Dell OpenManage Integration for VMware vCenter software Guide de référence
Ajouter à Mes manuels25 Des pages
▼
Scroll to page 2
of
25
OpenManage Integration pour VMware vCente r version 5.2 Guide de configuration de la sécurité October 2020 Rév. A00 Remarques, précautions et avertissements REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit. PRÉCAUTION : ATTENTION vous avertit d’un risque de dommage matériel ou de perte de données et vous indique comment éviter le problème. AVERTISSEMENT : un AVERTISSEMENT signale un risque d’endommagement du matériel, de blessure corporelle, voire de décès. © 2010 - 2020 Dell Inc. ou ses filiales. Tous droits réservés. Dell, EMC et les autres marques commerciales mentionnées sont des marques de Dell Inc. ou de ses filiales. Les autres marques peuvent être des marques commerciales de leurs propriétaires respectifs. Table des matières Figures.......................................................................................................................................... 5 Tableaux........................................................................................................................................ 6 Chapitre 1: PRÉFACE...................................................................................................................... 7 Chapitre 2: Modèles de déploiement................................................................................................. 8 Déploiement de OVF (Open Virtualization Format).......................................................................................................... 8 Profils de sécurité.................................................................................................................................................................. 8 Chapitre 3: Sécurité des produits et des sous-systèmes.....................................................................9 Mappage des contrôles de sécurité.................................................................................................................................... 9 Authentification.................................................................................................................................................................... 10 Contrôle d'accès.............................................................................................................................................................10 Comptes d’utilisateur par défaut..................................................................................................................................10 Paramètres de sécurité de connexion............................................................................................................................... 10 Échec du comportement de la connexion...................................................................................................................10 Verrouillage du compte d’utilisateur local.....................................................................................................................11 Délai d’expiration automatique de la session................................................................................................................11 Considérations relatives à la configuration et aux types d’authentification.................................................................. 11 Authentification des utilisateurs vCenter..................................................................................................................... 11 Enregistrement d’un nouveau serveur vCenter.......................................................................................................... 11 Enregistrement d’un serveur vCenter à l’aide d’un compte non-administrateur................................................... 12 Privilèges requis pour les utilisateurs non administrateurs........................................................................................ 13 Attribution de privilèges Dell à un rôle existant...........................................................................................................14 Sécurité des utilisateurs vCenter................................................................................................................................. 14 Gestion des utilisateurs et des informations d’identification...........................................................................................17 Comptes préchargés......................................................................................................................................................17 Références par défaut................................................................................................................................................... 17 Gestion des informations d’identification.................................................................................................................... 18 Autorisation..................................................................................................................................................................... 18 Sécurité du réseau............................................................................................................................................................... 18 Exposition du réseau...................................................................................................................................................... 18 Ports sortants................................................................................................................................................................. 