Oracle® ILOM - Sicherheitshandbuch - Firmwarereleases 3.0, 3.1 und 3.2

Druckansicht beenden

Aktualisiert: Oktober 2015
 
 

Aktivieren des FIPS-Modus beim Deployment


Hinweis - Der FIPS-Konformitätsmodus in Oracle ILOM wird durch die Eigenschaften "State" und "Status" angegeben. Die Zustandseigenschaft steht für den konfigurierten Modus in Oracle ILOM und die Statuseigenschaft für den Betriebsmodus in Oracle ILOM. Wenn die Eigenschaft "FIPS State" geändert wird, wirkt sich diese Änderung bis zum nächsten Neustart von Oracle ILOM nicht auf den Betriebsmodus (Eigenschaft "FIPS Status") aus.

Bevor Sie beginnen

  • Die Eigenschaften zum FIPS-Zustand und -Status sind standardmäßig deaktiviert.

  • Wenn FIPS aktiviert ist (konfiguriert und betriebsfähig), werden einige Funktionen in Oracle ILOM nicht unterstützt. Eine Liste der nicht unterstützten Funktionen bei aktiviertem FIPS finden Sie unter Tabelle 3.

  • Die Rolle Admin (a) ist erforderlich, um die FIPS-Zustandseigenschaft zu ändern.

  • Die konfigurierbare Eigenschaft für die FIPS-Konformität ist ab Firmwarerelease 3.2.4 in Oracle ILOM verfügbar. In älteren Firmwarereleases als 3.2.4 gibt es in Oracle ILOM keine konfigurierbare Eigenschaft für die FIPS-Konformität.

  • Alle benutzerdefinierten Konfigurationseinstellungen werden auf ihre Standardeinstellungen zurückgesetzt, wenn die Zustands- und die Statuseigenschaft des FIPS-Modus in Oracle ILOM geändert werden.

  1. Klicken Sie in der Oracle ILOM-Webbenutzeroberfläche auf "ILOM Administration" -> "Management Access" -> "FIPS".
  2. Führen Sie auf der FIPS-Seite folgende Aktionen aus:
    1. Aktivieren Sie das Kontrollkästchen "FIPS State", um die konfigurierte FIPS-Eigenschaft zu aktiveren.
    2. Klicken Sie auf "Save", um die Änderung anzuwenden.

    Zusätzliche Konfigurationsdetails erhalten Sie, indem Sie auf der FIPS-Webseite auf den Link More details.... klicken.

  3. Um den FIPS-Betriebsmodusstatus in Oracle ILOM zu ändern, führen Sie die folgenden Schritte aus, um Oracle ILOM neu zu starten.
    1. Klicken Sie in der Webbenutzeroberfläche auf "ILOM Administration" -> "Maintenance" -> "SP Reset".
    2. Klicken Sie auf der Seite "SP Reset" auf die Schaltfläche "SP Reset".

    Nach dem Neustart von Oracle ILOM wird Folgendes ausgeführt:

    • Der letzte konfigurierte FIPS-Zustand (aktiviert) wird auf das System angewendet.

    • Alle benutzerdefinierten Konfigurationseinstellungen, die zuvor in Oracle ILOM konfiguriert waren, werden auf ihre werkseitigen Standardwerte zurückgesetzt.

    • Die Eigenschaft "FIPS Status" wird aktualisiert, um den derzeit aktivierten Betriebszustand in Oracle ILOM widerzuspiegeln.

      Eine vollständige Liste und Beschreibung der FIPS-Statusmeldungen erhalten Sie, indem Sie auf der FIPS-Seite auf den Link More details klicken.

    • Ein FIPS-Schildsymbol wird im Titelbereich der Webbenutzeroberfläche angezeigt.

    • Alle nicht unterstützten FIPS-Funktionen werden entweder deaktiviert oder aus der CLI und Webbenutzeroberfläche entfernt.

      Eine vollständige Liste und Beschreibung der nicht unterstützten FIPS-Funktionen erhalten Sie, indem Sie auf der FIPS-Seite auf den Link More details klicken.

Zusätzliche Informationen

Nicht unterstützte Funktionen bei aktiviertem FIPS-Modus

Wenn Sie die FIPS-Konformität in Oracle ILOM aktivieren, werden die folgenden nicht kompatiblen FIPS 140-2-Funktionen in Oracle ILOM nicht unterstützt.

Tabelle 3  Nicht unterstützte Funktionen Oracle ILOM bei aktiviertem FIPS-Modus
Nicht unterstützte Funktion im FIPS-Modus
Beschreibung
IPMI 1.5
Wenn der FIPS-Modus aktiviert ist und im System ausgeführt wird, wird die IPMI 1.5-Konfigurationseigenschaft von der Oracle ILOM-CLI und -Webbenutzeroberfläche entfernt. Der IPMI 2.0-Service wird automatisch in Oracle ILOM aktiviert. IPMI 2.0 unterstützt sowohl FIPS-konforme als auch nicht konforme Modi.
Firmware-Kompatibilität für Remotekonsole des Oracle ILOM-Systems
Im FIPS-Modus in Oracle ILOM sind die früheren Firmware-Versionen von Oracle ILOM Remote System Console nicht mit den späteren Firmware-Versionen von Oracle ILOM Remote System Console kompatibel.
Beispiel: Die Firmware-Version 3.2.4 des Oracle ILOM Remote System Console-Clients ist mit der Firmware-Version 3.2.3 und früheren Versionen von Oracle ILOM Remote System Console abwärtskompatibel. Die Firmware-Version 3.2.2 und frühere Versionen des Oracle ILOM Remote System Console-Clients sind allerdings nicht mit der Firmware-Version 3.2.4 und höher von Oracle ILOM Remote System Console aufwärtskompatibel.

Hinweis - Diese Einschränkung der Firmware-Kompatibilität gilt nicht für Oracle ILOM Remote System Console Plus. Oracle ILOM Remote System Console Plus wird auf neueren Serviceprozessorsystemen, wie SPARC T5 und späteren Systemen und/oder Oracle Server x4-4, x4-8 und späteren Systemen, bereitgestellt. Oracle ILOM Remote System Console wird auf älteren Serviceprozessorsystemen, wie SPARC T3 und T4 und Sun Server x4-2/2L/2B und früheren Systemen, bereitgestellt.

LDAP (Lightweight Directory Access Protocol)
Wenn der FIPS-Modus aktiviert ist und im System ausgeführt wird, werden die LDAP-Konfigurationseigenschaften in Oracle ILOM automatisch von der Oracle ILOM-CLI und -Webbenutzeroberfläche entfernt.

Hinweis - Die folgenden Remote-Authentifizierungsservices werden sowohl in FIPS-konformen als auch in nicht konformen Modi unterstützt: Active Directory und LDAP/SSL.

RADIUS (Remote Authentication Dial-In User Service)
Wenn der FIPS-Modus aktiviert ist und im System ausgeführt wird, werden die RADIUS-Konfigurationseigenschaften in Oracle ILOM automatisch von der Oracle ILOM-CLI und -Webbenutzeroberfläche entfernt.

Hinweis - Die folgenden Remote-Authentifizierungsservices werden sowohl in FIPS-konformen als auch in nicht konformen Modi unterstützt: Active Directory und LDAP/SSL.

SNMP (Simple Network Management Protocol) DES und MD5
Wenn der FIPS-Modus aktiviert ist und im System ausgeführt wird, werden die SNMP-Konfigurationseigenschaften für das DES-Datenschutzprotokoll und das MD5-Authentifizierungsprotokoll nicht in der Oracle ILOM-CLI und -Webbenutzeroberfläche unterstützt.