Users Guide
确保 Dell OpenManage IT Assistant 的安全安装
179
CIM 监控、 DCOM 和 Windows 验证
使用 DCOM 安全的 CIM 协议可以利用 Windows 质询 / 响应 (用户名 /
密码)验证。此外,通过在每个所配置 IT Assistant 查找范围中指定的域 /
用户名 / 密码帐户建立与 Managed System 的通信。这些帐户的格式为
< 域名 >\< 用户名 > 或 localhost\< 用户名 >。
注 :
可以使用 dcomcnfg.exe、 wmimgmt.msc 和 wbemcntl 等公用程序更改
WMI 安全性。但是,由于可能存在不希望的负面效果,建议不要通过这些
方法实现更改。有关详情,请参阅 Microsoft 网站。
注 :
即使在仅使用 CIM 进行监控的环境中,通常也启用 SNMP,因为 Server
Administrator 仅使用 SNMP 陷阱提供错误通知。
安全和 SNMP 协议
您可以执行多个操作,使用 SNMP 协议进一步提高环境的安全性。尽管
以下实例适用于 Microsoft Windows 操作系统,对于 Red Hat Enterprise
Linux 和 SUSE Linux Enterprise Server 操作系统也可以执行类似的步骤。
默认情况下,安装 SNMP 时,团体名称设为 public。此字符串应像密码
一样处理,并且在选择中应使用类似的规则 - 字符串足够长,不容易猜
中,并且最好由字母和数字混合而成。在 Windows 操作系统中,可以通
过 SNMP 服务 “Property”(属性)对话框的 “Security”(安全)选项
卡配置 SNMP 团体名称。
作为辅助预防措施, SNMP 还应设为 “Read Only”(只读),以防止未
授权配置和控制操作。这可以通过在安装 Server Administrator 时使用
snmpsets=no 选项强制实现。也仍然可以通过 Server Administrator 的用
户界面或命令行界面 (CLI) 进行更改。此外,还可以将 SNMP 服务配置
为仅从特定服务器 (此时为运行 IT Assistant 的系统)接受请求。这还可
以在前面提到的 Windows “Security”(安全)选项卡上进行配置,方法
是选择标记为 “Accept SNMP packets from these hosts”(接受来自这些
主机的 SNMP 数据包)的单选按钮,然后单击 “Add”(添加)以输入运
行 IT Assistant 的系统的 IP
地址或名称。有关详情,请参阅操作系统的说
明文件。
注 :
为确保正确配置所有系统,建议您使用 Group Policies in Active Directory
等工具强制执行这些 SNMP 设置。
作为最终的安全步骤, Server Administrator 应配置为拒绝访问用户和可能
的高级用户帐户,从而限制为只能对管理员帐户进行访问。这可以通过选
择 Server Administrator 顶部导航栏中的 “Preference”(首选项), 然后取
消选中 “User Access”(用户访问)框来实现。