19 Ports entrants.................................................................................................................................................................19 Sécurité des données..........................................................................................................................................................20 Chiffrement..........................................................................................................................................................................20 Gestion des certificats.................................................................................................................................................. 20 Audit et journalisation..........................................................................................................................................................22 Création et téléchargement d’un lot de dépannage..................................................................................................22 Facilité de maintenance...................................................................................................................................................... 22 Correctifs de sécurité....................................................................................................................................................22 Mise à jour du système d’exploitation OMIVV................................................................................................................. 22 Intégrité du code de produit...............................................................................................................................................23 Table des matières 3 Chapitre 4: Configuration et gestion diverses.................................................................................. 24 Gestion des licences d’OpenManage Integration pour VMware vCenter (OMIVV)...................................................24 Protection de l’authenticité et de l’intégrité.....................................................................................................................24 Gestion des sauvegardes et restaurations dans OMIVV................................................................................................25 4 Table des matières Figures 1 Mappage des contrôles de sécurité...........................................................................................................................9 2 Message d'erreur de sécurité....................................................................................................................................15 Figures 5 Tableaux 6 1 Historique des révisions............................................................................................................................................... 7 2 Groupes de privilèges.................................................................................................................................................15 3 Comptes préchargés.................................................................................................................................................. 17 4 Références par défaut............................................................................................................................................... 17 5 Ports sortants............................................................................................................................................................. 19 6 Ports entrants............................................................................................................................................................. 19 Tableaux 1 PRÉFACE En vue d’améliorer sa ligne de produits, Dell EMC publie régulièrement des révisions de son matériel et de ses logiciels. Il se peut que certaines fonctionnalités décrites dans le présent document ne soient pas prises en charge par l’ensemble des versions logicielles ou matérielles actuellement utilisées. Les notes de mise à jour des produits fournissent les toutes dernières informations concernant les fonctionnalités produit. Si un produit ne fonctionne pas correctement ou ne fonctionne pas comme indiqué dans ce document, contactez un professionnel du support technique Dell EMC. Ce document était précis au moment de sa publication. Afin de vérifier que vous utilisez bien la dernière version de ce document, rendez-vous sur https://www.dell.com/support Objectif Ce document contient des informations concernant les fonctionnalités de sécurité d’OpenManage Integration pour VMware vCenter (OMIVV). Public Ce document s’adresse aux personnes chargées de la gestion de la sécurité d’OMIVV. Historique des révisions Le tableau ci-dessous présente l’historique des révisions de ce document. Tableau 1. Historique des révisions Révision Date Description A00 Octobre 2020 Version originale du Guide de configuration de la sécurité d’OpenManage Integration pour VMware v Center version 5.2. Documentation connexe Outre ce guide, les autres manuels sont disponibles à l’adresse https://www.dell.com/support. Cliquez sur Parcourir tous les produits, puis sur Logiciel > Solutions de virtualisation. Cliquez sur OpenManage Integration for VMware vCenter 5.2 pour accéder aux documents suivants : ● ● ● ● ● Guide de l’utilisateur d’OpenManage Integration for VMware vCenter version 5.2 Notes de mise à jour d’OpenManage Integration for VMware vCenter version 5.2 Matrice de compatibilité d’OpenManage Integration for VMware vCenter version 5.2 Guide API d’OpenManage Integration pour Vmware vCenter version 5.2 Guide d’installation d’OpenManage Integration pour Vmware vCenter version 5.2 Les ressources techniques, notamment les livres blancs, sont disponibles sur https://www.dell.com/support. PRÉFACE 7 2 Modèles de déploiement Vous pouvez déployer OpenManage Integration pour VMware vCenter (OMIVV) en tant qu’OVF dans l’environnement VMware vCenter. Sujets : • • Déploiement de OVF (Open Virtualization Format) Profils de sécurité Déploiement de OVF (Open Virtualization Format) Si vous disposez de l’environnement de machine virtuelle VMware vSphere, le