尽管 Oracle ILOM 支持使用 IPMI v1.5 和 v2.0 进行远程管理,但是系统管理员应始终使用 IPMI v2.0 -I lanplus 界面安全地管理 Oracle 服务器。自 IPMI 版本 2.0 开始,-I lanplus 界面提供增强的验证和数据完整性检查。
自固件发行版 3.2.4 起,Oracle ILOM 提供了用于启用或禁用 IPMI v1.5 会话的可配置属性。为了实现高安全性,IPMI v1.5 属性默认处于禁用状态。当禁用 IPMI v1.5 属性时,会禁止(阻止)所有 IPMI v1.5 会话连接到 Oracle ILOM。
请参阅以下过程以查看或修改 IPMI 服务的 State 属性,或可配置的 IPMI v1.5 属性,该属性自固件发行版 3.2.4 开始提供。
开始之前
需要具有 Admin (a) 角色才能在 Oracle ILOM 中修改 IPMI 属性。
默认情况下启用 IPMI 服务的 State 属性。使用之前,必须在 Oracle ILOM 中使用正确的基于角色的特权 (Administrator, Operator) 配置用户帐户,才能执行 IPMI 管理功能。
对于运行 Oracle ILOM 固件 3.2.4 或更高版本的 SP,支持 IPMI v2.0 管理会话,但默认情况下不支持 IPMI v1.5 管理会话。IPMI v1.5 属性在 Oracle ILOM 中可以配置。
对于运行 Oracle ILOM 固件 3.2.3 或更低发行版的 SP,Oracle ILOM 支持 IPMI v2.0 和 v1.5 管理会话。IPMI v1.5 属性在 Oracle ILOM 中不可配置。
例如,在以下界面中:
有关更多的 IPMI 配置说明,请参阅下面“相关信息”部分列出的相应文档。
《Oracle ILOM 协议管理参考(适用于 SNMP 和 IPMI)(固件 3.2.x)》中的“使用 IPMI 进行服务器管理”
《Oracle ILOM 3.1 SNMP、IPMI、CIM、WS-MAN 协议管理参考》中的“使用 IPMI 进行服务器管理”
《Oracle ILOM 3.0 SNMP、IPMI、CIM、WS-MAN 协议管理参考》中的“使用 IPMI 进行服务器管理”
为了确保建立的 IPMI 系统管理会话是安全的并且不易受到网络攻击,系统管理员应该:
切勿使用 IPMI 版本 1.5 建立 IPMI 远程管理会话(-I lan IPMItool 界面)。使用命令行实用程序(例如 IPMItool)时,应明确使用 IPMI 版本 2.0(-I lanplus IPMItool 界面)。
定期更改 IPMI 密码。确保正确管理 Oracle ILOM 用户帐户的生命周期。
有关更多详细信息,请参见Securing Oracle ILOM User Access。
限制从外部进行网络访问。使用专用的以太网管理通道与 Oracle ILOM 进行通信。
有关更多详细信息,请参见Securing the Physical Management Connection。
与 IT 安全专员合作,围绕服务器管理和 IPMI 安全制定一组最佳做法和策略。
密码组为 IPMI 版本 2.0 中的验证、机密性和完整性检查提供支持。这些密码组使用 RMCP+ 验证密钥交换协议,如 IPMI 2.0 规范中所述。
Oracle ILOM 支持使用以下密码组密钥算法在客户机和服务器之间建立安全的 IPMI 2.0 会话。
密码组 2-密码组 2 使用验证和完整性算法。
密码组 3-密码组 3 使用全部三种算法,即验证、机密性和完整性算法。