Users Guide

Dell OpenManage Server Administrator 是当前的 Dell 服务器工具软件，使用可在自定义安装期间配置的 SNMP 和 CIM 协议。



CIM 监控、DCOM 和 Windows 验证

使用 DCOM 安全的 CIM 协议可以利用 Windows 质询/响应（用户名/密码）验证。此外，通过在每个所配置 IT Assistant 查找范围中指定的域/用户名/密码帐户建立与 Managed

System 的通信。这些帐户的格式为

<域名>\<用户名> 或 localhost\<用户名>。



安全和 SNMP 协议

您可以执行多个操作，使用 SNMP 协议进一步提高环境的安全性。尽管以下实例适用于 Microsoft Windows 操作系统，对于 Red Hat Enterprise Linux 和 SUSE Linux Enterprise

Server 操作系统也可以执行类似的步骤。默认情况下，安装 SNMP 时，团体名称设为 public。此字符串应像密码一样处理，并且在选择中应使用类似的规则－字符串足够长，不容易猜

中，并且最好由字母和数字混合而成。在 Windows 操作系统中，可以通过 SNMP 服务"Property"（属性）对话框的"Security"（安全）选项卡配置 SNMP 团体名称。

作为辅助预防措施，SNMP 还应设为"Read Only"（只读），以防止未授权配置和控制操作。这可以通过在安装 Server Administrator 时使用 snmpsets=no 选项强制实现。也仍然

可以通过 Server Administrator 的用户界面或命令行界面 (CLI) 进行更改。此外，还可以将 SNMP 服务配置为仅从特定服务器（此时为运行 IT Assistant 的系统）接受请求。这还可

以在前面提到的 Windows "Security"（安全）选项卡上进行配置，方法是选择标记为"Accept SNMP packets from these hosts"（接受来自这些主机的 SNMP 数据包）的单

选按钮，然后单击"Add"（添加）以输入运行 IT Assistant 的系统的 IP 地址或名称。有关详情，请参阅操作系统的说明文件。

作为最终的安全步骤，Server Administrator 应配置为拒绝访问用户和可能的高级用户帐户，从而限制为只能对管理员帐户进行访问。这可以通过选择 Server Administrator 顶部导航栏

中的"Preference"（首选项），然后取消选中"User Access"（用户访问）框来实现。

请参阅 Dell 支持网站 support.dell.com/manuals 上的

《

Dell OpenManage Server Administrator

命令行界面用户指南》

了解详情。

总之，要按照此处介绍的安全措施成功安全地管理服务器，系统管理员应遵守以下最佳做法：

l 确保操作系统是最新的，并且具有最新的操作系统安全修补程序。

l 采用不容易猜中的 SNMP 团体名称。

l 将 SNMP 配置为"Read Only"（只读），以便将配置、更新和高级控制仅限于 Server Administrator。

l 配置 SNMP 以便仅从运行 IT Assistant 的系统的 IP 地址接受请求。

l 使用 Group Policies in Active Directory 等工具强制采用所有要管理服务器的 SNMP 设置。

l 将 Server Administrator 配置为拒绝用户级访问。



在使用 IT Assistant 时确保数据库安全

如果在安装 IT Assistant 时未检测到 Microsoft SQL Server 数据库，则该进程将安装 SQL Server 2005 Express Edition SP2 的副本，它设置为仅限于信任或 Windows 的验证

模式。但是，可能以前已安装 MSDE 或 SQL Server 的其它应用程序，包括 IT Assistant 的以前版本，往往会选择 SQL 的验证模式或混合模式，它允许 SQL Server 管理自己的用户

ID 和密码。在 IT Assistant 的早期版本中，高级用户帐户密码设置为 null 或 dell。至少，通过将这些密码更改为符合上述最佳做法要求的字符串，可以降低网络入侵的可能性。较好的

一种选择是将数据库验证模式更改为仅限于信任或 Windows。

在防火墙后面运行 IT Assistant

图 11-1 显示了 IT Assistant 和所管理系统驻留在防火墙后面的典型安装。防火墙将所保护网络和外界之间在指定端口上的通信隔断，而与此同时仍然允许管理员与 IT Assistant 和

Managed System 自由通信。

在防火墙后面环境中运行 IT Assistant 的系统的典型安全包括：

l 使用信任的帐户，而不是数据库的指定或混合帐户。

l 将用户界面连接限制到已知系统。

图 11-1.防火墙后面的典型安装

注：可以使用 dcomcnfg.exe、wmimgmt.msc 和 wbemcntl 等公用程序更改 WMI 安全性。但是，由于可能存在不希望的负面效果，建议不要通过这些方法实现更改。有关

详情，请参阅 Microsoft 网站。

注：即使在仅使用 CIM 进行监控的环境中，通常也启用 SNMP，因为 Server Administrator 仅使用 SNMP 陷阱提供错误通知。

注：为确保正确配置所有系统，建议您使用 Group Policies in Active Directory 等工具强制执行这些 SNMP 设置。

注：您还可以使用 Server Administrator CLI 命令 omconfig preferences useraccess enable= admin 限制用户访问。