déploiement d’OMIVV en tant qu’OVF (Open Virtualization Format) est recommandé. Le modèle de déploiement OVF comprend une offre groupée préconfigurée avec le logiciel OMIVV et le système d’exploitation Linux sur lequel s’exécute le logiciel OMIVV. L’environnement OVF inclut également un pare-feu préconfiguré réglé sur les exigences de communication OMIVV avec les systèmes surveillés. Le déploiement OVF se réalise à l’aide d’un fichier de modèle OVF. Pour plus d’informations sur le déploiement d’OMIVV en tant qu’OVF, consultez le Guide d’installation d’OpenManage Integration pour VMware vCenter 5.2 disponible sur https://www.dell.com/support. Profils de sécurité OMIVV dispose d’un profil de sécurité par défaut pour l’accès HTTP sécurisé. Il est vivement recommandé de remplacer les certificats signés par l’autorité de certification (AC) pour les environnements de sécurité plus puissants. 8 Modèles de déploiement 3 Sécurité des produits et des sous-systèmes Sujets : • • • • • • • • • • • • Mappage des contrôles de sécurité Authentification Paramètres de sécurité de connexion Considérations relatives à la configuration et aux types d’authentification Gestion des utilisateurs et des informations d’identification Sécurité du réseau Sécurité des données Chiffrement Audit et journalisation Facilité de maintenance Mise à jour du système d’exploitation OMIVV Intégrité du code de produit Mappage des contrôles de sécurité OMIVV effectue le déploiement, l’inventaire et la mise à jour des serveurs PowerEdge à l’aide d’iDRAC et reçoit des traps SNMP de la part d’iDRAC. L’interface utilisateur d’OMIVV est la page Web d’administration de l’appliance. L’interface utilisateur du plug-in OMIVV fonctionne à partir du client VMware vCenter et fournit des fonctionnalités de surveillance et de gestion du matériel de l’hôte. Toutes les informations d’identification du système sont stockées dans le stockage sécurisé OMIVV. La figure suivante illustre le mappage des contrôles de sécurité OMIVV : Figure 1. Mappage des contrôles de sécurité Sécurité des produits et des sous-systèmes 9 Authentification Contrôle d'accès Les paramètres de contrôle d’accès protègent les ressources contre tout accès non autorisé. Les pages du plug-in OMIVV sont accessibles aux utilisateurs VMware vCenter disposant des rôles et privilèges appropriés configurés dans VMware vCenter. L’accès à la console d’administration OMIVV est accordé au compte administrateur de l’appliance OMIVV. Comptes d’utilisateur par défaut OMIVV inclut les comptes d’utilisateur par défaut suivants : ● Compte d’utilisateur local ● Compte d’utilisateur en lecture seule ● Compte racine Compte d’utilisateur local OMIVV fournit un seul compte d’utilisateur administrateur par défaut. Le nom d’utilisateur de ce compte interne est admin. L’administrateur local a uniquement accès à toutes les opérations de la console d’administration OMIVV Dell EMC. La première fois que vous déployez OMIVV, vous êtes invité à définir le mot de passe. Suivez les instructions qui s’affichent à l’écran pour définir le mot de passe. Compte d’utilisateur en lecture seule OMIVV fournit un seul compte d’utilisateur local en lecture seule par défaut. Le nom d’utilisateur du compte en lecture seule est lecture seule. L’administrateur peut uniquement se connecter à OMIVV à l’aide de la console distante de la machine virtuelle. Ce compte peut être utilisé lors du dépannage afin d’afficher les états et les journaux critiques de l’appliance. Compte racine L’appliance OMIVV dispose d’un compte racine du système d’exploitation. Ce compte par défaut n’est pas accessible. L’équipe de support technique utilise le compte racine afin de déboguer les problèmes de champ. Comptes d’utilisateur externes Les utilisateurs VMware vCenter peuvent accéder aux éléments de l’interface utilisateur du plug-in OMIVV à partir du client HTML5 vCenter lorsque les utilisateurs disposent des rôles et des privilèges appropriés sur vCenter. Pour en savoir plus sur les rôles et les privilèges, consulter Privilèges requis pour les utilisateurs non administrateurs , page 13. Paramètres de sécurité de connexion Échec du comportement de la connexion En cas de multiples échecs d’authentification, OMIVV inclut des paramètres de sécurité. 10 Sécurité des produits et des sous-systèmes Verrouillage du compte d’utilisateur local Après 6 échecs de connexion consécutifs au compte d’utilisateur local, OMIVV interdit temporairement l’accès à l’utilisateur pendant une période d’une minute. Délai d’expiration automatique de la session Délai d’expiration de la session d’un navigateur inactif Par défaut, après 15 minutes d’inactivité, la session OMIVV expire et vous êtes automatiquement déconnecté. Considérations relatives à la configuration et aux types d’authentification Authentification des utilisateurs vCenter OMIVV dépend de l’authentification vCenter pour l’accès aux pages du plug-in. Les pages du plug-in nécessitent les privilèges créés par Dell EMC sur vCenter lors de l’enregistrement. Enregistrement d’un nouveau serveur vCenter Prérequis Pour créer un utilisateur, votre compte vCenter doit disposer des privilèges nécessaires. Pour en savoir plus sur les privilèges requis, voir Privilèges requis pour les utilisateurs non administrateurs , page 13. À propos de cette tâche Vous pouvez enregistrer l’appliance OMIVV après avoir installé OMIVV. OMIVV utilise le compte d’utilisateur administrateur ou un compte d’utilisateur non-administrateur disposant des privilèges nécessaires pour les opérations vCenter. Une seule instance de l’appliance OMIVV peut prendre en charge 15 serveurs vCenter et jusqu’à 2 000 hôtes ESXi. Si vous tentez d’inscrire plus de 15 vCenters, le message d’erreur suivant s’affiche : Votre licence autorise uniquement <x> vCenters et tous sont déjà inscrit. Pour enregistrer un nouveau serveur vCenter, effectuez les étapes suivantes : Étapes 1. Accédez à https://<ApplianceIP/hostname/>. 