雖然 Oracle ILOM 支援 IPMI v1.5 與 v2.0 來進行遠端管理,但是系統管理員應一律使用 IPMI v2.0 -I lanplus 介面以安全地管理 Oracle 伺服器。IPMI 2.0 版的 -I lanplus 介面提供增強的認證與資料整合檢查。
自韌體發行版本 3.2.4 起,Oracle ILOM 提供可配置的特性以啟用或停用 IPMI v1.5 階段作業。為獲得高安全性,IPMI v1.5 特性預設為停用。當 IPMI v1.5 特性停用時,會禁止 (封鎖) Oracle ILOM 的所有 IPMI v1.5 階段作業連線。
請參閱下列程序以檢視或修改 IPMI 特性服務「State (狀況)」,或是自韌體發行版本 3.2.4 起提供的可配置 IPMI v1.5 特性。
開始之前
在 Oracle ILOM 中,需具備 Admin (a) 角色才能修改 IPMI 特性。
IPMI 服務「State (狀況)」特性預設為啟用。使用之前,Oracle ILOM 中的使用者帳戶必須設定適當、以角色為基礎的權限 (管理員、操作員) 才能執行 IPMI 管理功能。
對於執行 Oracle ILOM 韌體 3.2.4 或更新版本的 SP,可支援 IPMI v2.0 管理階段作業,但預設不支援 IPMI v1.5 管理階段作業。在 Oracle ILOM 中可配置 IPMI v1.5 特性。
對於執行 Oracle ILOM 韌體發行版本 3.2.3 或更舊版本的 SP,Oracle ILOM 可支援 IPMI v2.0 與 v1.5 管理階段作業。在 Oracle ILOM 中無法配置 IPMI v1.5 特性。
例如,在:
如需其他 IPMI 配置指示,請參閱下方的「相關資訊」一節中列出的適當文件。
Oracle ILOM Protocol Management Reference for SNMP and IPMI (Firmware 3.2.x) 中的 "Server Management Using IPMI"
Oracle ILOM 3.1 SNMP, IPMI, CIM, WS-MAN Protocol Management Reference 中的 "Server Management Using IPMI"
Oracle ILOM 3.0 SNMP, IPMI, CIM, WS-MAN Protocol Management Reference 中的 "Server Management Using IPMI"
為確保建立的 IPMI 系統管理階段作業安全且不易受到網路攻擊,系統管理員應該:
勿使用 IPMI 1.5 版 (-I lan IPMItool 介面) 來建立 IPMI 遠端管理階段作業。使用命令行公用程式 (例如 IPMItool (-I lanplus IPMItool 介面)) 時,應明確使用 IPMI 2.0 版。
定期變更您的 IPMI 密碼。確定 Oracle ILOM 使用者帳戶的生命週期受到適當的管理。
如需進一步的詳細資訊,請參閱Securing Oracle ILOM User Access。
限制來自外部的網路存取。使用專用的乙太網路管理通道與 Oracle ILOM 通訊。
如需進一步的詳細資訊,請參閱Securing the Physical Management Connection。
與您的 IT 安全人員合作,針對伺服器管理與 IPMI 安全建立一組最佳措施與原則。
IPMI 2.0 版中的認證、機密及完整性檢查是透過加密方法套件來支援。依據 IPMI 2.0 規格中的描述,這些加密方法套件是使用 RMCP+ 認證金鑰交換協定。
Oracle ILOM 支援下列加密方法套件金鑰演算法,在從屬端與伺服器之間建立安全的 IPMI 2.0 階段作業。
Cipher Suite 2 – Cipher Suite 2 使用認證與完整性演算法。
Cipher Suite 3 – Cipher Suite 3 使用認證、機密及完整性三種演算法。