OpenManage Integration for VMware vCenter バージョン 5.3 セキュリティ設定ガイド 年 3 月 2021 Rev.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 ©2010 - 2021 Dell Inc.またはその関連会社。All rights reserved.(不許複製・禁無断転載)Dell、EMC、およびその他の商標は、Dell Inc.
目次 図.................................................................................................................................................. 5 表.................................................................................................................................................. 6 章 1: 前書き..................................................................................................................................... 7 章 2: 本書で使用される用語..................................................
製品コードの整合性.......................................................................................................................................................... 23 章 5: その他の構成と管理................................................................................................................24 OpenManage Integration for VMware vCenter(OMIVV)のライセンス................................................................ 24 信頼性と整合性の保護....................................................................................
図 1 セキュリティ制御マップ........................................................................................................................................ 10 2 セキュリティエラーメッセージ..............................................................................................................................
表 6 1 変更履歴....................................................................................................................................................................... 7 2 本書で使用される用語.............................................................................................................................................. 8 3 権限グループ..............................................................................................................................................................
1 前書き 製品ラインを改善するための努力の一環として、Dell EMC はソフトウェアおよびハードウェアのリビジョンを定期的にリリースし ます。このマニュアルで説明されている機能の中には、現在使用中のソフトウェアまたはハードウェアの一部のバージョンではサ ポートされていないものもあります。製品のリリース ノートには、製品の機能に関する最新情報が記載されています。 製品が正常に機能しない、またはこのマニュアルの説明どおりに動作しない場合には、Dell EMC のテクニカル サポート プロフェ ッショナルにお問い合わせください。このマニュアルは、発行時点で正確なものとなっています。このマニュアルの最新バージョ ンを使用していることを確認するには、[https://www.dell.
2 本書で使用される用語 表 2.
3 導入モデル OpenManage Integration for VMware vCenter(OMIVV)は、VMware vCenter 環境の OVF として導入できます。 トピック: • • オープン仮想化フォーマット(OVF)の導入 セキュリティ プロファイル オープン仮想化フォーマット(OVF)の導入 VMware vSphere 仮想マシン環境がある場合は、OMIVV をオープン仮想化フォーマット(OVF)として導入することをお勧めしま す。 OVF 導入モデルには、事前構成済みのバンドルが含まれています。これには、OMIVV ソフトウェアと、OMIVV ソフトウェアを実 行する Linux オペレーティング システムが含まれています。 OVF 環境には、モニター対象システムとの OMIVV 通信要件に合わせて調整された事前構成済みのファイアウォールも含まれていま す。 OVF は、OVF テンプレート ファイルとともに導入されます。OVF として OMIVV を導入する方法の詳細については、[https:// www.dell.
4 製品およびサブシステムのセキュリティ トピック: • • • • • • • • • • • • セキュリティ制御マップ 認証 ログイン セキュリティ設定 認証の種類とセットアップに関する考慮事項 ユーザーおよび認証情報の管理 ネットワークセキュリティ データ セキュリティ 暗号化 監査とログ サービス化 OMIVV OS アップデート 製品コードの整合性 セキュリティ制御マップ OMIVV は iDRAC を使用して PowerEdge サーバーの導入、インベントリー、およびアップデートを実行し、iDRAC から SNMP トラ ップを受信します。 OMIVV のユーザー インターフェイスは、アプライアンスの管理 Web ページです。OMIVV プラグイン UI は VMware vCenter クライ アントから動作し、ホスト ハードウェアのモニタリングおよび管理機能を提供します。 すべてのシステム認証情報は、OMIVV セキュア ストレージ内に保存されます。 次の図は、OMIVV セキュリティ制御マップを示しています。 図 1.