2. Sur la page ENREGISTREMENT VCENTER, cliquez sur Enregistrer un nouveau serveur vCenter dans le volet de droite. La page ENREGISTRER UN NOUVEAU vCENTER s’affiche. 3. Dans la boîte de dialogue ENREGISTRER UN NOUVEAU SERVEUR VCENTER, sous Nom du serveur vCenter, effectuez les tâches suivantes : a. Dans la zone Nom d’hôte ou IP du serveur vCenter, saisissez l’adresse IP du serveur vCenter ou le FQDN de l’hôte. Dell EMC vous recommande d’enregistrer OMIVV dans VMware vCenter en utilisant le nom de domaine complet (FQDN). Pour tous les enregistrements, le nom d’hôte du serveur vCenter doit pouvoir être correctement résolu par le serveur DNS. Les pratiques suivantes sont recommandées pour l'utilisation du serveur DNS : ● Attribuez une adresse IP statique et un nom d'hôte lorsque vous déployez une appliance OMIVV avec un enregistrement DNS valide. L'adresse IP statique garantit que pendant le redémarrage du système, l'adresse IP de l'appliance OMIVV reste identique. ● Assurez-vous que les informations du nom d’hôte OMIVV sont présentes dans les zones de recherches directes et inversées sur votre serveur DNS. Sécurité des produits et des sous-systèmes 11 b. Dans la zone Description, saisissez une description (facultatif). 4. Sous Compte d’utilisateur vCenter, procédez comme suit : a. Dans la case Nom d’utilisateur vCenter, saisissez le nom d’utilisateur de l’administrateur ou un nom d’utilisateur nonadministrateur disposant des privilèges requis. b. Dans la zone Mot de passe, saisissez le mot de passe. c. Dans la zone Vérifier le mot de passe, saisissez à nouveau le mot de passe. d. Cochez la case Enregistrer vSphere Lifecycle Manager. La sélection de la case à cocher Enregistrer vSphere Lifecycle Manager vous permet d’utiliser la fonctionnalité vSphere Lifecycle Manager à partir de vCenter 7.0 et versions ultérieures. 5. Cliquez sur S'inscrire. Le message d’erreur suivant s’affiche en cas d’échec de l’inscription de vCenter : Impossible de contacter le serveur vCenter <x> en question en raison d’informations d’identification incorrectes. Vérifiez le nom d’utilisateur et le mot de passe. Résultats Après l’inscription du serveur vCenter, OMIVV est inscrit en tant que plug-in vCenter et l’icône Dell EMC OpenManage Integration est visible dans le client vSphere à partir duquel vous pouvez accéder aux fonctionnalités OMIVV. REMARQUE : Pour toutes les opérations de vCenter réalisées à partir de l’appliance OMIVV, OMIVV utilise les privilèges de l’utilisateur inscrit et non les privilèges de l’utilisateur connecté à VMware vCenter ou aux comptes locaux de l’appliance OMIVV. L’utilisateur X disposant des privilèges nécessaires enregistre OMIVV avec vCenter et l’utilisateur Y ne dispose que des privilèges Dell. L’utilisateur Y peut désormais se connecter au vCenter et déclencher une tâche de mise à jour de firmware à partir d’OMIVV. Lors de l’exécution de la tâche de mise à jour de firmware, OMIVV utilise les privilèges de l’utilisateur X pour mettre la machine en mode maintenance ou redémarrer l’hôte. REMARQUE : Si vous souhaitez charger un certificat personnalisé signé par une autorité de certification (AC) sur OMIVV, assurezvous de charger le nouveau certificat avant l’inscription de vCenter. Si vous chargez le nouveau certificat personnalisé après l’enregistrement dans vCenter, des erreurs de communication s’affichent dans le client vSphere. Pour résoudre ce problème, annulez l'enregistrement et recommencez l'enregistrement de l'appliance dans vCenter. Enregistrement d’un serveur vCenter à l’aide d’un compte nonadministrateur Prérequis Vous pouvez enregistrer des vCenter Server pour l'appliance OMIVV avec des informations d'identification d'administrateur vCenter ou en tant qu'utilisateur non-administrateur doté des privilèges Dell. À propos de cette tâche Pour autoriser un utilisateur non administrateur disposant des privilèges requis à enregistrer un serveur vCenter, procédez comme suit : Étapes 1. Créez un rôle ou modifiez le rôle existant avec les privilèges obligatoires pour le rôle. Pour plus d’informations sur la liste des privilèges obligatoires pour le rôle, voir Privilèges obligatoires pour les utilisateurs nonadministrateurs. Pour connaître les étapes obligatoires à suivre pour créer ou modifier un rôle et sélectionner des privilèges dans le client vSphere (HTML-5), reportez-vous à la documentation de VMware vSphere. 2. Après avoir créé et défini un rôle, attribuez-lui un utilisateur et sélectionnez les privilèges correspondants. Pour plus d’informations sur l’attribution de privilèges à un rôle, reportez-vous à la documentation VMware vSphere. Un utilisateur non-administrateur du vCenter Server doté des privilèges requis peut alors enregistrer et/ou annuler l'enregistrement du vCenter Server, modifier les informations d'identification ou procéder à la mise à jour du certificat. 3. Enregistrez un serveur vCenter à l’aide d’un utilisateur non-administrateur disposant des privilèges requis. 4. Une fois l’enregistrement terminé, attribuez les privilèges Dell au rôle créé ou modifié à l’étape 1. Voir la section Attribution de privilèges Dell à un rôle existant , page 14. 