安全通信;此证书对于每个安装来说都是唯一 的。 步骤 1. 在设备管理页面中,单击 HTTPS 证书区域中的上传证书。 2. 在上传证书对话框中单击确定。 3.
创建和下载故障排除捆绑包 关于此任务 故障排除捆绑包含有 OMIVV 设备日志记录信息,可用于帮助解决问题或将其发送给技术支持部门。OMIVV 不会记录任何用户敏感数 据。 步骤 1. 在支持页面上,单击创建并下载故障排除捆绑包。 此时将显示故障排除捆绑包对话框。 2. 在故障排除捆绑包对话框中,单击创建。 根据日志的大小,创建捆绑包可能需要一些时间。 3. 要保存文件,请单击下载。 此时会显示 Dell EMC OMIVV 管理控制台登录页面。 4. 登录 Dell EMC OMIVV 管理控制台。 5. 下载故障处理包。有关更多信息,请参阅 生成和下载故障排除捆绑包 页面上的 22。 生成和下载故障排除捆绑包 前提条件 要生成故障排除捆绑包,请确保您登录到管理员门户。 关于此任务 故障排除捆绑包含有 OMIVV 日志记录信息,可用于帮助解决问题或将其发送给技术支持部门。 步骤 1. 在设备管理页面中,单击生成故障排除捆绑包。 2. 单击下载故障排除捆绑包。 可服务性 通过支持网站 https://www.dell.
产品代码完整性 OMIVV 软件安装程序由 Dell 签名。建议您验证 OMIVV 安装程序签名的真实性。 产品和子系统安全性 23
5 其他配置和管理 主题: • • • OpenManage Integration for VMware vCenter (OMIVV) 许可 保护真实性和完整性 管理 OMIVV 中的备份和还原 OpenManage Integration for VMware vCenter (OMIVV) 许可 OMIVV 有两种类型的许可证: ● 评估许可证 — 当 OMIVV 设备首次开机时,将自动安装评估许可证。试用版包含一个评估许可证,可由 OMIVV 管理五个主机 (服务器)。此 90 天的试用版本是发货时随附的默认许可证。 ● 标准许可证 — 您可以购买由 OMIVV 管理的任意数量的主机许可证。此许可证包括产品支持和 OMIVV 设备更新。标准许可证可 使用三年或五年。购买的任何附加许可证都会延长现有许可证的期限。标准许可证会覆盖评估许可证。 单个 XML 密钥的许可证期限基于原始订单的销售日期计算。任何已上传新许可证将在任何先前的到期许可的 90 天宽限期结束后反 映在计数中。 OMIVV 最多支持 15 个 vCenter 实例。从评估许可证升级到完整标准许可证后,您将收到一封订单确认电子邮件,