認証 アクセス制御 アクセス制御の設定によって、不正アクセスからリソースを保護できます。OMIVV プラグイン ページは、VMware vCenter で構成 された適切な役割と権限を持つ VMware vCenter ユーザーによりアクセスできます。OMIVV 管理コンソールおよび RESTful API へ のアクセス権は、OMIVV アプライアンスの管理者アカウントに割り当てられます。 デフォルト ユーザー アカウント OMIVV には、次のデフォルト ユーザー アカウントが含まれています。 ● ローカルユーザーアカウント ● 読み取り専用ユーザー アカウント ● Root アカウント ローカルユーザーアカウント OMIVV には、デフォルトで単一のローカル管理者ユーザー アカウントがあります。この内部アカウントのユーザー名は admin です。 ローカル管理者は、Dell EMC OMIVV 管理コンソールでのみ、すべての操作にアクセスできます。 初めて OMIVV を導入するときに、パスワードの設定を求めるプロンプトが表示されます。画面の指示に従って、パスワードを設定 します。 読み取り専用ユ
ローカル ユーザー アカウントのロックアウト ローカル ユーザー アカウントへのログインの試行が 6 回連続で失敗すると、OMIVV は一時的に 1 分間ユーザーをロックアウトしま す。 自動セッション タイムアウト アイドル状態のブラウザー セッションのタイムアウト デフォルトでは、15 分間非アクティブ状態になった後、OMIVV セッションがタイムアウトになり、ユーザーは自動的にログアウト されます。 認証の種類とセットアップに関する考慮事項 vCenter ユーザー認証 OMIVV は、vCenter 操作を処理するプラグイン ページと RESTful API へのアクセスに対する、vCenter による認証に依存します。 vCenter の操作を処理するプラグイン ページと RESTful API には、登録時に vCenter で Dell EMC によって作成された権限が必要で す。 新しい vCenter サーバーの登録 前提条件 vCenter アカウントには、ユーザーを作成するために必要な権限が必要です。必要な権限の詳細については、「Administrator 以外の ユーザーに必要な
a. b. c. d. [vCenter ユーザー名]ボックスに、管理者のユーザー名または必要な権限のある管理者以外のユーザー名を入力します。 [パスワード]ボックスにパスワードを入力します。 [パスワードの確認]ボックスにパスワードを再度入力します。 [vSphere Lifecycle Manager の登録]チェック ボックスを選択します。 [vSphere Lifecycle Manager の登録]チェック ボックスを選択すると、vCenter 7.0 以降から vSphere Lifecycle Manager の機 能を使用できるようになります。 5.
Administrator 以外のユーザーに必要な権限 vCenter で OMIVV を登録する場合、管理者以外のユーザーには次の権限が必要です。 管理者以外のユーザーが OMIVV で vCenter サーバーを登録する際に、次の権限が設定されていないとメッセージが表示されます。 ● アラーム ○ アラームの作成 ○ アラームの変更 ○ アラームの削除 ● 拡張権限 ○ 登録の拡張権限 ○ 登録解除の拡張権限 ○ 更新の拡張権限 ● グローバル ○ タスクのキャンセル ○ ログイベント ○ 設定 ● 正常性アップデートプロバイダ ○ 登録 ○ 登録解除 ○ アップデート ● ホスト ○ CIM ■ CIM インタラクション ● Host.
既存の役割への Dell の権限の割り当て このタスクについて OMIVV の特定のページに、Dell の権限が割り当てられていないログイン ユーザーがアクセスした場合は、2000000 エラーが表示さ れます。 既存の役割を編集し、Dell の権限を割り当てることができます。 手順 1. 管理者権限で vSphere Client(HTML-5)にログインします。 2. vSphere Client(HTML-5)で、[メニュー]を展開し、[管理] > [役割]の順にクリックします。 3. [役割プロバイダー]ドロップダウン リストから、vCenter サーバーを選択します。 4. [役割]リストから[Dell 操作]を選択し、[権限]をクリックします。 5. Dell の権限を割り当てるには、編集アイコン( [役割の編集]ページが表示されます。 )をクリックします。 6. 左ペインで[Dell]をクリックし、選択した役割に対して次の Dell の権限を選択して[次へ]をクリックします。 ● ● ● ● ● Dell.Configuration Dell.Deploy — プロビジョニング Dell.