12 Sécurité des produits et des sous-systèmes Résultats Un utilisateur non administrateur disposant des privilèges requis peut désormais utiliser les fonctionnalités OMIVV avec des hôtes Dell EMC. Privilèges requis pour les utilisateurs non administrateurs Pour enregistrer OMIVV auprès d’un serveur vCenter, un utilisateur non-administrateur doit disposer des privilèges suivants : Lorsqu’un utilisateur non-administrateur ne disposant pas des privilèges ci-dessous enregistre un serveur vCenter auprès d’OMIVV, un message s’affiche : ● Alarmes ○ Créer l'alarme ○ Modifier l'alarme ○ Supprimer l'alarme ● Poste ○ Enregistrer le poste ○ Annuler l'enregistrement du poste ○ Mettre à jour le poste ● Global ○ Annuler la tâche ○ Événement journal ○ Paramètres ● Fournisseur de mise à jour de l'intégrité ○ Enregistrer ○ Annuler l'enregistrement ○ Mettre à jour ● Hôte ○ CIM ■ Interaction CIM ● Host.Config ○ Paramètres avancés ○ Modifier les paramètres ○ Connexion ○ Maintenance ○ Configuration réseau ○ Demander un correctif ○ Profil de sécurité et pare-feu ● Inventaire ○ Ajouter un hôte au cluster ○ Ajouter un hôte autonome ○ Modifier le cluster ● Lifecycle Manager : privilèges généraux ○ Lecture REMARQUE : Les privilèges généraux de vSphere Lifecycle Manager s’appliquent uniquement à vCenter 7.0 et versions ultérieures. ● Profil d'hôte ○ Modifier ○ Afficher ● Droits ○ Modifier les droits ○ Modifier le rôle ● Sessions Sécurité des produits et des sous-systèmes 13 ○ Valider la session ● Tâche ○ Créer ○ Mettre à jour REMARQUE : Si un serveur vCenter est enregistré à l’aide d’un utilisateur non administrateur pour accéder à des fonctionnalités OMIVV, l’utilisateur non-administrateur doit disposer des privilèges Dell. Pour en savoir plus sur l'affectation de privilèges Dell, voir Attribution de privilèges Dell à un rôle existant , page 14. Attribution de privilèges Dell à un rôle existant À propos de cette tâche Si certaines pages d’OMIVV sont accessibles sans les privilèges Dell qui sont affectés à l’utilisateur connecté, l’erreur 2000000 s’affiche. Vous pouvez modifier un rôle existant pour affecter les privilèges Dell. Étapes 1. Connectez-vous au client vSphere (HTML-5) avec des droits d’administrateur. 2. Dans le client vSphere (HTML-5), développez Menu, puis cliquez sur Administration → Rôles. 3. Dans la liste déroulante Fournisseur de rôles, sélectionnez un serveur vCenter. 4. Dans la liste Rôles, sélectionnez Dell-Operational, puis cliquez sur PRIVILÈGES. 5. Pour attribuer les privilèges Dell, cliquez sur l’icône Modifier [ La page Modifier le rôle s’affiche. ]. 6. Dans le volet de gauche, cliquez sur Dell, sélectionnez les privilèges Dell suivants pour le rôle sélectionné, puis cliquez sur SUIVANT : ● ● ● ● ● Dell.Configuration Dell Deploy-Provisioning Dell.Inventory Dell.Monitoring Dell.Reporting Pour plus d’informations sur les rôles OMIVV disponibles au sein du vCenter, voir . 7. Modifiez le nom du rôle et saisissez une description pour le rôle sélectionné, le cas échéant. 8. Cliquez sur TERMINER. Déconnectez-vous, puis connectez-vous depuis vCenter. L’utilisateur disposant des privilèges requis peut désormais effectuer les opérations OMIVV. Sécurité des utilisateurs vCenter Autorisations et rôles de sécurité OpenManage Integration for VMware vCenter stocke les informations d'identification utilisateur sous forme cryptée. Il ne fournit aucun mot de passe aux applications clientes afin d'éviter toute demande abusive. Dans la mesure où la base de données de sauvegarde est totalement cryptée à l'aide de phrases de sécurité personnalisées, les données ne peuvent pas être utilisées de manière abusive. Par défaut, les utilisateurs du groupe Administrateurs disposent de tous les privilèges. Les administrateurs peuvent utiliser toutes les fonctions d'OpenManage Integration for VMware vCenter au sein du client Web VMware vSphere. Si vous souhaitez qu'un utilisateur doté des privilèges nécessaires gère le produit, effectuez les opérations suivantes : 1. Créez un rôle avec les privilèges nécessaires. 2. Enregistrez un serveur vCenter avec l'utilisateur. 3. Ajoutez à la fois le rôle opérationnel Dell et le rôle de déploiement de l’infrastructure Dell. 14 Sécurité des produits et des sous-systèmes Intégrité des données La communication entre OpenManage Integration pour VMware vCenter, la console d’administration et vCenter s’effectue via HTTPS. OpenManage Integration pour VMware vCenter génère un certificat qui est utilisé pour une communication de confiance entre vCenter et l’appliance. Il vérifie également le certificat du serveur vCenter avant la communication et l’enregistrement d’OpenManage Integration pour Vmware vCenter. Une session de la console d’administration sécurisée a un délai d’inactivité de 15 minutes, et la session n’est valide que dans la fenêtre et/ou l’onglet du navigateur en cours. Si vous essayez d'ouvrir la session dans une nouvelle fenêtre ou un nouvel onglet, une erreur de sécurité s'affiche et vous demande une session valide. Cette action empêche également l'utilisateur de cliquer sur une URL malveillante susceptible d'attaquer la session de la console d'administration. Figure 2. Message d'erreur de sécurité Rôles, autorisation et authentification de contrôle d'accès Pour exécuter les opérations vCenter, OpenManage Integration pour Vmware vCenter utilise la session d’utilisateur actuelle du client vSphere et les informations d’identification d’administration enregistrées pour OpenManage Integration. OpenManage Integration pour Vmware vCenter utilise le modèle de privilèges et de rôles intégré du serveur vCenter pour autoriser les actions de l’utilisateur auprès d’OpenManage Integration et des objets gérés vCenter (hôtes et clusters). Rôle opérationnel Dell Le rôle comprend les privilèges/groupes permettant d’effectuer les tâches d’appliance et de serveurs vCenter, notamment les mises à jour de firmware, les inventaires de matériel, le redémarrage d’un hôte, le placement d’un hôte en mode maintenance ou la création d’une tâche de serveur vCenter. Ce rôle comprend les groupes de privilèges suivants. Tableau 2. Groupes de privilèges Nom du groupe Description Groupe de privilèges : Dell.Configuration Effectuer les tâches associées à l’hôte, Effectuer les tâches associées à vCenter, Configurer SelLog, Configurer ConnectionProfile, Configurer ClearLed, Mettre à jour le firmware Groupe de privilèges : Dell.Inventory Configurer l'inventaire, Configurer la récupération de garantie, Configurer ReadOnly Groupe de privilèges : Dell.Monitoring Configurer la surveillance, le moniteur Groupe de privilèges : Dell. Reporting (non utilisé) Créer un rapport, Exécuter un rapport Rôle de déploiement de l'infrastructure Dell Le rôle