Oracle® ILOM セキュリティーガイドファームウェア Release 3.0、3.1 および 3.2

印刷ビューの終了

 
更新: 2015 年 10 月
 
 

拡張認証とパケット暗号化に IPMI v2.0 を使用する

Oracle ILOM はリモート管理で IPMI v1.5 と v2.0 の両方がサポートされますが、Oracle サーバーを安全に管理するため、システム管理者は常に IPMI v2.0 -I lanplus インタフェースを使用する必要があります。IPMI バージョン 2.0 の時点で、-I lanplus インタフェースは、拡張された認証チェックとデータ統合チェックを提供します。

ファームウェアリリース 3.2.4 以降、Oracle ILOM には IPMI v1.5 セッションの有効化と無効化のための構成可能プロパティーが用意されています。高いセキュリティーを確保するため、デフォルトで IPMI v1.5 プロパティーは無効にされています。IPMI v1.5 プロパティーを無効にすると、Oracle ILOM へのすべての IPMI v1.5 セッション接続が拒否されます (ブロックされます)。

IPMI プロパティーサービスの State または、構成可能な IPMI v1.5 プロパティー (ファームウェアリリース 3.2.4 以降で利用可能) を表示または変更するには、次の手順を参照してください。

始める前に

  • Oracle ILOM で IPMI プロパティーを変更するには Admin (a) の役割が必要です。

  • IPMI サービスの State プロパティーはデフォルトで有効になっています。使用前に、IPMI 管理機能を実行できる適切な役割ベース権限 (Administrator、Operator) を持つユーザーアカウントを Oracle ILOM で構成しておく必要があります。

  • Oracle ILOM ファームウェア 3.2.4 以降を実行している SP では、IPMI v2.0 管理セッションはサポートされていますが、IPMI v1.5 管理セッションはデフォルトでサポートされません。IPMI v1.5 プロパティーは Oracle ILOM で構成可能です。

    注 - Oracle ILOM で IPMI v1.5 セッションを無効にしている場合、IPMItool を使用するユーザーは IPMI 2.0 -I lanplus オプションを使用する必要があります。

  • Oracle ILOM ファームウェアリリース 3.2.3 以前を実行している SP では、IPMI v2.0 および v1.5 管理セッションが Oracle ILOM でサポートされます。IPMI v1.5 プロパティーは Oracle ILOM で構成できません。

    注 - IPMI v1.5 セッションは拡張認証とパケット暗号化をサポートしていません。拡張認証と IPMI パケット暗号化を使用するには、IPMI v2.0 を使用する必要があります。
  1. Oracle ILOM Web インタフェースで「IPMI」ページに移動します。

    たとえば:

    • 3.0.x Web インタフェースで、「Configuration」->「System Management Access」->「IPMI」をクリックします。
    • 3.1 以降の Web インタフェースで、「ILOM Administration」->「Management Access」->「IPMI」をクリックします。
  2. 「IPMI」ページで、適切な IPMI プロパティーを表示または構成し、「Save」をクリックして変更を適用します。

    IPMI 構成の詳細な手順については、次の「関連情報」セクションに記載されている適切なドキュメントを参照してください。

関連情報

  • 「IPMI を使用したサーバー管理」、『Oracle ILOM SNMP および IPMI 用プロトコル管理リファレンス (ファームウェア 3.2.x)

  • 「IPMI を使用したサーバー管理」、『Oracle ILOM 3.1 SNMP、IPMI、CIM、WS-MAN プロトコル管理リファレンスガイド

  • 「IPMI を使用したサーバー管理」、『Oracle ILOM 3.0 管理プロトコルリファレンスガイド SNMP、IPMI、WS-MAN、CIM

  • IPMI Security Guidelines and Best Practices

  • IPMI 2.0 Authentication Cypher Suite Support

IPMI のセキュリティーガイドラインとベストプラクティス

確立された IPMI システム管理セッションをセキュアなものにし、サイバー攻撃に対する脆弱性をなくすには、システム管理者は次のことを行うべきです。

  • 決して IPMI Version 1.5 (-I lan IPMItool インタフェース) を使用して IPMI リモート管理セッションを確立しないでください。IPMItool (-I lanplus IPMItool インタフェース) などのコマンド行ユーティリティーを使用している場合は、明示的に IPMI バージョン 2.0 を使用するようにしてください。

  • IPMI パスワードを定期的に変更します。Oracle ILOM ユーザーアカウントのライフサイクルは適切に管理してください。

    詳細は、Securing Oracle ILOM User Accessを参照してください。

  • 外部からのネットワークアクセスを制限します。専用の Ethernet 管理チャネルを使用して、Oracle ILOM と通信します。

    詳細は、Securing the Physical Management Connectionを参照してください。

  • IT セキュリティー責任者と協力して、サーバー管理と IPMI セキュリティーに関する一連のベストプラクティスとポリシーを作成します。

IPMI 2.0 認証の暗号スイートのサポート

IPMI Version 2.0 での認証チェック、機密性チェック、および整合性チェックは、暗号スイートによってサポートされます。これらの暗号スイートは、IPMI 2.0 仕様で説明されている RMCP+ 認証済み鍵交換プロトコルを使用します。

Oracle ILOM は、クライアントとサーバーとの間のセキュアな IPMI 2.0 セッションを確立するために、次の暗号スイート鍵アルゴリズムをサポートします。

  • 暗号スイート 2 – 暗号スイート 2 は、認証と整合性の両方のアルゴリズムを使用します。

  • 暗号スイート 3 – 暗号スイート 3 は、認証、機密性、および整合性の 3 つのアルゴリズムすべてを使用します。

    注 - すべての IPMI 2.0 トラフィックが確実に暗号化されるように、Oracle ILOM は、IPMI 2.0 暗号タイプ 0 (非暗号化操作モード) のサポートを実装していません。
Copyright © 2012, 2015, Oracle and/or its affiliates. All rights reserved.  著作権について
前へ
次へ