図 2. セキュリティエラーメッセージ アクセス制御認証、承諾、および役割 OpenManage Integration for VMware vCenter は、vCenter を操作するために、vSphere クライアントの現在のユーザー セッションと、 OpenManage Integration の保存された管理認証情報を使用します。OpenManage Integration for VMware vCenter は、vCenter サーバ ー内で設定された役割と権限モデルに基づいて、OpenManage Integration と vCenter 管理オブジェクト(ホストとクラスター)に対 するユーザー アクションを承認します。 Dell 操作役割 この役割には、ファームウェアアップデート、ハードウェアインベントリ、ホストの再起動、ホストをメンテナンスモードに設定、 vCenter サーバタスクの作成を含む、アプライアンスおよび vCenter サーバのタスクを実行する権限 / グループが含まれます。 この役割には次の特権グループが含まれます。 表 3.
● ● ● ● ● ● ○ vCenter タスクを作成。たとえば、ファームウェアアップデートタスク、ホスト設定タスク、およびインベントリタスク ○ vCenter タスクのステータス / 進捗状態をアップデート ○ ホストプロファイルを取得 ○ データセンターにホストを追加 ○ クラスタにホストを追加 ○ ホストにプロファイルを適用 ○ CIM 資格情報を取得 ○ コンプライアンスのためにホストを設定 ○ コンプライアンスタスクのステータスを取得 Dell.Inventory.Configure ReadOnly ○ 接続プロファイルの設定中に、すべての vCenter ホストを取得して vCenter ツリーを構築 ○ タブが選択されてるときにホストが Dell サーバかどうかをチェック ○ vCenter のアドレス / IP を取得 ○ ホストの IP / アドレスを取得 ○ vSphere クライアントセッション ID に基づいて現在の vCenter セッションユーザーを取得 ○ vCenter インベントリツリーを取得して、vCenter インベントリをツリー構造で表示 Dell.
表 4. プリロード済みアカウント ユーザーアカウント 説明 OpenManage Integration for VMware vCenter 管理者 OMIVV Web アプリケーション管理用デフォルト ユーザー。 読み取り専用ユーザー。 OMIVV には、デフォルトで単一のローカル読み取り専用ユーザ ー アカウントがあります。 管理者は、VM のリモート コンソールのみを使用して OMIVV に ログインできます。 このアカウントは、トラブルシューティング中に重要なアプラ イアンスのステータスとログを表示するために使用できます。 Linux オペレーティング システム root root 操作システム アカウントにはアクセスできません。テク ニカル サポート チームが、現場の問題をデバッグするために root アカウントを使用します。 デフォルト資格情報 次の表は、プリロードされた OMIVV アカウントのデフォルト認証情報についての説明です。 表 5.
6.
表 6. アウトバウンド ポート ポート番号 レイヤー 4 プロトコル サービス 464 TCP、UDP Kerberos 514 TCP、UDP rsh 587 TCP SMTP 636 TCP、UDP LDAPS 902 TCP VMware ESXi 2049 TCP、UDP NFS 2052 TCP、UDP mountd、clearvisn 3009 TCP Data Domain REST API 5672 TCP RabbitMQ over AMQP 8443 TCP MCSDK 8443 は 443 の代わりになります 9002 TCP Data Protection Advisor REST API 9443 TCP Avamar 管理コンソール Web サービス インバウンド ポート OMIVV への接続時にリモート システムが使用できるインバウンド ポート。 次の表にリストされているポートは、OMIVV インバウンド ポートです。 表 7.