comprend les privilèges associés aux fonctionnalités de déploiement d’hyperviseur. Les privilèges délivrés par ce rôle sont la configuration du profil d’identification d’hôte, l’attribution d’une identité et le déploiement. Groupe de privilèges : Dell.Deploy-Provisioning Configurer le profil d’identification d’hôte, Attribuer une identité, Déployer. Sécurité des produits et des sous-systèmes 15 À propos des privilèges Chaque action exécutée par OpenManage Integration pour Vmware vCenter est associée à un privilège. Les sections suivantes répertorient les actions disponibles et les privilèges associés : ● Tâches relatives à Dell.Configuration.Perform vCenter ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Sortir et entrer en mode de maintenance Obtenir le groupe d'utilisateurs vCenter pour demander les autorisations Enregistrer et configurer les alarmes, par exemple, activer/désactiver les alarmes sur la page des paramètres d’événement Publier les événements / alertes sur vCenter Configurer les paramètres d’événement sur la page Paramètres d’événement. Restaurer les alertes par défaut sur la page Paramètres d’événement. Vérifier l'état DRS sur les clusters lors de la configuration des paramètres d'alertes / événements. Redémarrer l'hôte après l'exécution de mise à jour ou de toute autre action de configuration Surveiller l'état / le progrès des tâches vCenter Créer des tâches vCenter ; par exemple, la tâche de mise à jour de firmware, la tâche de configuration hôte, et la tâche d’inventaire. Mettre à jour l'état / le progrès des tâches vCenter Obtenir les profils d'hôte Ajouter un hôte au datacenter Ajouter un hôte au cluster Appliquer un profil à un hôte Obtenir les informations d'identification CIM Configurer la conformité des hôtes Obtenir l'état des tâches de conformité ● Dell.Inventory.Configure ReadOnly ○ ○ ○ ○ ○ ○ Obtenir tous les hôtes vCenter pour construire l'arborescence lors de la configuration des profils de connexion vCenter Vérifier si l'hôte est un serveur Dell lorsque l'onglet est sélectionné Obtenir l'adresse IP vCenter Obtenir l'adresse IP de l'hôte Obtenir l'utilisateur de la session vCenter actuelle à partir de l'ID de session du client vSphere Obtenir l'arborescence d'inventaire vCenter pour afficher l'inventaire vCenter dans une structure arborescente ● Dell.Monitoring.Monitor ○ Obtenir le nom de l’hôte pour publier l’événement ○ Effectuer des opérations sur le journal des événements ; par exemple, obtenir le nombre d’événements, ou modifier les paramètres du journal des événements ○ Enregistrer, désenregistrer et configurer les événements / alertes — Recevoir des interruptions SNMP et publier des événements ● Dell.Configuration.Firmware Update ○ ○ ○ ○ ○ ○ Effectuer mise à jour de firmware Charger les informations de référentiel du firmware et de fichier DUP sur la page de l’assistant de mise à jour de firmware Interroger l’inventaire du firmware Configurer les paramètres de l’espace de stockage du firmware Configurer le dossier de préparation et effectuer une mise à jour à l'aide de la fonctionnalité de préparation Tester les connexions réseau et de l'espace de stockage ● Dell.Deploy-Provisioning.Create Template ○ ○ ○ ○ ○ Configurer le profil de configuration matérielle Configurer le profil de déploiement d'hyperviseur Configurer le profil de connexion Attribuer des identités Déployer ● Tâches relatives à l'hôte Dell.Configuration.Perform ○ Faire clignoter la LED, éteindre la LED ○ Lancer la console iDRAC ○ Afficher et effacer le journal SEL 16 Sécurité des produits et des sous-systèmes ● Dell.Inventory.Configure Inventory ○ ○ ○ ○ ○ ○ Afficher l'inventaire du système dans l'onglet Dell Server Management Obtenir les détails du stockage Obtenir les détails de la surveillance de l'alimentation Créer, afficher, modifier, supprimer et tester les profils de connexion sur la page Profils de connexion Planifier, mettre à jour et supprimer la planification de l'inventaire Exécuter l'inventaire sur les hôtes Gestion des utilisateurs et des informations d’identification Comptes préchargés Le tableau suivant donne une description des comptes préchargés OMIVV : Tableau 3. Comptes préchargés Compte d’utilisateur Description Administrateur OpenManage Integration pour VMware vCenter Utilisateur par défaut de l’administration de l’application Web OMIVV. Utilisateur en lecture seule. OMIVV fournit un seul compte d’utilisateur local en lecture seule par défaut. L’administrateur peut uniquement se connecter à OMIVV à l’aide de la console distante de la machine virtuelle. Ce compte peut être utilisé lors du dépannage afin d’afficher les états et les journaux critiques de l’appliance. Racine du système d’exploitation Linux Impossible d’accéder au compte racine du système d’exploitation. L’équipe de support technique utilise le compte racine afin de déboguer les problèmes de champ. Références par défaut Le tableau suivant donne une description des informations d’identification par défaut pour les comptes OMIVV préchargés. Tableau 4. Références par défaut Compte Utilisateur Mot de passe Administrateur Admin OpenManage Integration pour VMware vCe nter Définir lors du premier démarrage après le déploiement. Pour plus d’informations sur la manière dont modifier le mot de passe administrateur, consulter Modification du mot de passe de l’appliance OMIVV , page 18. Utilisateur en lecture seule Définir lors du premier démarrage après le déploiement. Une fois connecté en tant qu’utilisateur en lecture seule, il est possible de reconfigurer le mot de passe de l’utilisateur en lecture seule à l’aide des commandes standard de modification du mot de passe Linux. Lecture seule Sécurité des produits et des sous-systèmes 17 Tableau 4. Références par défaut (suite) Compte Utilisateur Mot de passe Racine du système d’exploitation Linux Racine Le mot de passe racine du système d’exploitation est défini lors du déploiement d’OMIVV. Gestion des informations d’identification Si vous vous connectez pour la première fois à la console d’administration Dell EMC, connectez-vous en tant qu’administrateur (le nom d’utilisateur par défaut est admin). REMARQUE : Si vous oubliez le mot de passe administrateur, il ne peut pas être récupéré à partir de l’appliance OMIVV. Modification du mot de passe de l’appliance OMIVV À propos de cette tâche Vous pouvez modifier le mot de passe de l’appliance OMIVV dans le client vSphere à l’aide de la console. Étapes 1. Ouvrez la console Web OMIVV. 