Oracle Key Manager unterstützt das Oracle Hardware Management Pack (HMP) auf SPARC T7-1, Netra SPARC T4-1 und Sun Fire X4170 M2 KMAs. Das HMP-Produkt ist Teil von Oracle Single System Management zusammen mit ILOM. Ein Sicherheitsbeauftragter kann veranlassen, dass das HMP in einer KMA einen Management-Agent in Solaris verwendet, um die In-Band-Überwachung der KMA über SNMP zu aktivieren. Die HMP-Software ist vorinstalliert, ist jedoch bei der SNMP-Agent-Konfiguration deaktiviert. Somit ist der Listener-Port des SNMP-Agent erst geöffnet, wenn das HMP aktiviert ist. Das HMP ist standardmäßig deaktiviert.
Die Aktivierung von HMP bietet folgende Möglichkeiten:
Ereignisbenachrichtigung bei Hardwareproblemen, bevor sie als Oracle Key Manager-spezifische SNMP-Benachrichtigungen oder als KMA-Ausfall angezeigt werden.
Aktivierung von HMP auf einigen, oder allen, unterstützten KMAs in einem OKM-Cluster.
Verwendung von schreibgeschützten SNMP-Get-Vorgängen für SNMP-MIBS in der KMA, einschließlich MIB-II, SUN-HW-MONITORING-MIB und SUN-STORAGE-MIB.
Oracle Red Stack-Integration mit Oracle Enterprise Manager über SNMP-Receivelets und SNMP-Fetchlets.
Wenn Sie HMP in einer KMA aktivieren, sollten Sie folgende Sicherheitsaspekte berücksichtigen. Wenn HMP aktiviert ist, beachten Sie Folgendes:
HPM nutzt aktivierte SNMP-Manager mit v2c-Protokoll, die im Oracle Key Manager-Cluster konfiguriert sind. Das SNMP v2c-Protokoll verfügt nicht über die Sicherheitserweiterungen des SNMP v3-Protokolls.
Es aktiviert einen SNMP-Management-Agent in der KMA, sodass schreibgeschützter Netzwerkzugriff auf SNMP-MIB-Informationen in dieser KMA möglich ist.
Sicherheitsrisiken, die in Oracle Hardware Management Pack (HMP) - Sicherheitshandbuch (http://docs.oracle.com/cd/E20451_01/pdf/E27799.pdf) aufgeführt werden, werden gemindert durch:
"Systemmanagementprodukte können verwendet werden, um eine bootfähige Root-Umgebung anzufordern" - Die Härtung der KMAs deaktiviert den Root-Zugriff auf Benutzer des Systems. SNMP ist für den schreibgeschützten Zugriff konfiguriert. Deshalb werden SNMP-Put-Vorgänge abgelehnt.
"Systemmanagementprodukte umfassen leistungsfähige Tools, für deren Ausführung Administrator- oder Root-Berechtigungen erforderlich sind" - Root-Zugriff auf KMAs ist deaktiviert. Deshalb können Systembenutzer diese Tools nicht ausführen.