証明書の管理 OMIVV は、セキュアな HTTP アクセス(HTTPS)に証明書を使用します。 デフォルトでは、OMIVV は、HTTPS のセキュアなトランザクションに自己署名証明書をインストールして使用します。 セキュリティを強化するために、認証局(CA)署名またはカスタム証明書を使用することをお勧めします。 自己署名証明書は、Web ブラウザーとサーバーの間で暗号化されたチャネルを確立するためには十分です。自己署名証明書を認証 に使用することはできません。 OMIVV の認証には、次のタイプの証明書を使用できます。 ● 自己署名証明書 OMIVV は、アプライアンスのホスト名が変更された時に自己署名証明書を生成します。 ● 信頼できる認証局(CA)ベンダーによって署名された証明書。 メモ: 証明書を作成する場合は、会社のポリシーを検討してください。 登録済み vCenter Server の証明書のアップデート このタスクについて OpenManage Integration for VMware vCenter は、OpenSSL API と 2,048 ビットキー長の RSA 暗号化標準を使用し
HTTPS 証明書のアップロード 前提条件 証明書が PEM フォーマットを使用していることを確認してください。 このタスクについて HTTPS 証明書は、OMIVV アプライアンスとホスト システムまたは vCenter のセキュアな通信に使用できます。このタイプのセキ ュアな通信を設定するには、CSR 証明書を署名責任者に送信してから、管理者コンソールを使用してその CSR をアップロードしま す。また、自己署名によるデフォルト証明書もあり、セキュア通信に使用できます。この証明書は各インストール固有のものです。 手順 1. [[アプライアンス管理]]ページで、[[HTTPS 証明書]]領域の[[証明書のアップロード]]をクリックします。 2. [[証明書のアップロード]]ダイアログ ボックスで[[OK]]をクリックします。 3.
[[トラブルシューティング バンドル]]ダイアログボックスが表示されます。 2. [[トラブルシューティング バンドル]]ダイアログ ボックスで[[作成]]をクリックします。 ログのサイズによっては、バンドルの作成に時間がかかる場合があります。 3. ファイルを保存するには、[[ダウンロード]]をクリックします。 Dell EMC OMIVV 管理コンソールのログイン ページが表示されます。 4. Dell EMC OMIVV 管理コンソールにログインします。 5. トラブルシューティング バンドルをダウンロードします。詳細については、次を参照してください:トラブルシューティング バ ンドルの生成とダウンロード 、p. 23 トラブルシューティング バンドルの生成とダウンロード 前提条件 トラブルシューティング バンドルを生成するには、管理者ポータルにログインしていることを確認してください。 このタスクについて トラブルシューティング バンドルには、問題の解決やテクニカル サポートへの送信に役立つ OMIVV のログ情報が含まれています。 手順 1.
5 その他の構成と管理 トピック: • • • OpenManage Integration for VMware vCenter(OMIVV)のライセンス 信頼性と整合性の保護 OMIVV でのバックアップおよび復元の管理 OpenManage Integration for VMware vCenter(OMIVV) のライセンス OMIVV には、次の 2 種類のライセンスがあります。 ● 評価ライセンス — OMIVV アプライアンスの初回電源投入時に、自動的にインストールされます。評価バージョンには、OMIVV で 5 つのホスト(サーバー)を管理することを可能にする評価ライセンスが含まれています。この 90 日間評価バージョンは、 出荷時に提供されるデフォルトのライセンスです。 ● 標準ライセンス:OMIVV が管理するホストライセンスは、任意の数で購入できます。このライセンスには、製品サポートと OMIVV アプライアンスのアップデートも含まれています。標準ライセンスは 3 年または 5 年間利用できます。追加のライセン スを購入すると、既存のライセンス期間が延長されます。標準ライセンスは、
OMIVV でのバックアップおよび復元の管理 災害シナリオから OMIVV を保護するために、OMIVV のバックアップを実行することをお勧めします。必要に応じて、これらのバ ックアップから OMIVV を復元することができます。バックアップと復元の詳細については、 [https://www.dell.