2. Dans l’utilitaire Configuration de l’appliance virtuelle OpenManage Integration pour VMware vCenter, cliquez sur Modifier le mot de passe Admin. Suivez les instructions à l’écran pour définir le mot de passe. 3. Dans la zone de texte Mot de passe actuel, saisissez le mot de passe administrateur actuel. 4. Saisissez le nouveau mot de passe dans la zone de texte Nouveau mot de passe. 5. Saisissez une fois de plus le nouveau mot de passe dans la zone de texte Confirmer le nouveau mot de passe. 6. Cliquez sur Modifier le mot de passe administrateur. Autorisation L’appliance OMIVV prend en charge un seul utilisateur administrateur. Une fois connecté à OMIVV, l’administrateur peut accéder uniquement aux fonctions de configuration de l’appliance OMIVV, telles que : ● ● ● ● ● ● ● ● ● Enregistrement d’un nouveau serveur vCenter Configuration de l’appliance Mise à niveau de l’appliance OMIVV à l’aide de RPM, des sauvegardes et des restaurations Configuration des serveurs NTP (Network Time Protocol) Configuration du mode de déploiement Génération d’une requête de signature de certificat (CSR) Chargement d’un certificat HTTPS Configuration des alertes globales Génération et téléchargement du lot de dépannage Sécurité du réseau L’appliance OMIVV utilise un pare-feu préconfiguré afin d’améliorer la sécurité en restreignant le trafic réseau entrant et sortant aux ports TCP et UDP. Les tableaux de cette section répertorient les ports entrants et sortants utilisés par OMIVV. Exposition du réseau OpenManage Integration pour VMware vCenter utilise des ports entrants et sortants pour communiquer avec des systèmes distants. 18 Sécurité des produits et des sous-systèmes Ports sortants Les ports sortants peuvent être utilisés par OMIVV lors de la connexion à un système distant. Les ports répertoriés dans le tableau suivant sont les ports sortants OMIVV. Tableau 5. Ports sortants Numéro de port Protocole de couche 4 Prestataires 7 TCP, UDP ECHO 22 TCP SSH 25 TCP SMTP 53 UDP, TCP DNS 67,68 TCP DHCP 80 TCP HTTP 88 TCP, UDP Kerberos 111 TCP, UDP ONC RPC 123 TCP, UDP NTP 161-163 TCP, UDP SNMP 389 TCP, UDP LDAP 443 TCP HTTPS 448 TCP API REST administrateur de Data Protection Search 464 TCP, UDP Kerberos 514 TCP, UDP rsh 587 TCP SMTP 636 TCP, UDP LDAPS 902 TCP VMware ESXi 2049 TCP, UDP NFS 2052 TCP, UDP mountd, clearvisn 3009 TCP API REST de Data Domain 5672 TCP RabbitMQ sur AMQP 8443 TCP MCSDK 8443 est une alternative à 443 9002 TCP API REST de Data Protection Advisor 9443 TCP Service Web de la console de gestion Avamar Ports entrants Il s’agit des ports entrants disponibles pour une utilisation par un système distant lors de la connexion à OMIVV. Les ports répertoriés dans le tableau suivant sont les ports entrants OMIVV. Tableau 6. Ports entrants Numéro de port Protocole de couche 4 Prestataires 22 TCP SSH Sécurité des produits et des sous-systèmes 19 Tableau 6. Ports entrants (suite) Numéro de port Protocole de couche 4 Prestataires 80 TCP HTTP 443 TCP HTTPS 5671 TCP RabbitMQ sur AMQP Sécurité des données Les données gérées par OMIVV sont stockées et sécurisées dans des bases de données internes de l’appliance, et ne sont pas accessibles depuis l’extérieur. Les données qui transitent par OMIVV sont sécurisées par un canal de communication sécurisé. Chiffrement OMIVV utilise le chiffrement pour les composants suivants : ● Contrôle d'accès ● Authentification ● Signatures numériques Gestion des certificats OMIVV utilise des certificats pour l’accès HTTP sécurisé (HTTPS). Par défaut, OMIVV installe et utilise le certificat autosigné pour les transactions sécurisées HTTPS. Pour renforcer la sécurité, il est recommandé d’utiliser les certificats d’autorité de certification (AC) signés ou personnalisés. Le certificat autosigné suffit à établir un canal chiffré entre les navigateurs Web et le serveur. Le certificat autosigné ne peut pas être utilisé pour l’authentification. Vous pouvez utiliser les types de certificats suivants pour l’authentification OMIVV : ● Un certificat autosigné OMIVV génère des certificats autosignés lorsque le nom d’hôte de l’appliance change. ● Un certificat signé par un fournisseur d’autorité de certification (AC) de confiance. REMARQUE : Tenez compte des règles de la société lors de la création de certificats. Mise à jour des certificats des serveurs vCenter inscrits À propos de cette tâche L’OpenManage Integration for VMware vCenter utilise l’API OpenSSL pour créer la requête de signature de certificat (RSC) à l’aide de la norme de chiffrement standard RSA, dotée d’une longueur de clé de 2 048 bits. La RCS générée par OMIVV obtient un certificat signé numériquement, provenant d’une autorité de certification de confiance. OMIVV utilise ce certificat numérique pour activer HTTPS sur le serveur Web afin de sécuriser la communication. Si le certificat est modifié sur un serveur vCenter, utilisez les tâches suivantes pour importer le nouveau certificat pour OMIVV : Étapes 1. Accédez à https://<ApplianceIP/hostname/>. 2. Dans le volet gauche, cliquez sur ENREGISTREMENT VCENTER. Les serveurs vCenter enregistrés s’affichent dans le volet de travail. 3. Pour mettre à jour le certificat du nom d’hôte ou de l’adresse IP d’un serveur vCenter, cliquez sur Mettre à jour. 20 Sécurité des produits et des sous-systèmes Génération d’une requête de signature de certificat (CSR) Prérequis Avant d’enregistrer une appliance OMIVV dans un serveur vCenter, assurez-vous de télécharger la CSR. À propos de cette tâche La génération d’une nouvelle CSR empêche le chargement sur l’appliance des certificats créés avec la CSR générée antérieurement. Pour générer une CSR, procédez comme suit : Étapes 1. Sur la page GESTION DE L’APPLIANCE, cliquez sur Générer une requête de signature de certificat dans la zone CERTIFICATS HTTPS. Un message s'affiche indiquant que si une nouvelle requête est générée, les certificats créés à l'aide de la CSR précédente ne peuvent plus être chargés sur l'appliance. Pour poursuivre la requête, cliquez sur Continuer. 2. Si vous poursuivez la requête, dans la boîte de dialogue GÉNÉRER UNE REQUÊTE DE SIGNATURE DE CERTIFICAT, saisissez des informations sur le nom commun, l’organisation, la localité, l’état, le pays et l’adresse e-mail. Cliquez sur Continuer. 3. Cliquez sur Télécharger, puis sauvegardez la CSR résultant dans un emplacement accessible. Chargement d’un certificat HTTPS Prérequis Assurez-vous que le certificat utilise le format PEM. À propos de cette tâche Utilisez les certificats HTTPS pour sécuriser les communications avec l’appliance OMIVV et les systèmes hôtes ou vCenter. Pour configurer ce type de communications sécurisées, envoyez le certificat CSR à un signataire autorisé, puis téléchargez le certificat CSR résultant en utilisant la console d’administration. Il existe aussi un certificat par défaut qui est autosigné et qui peut être utilisé pour sécuriser les communications. Ce certificat est unique à chaque installation. Étapes 1. Sur la page GESTION DE L’APPLIANCE, cliquez sur Charger le certificat dans la zone CERTIFICATS HTTPS. 2. Cliquez sur OK dans la boîte de dialogue CHARGER LE CERTIFICAT. 3. Pour charger le certificat, cliquez sur Parcourir, puis sur Charger. Pour vérifier l’état, accédez à la Console des événements du client vSphere des vCenters enregistrés. Résultats Lors du chargement du certificat, la Console Administration OMIVV cesse de répondre pendant une durée allant jusqu’à 3 minutes. Une fois que la tâche de téléchargement du certificat HTTPs est terminée, fermez la session de navigateur et accédez au portail d’administration dans une nouvelle session de navigateur. Restauration du certificat HTTPS par défaut Étapes 1. Sur la page GESTION DE L’APPLIANCE, cliquez sur Restaurer le certificat par défaut dans la zone CERTIFICATS HTTPS. 2. Dans la boîte de dialogue RESTAURER LE CERTIFICAT PAR DÉFAUT, cliquez sur Appliquer. Résultats Lors de la restauration du certificat, la Console Administration OMIVV cesse de répondre pendant une durée allant jusqu’à 3 minutes. Une fois la tâche de restauration de certificat HTTPs par défaut terminée, fermez la session du navigateur en cours et accédez au portail d’administration dans une nouvelle session. Sécurité des produits et des sous-systèmes 21 Audit et journalisation L’utilisateur administrateur peut utiliser la console d’administration OMIVV pour générer une offre groupée de dépannage avec tous les journaux pertinents. Pour plus d’informations, voir Création et téléchargement d’un lot de dépannage , page 22. Le compte en lecture seule permet de dépanner l’appliance en permettant à l’utilisateur de lire les différents paramètres de l’appliance pendant son exécution. Pour des informations de dépannage plus détaillées, le support technique recommande de consulter les paramètres spécifiques. Création et téléchargement d’un lot de dépannage Prérequis Pour générer le lot de dépannage, assurez-vous que vous vous connectez au portail Administration. À propos de cette tâche Le lot de dépannage contient des informations de connexion à l’appliance virtuelle OpenManage Integration qui peuvent être utilisées pour vous aider à résoudre des problèmes ou être envoyées au support technique. OMIVV ne consigne pas les données sensibles de l’utilisateur. Étapes 1. Sur la page Support, cliquez sur Créer et télécharger un lot de dépannage. La boîte de dialogue Lot de dépannage s’affiche. 2. Dans la boîte de dialogue Lot de dépannage, cliquez sur CRÉER. En fonction de la taille des journaux, la création du lot peut parfois être longue. 3. Pour enregistrer le fichier, cliquez sur TÉLÉCHARGER. Facilité de maintenance Le site Web de support https://www.dell.com/support permet d’accéder à des informations sur les licences, de la documentation produit, des conseils, des téléchargements et des informations de dépannage. Ces informations vous aideront à résoudre les problèmes concernant les produits avant de contacter l’équipe de support technique. Aucune connexion spéciale à OMIVV n’est requise pour le personnel de maintenance. Si l’offre groupée de dépannage est insuffisante, le personnel peut autoriser l’utilisateur root à collecter des informations supplémentaires. Assurez-vous d’installer les correctifs de sécurité et autres mises à jour dès qu’ils sont disponibles, notamment la mise à jour du système d’exploitation OMIVV vCenter. Correctifs de sécurité Il s’agit des mises à jour périodiques de OMIVV qui incluent les mises à jour de sécurité et les mises à jour uniquement de sécurité publiées en cas de besoin. Les mises à jour sont cumulatives et publiées sur le support et les utilisateurs OMIVV reçoivent des notifications également sur le vCenter. Mise à jour du système d’exploitation OMIVV Régulièrement, des correctifs de sécurité et autres sont publiés pour le système d’exploitation OMIVV. Ces correctifs doivent être installés sur des déploiements OVF existants d’OMIVV à l’aide d’un package de mise à jour RPM. Si possible, il est fortement recommandé d’installer ces correctifs de sécurité et autres sur le serveur OMIVV à l’aide de la mise à jour RPM. 22 Sécurité des produits et des sous-systèmes Intégrité du code de produit Le programme d’installation du logiciel OMIVV est signé par Dell. Il est recommandé de vérifier l’authenticité de la signature du programme d’installation d’OMIVV. Sécurité des produits et des sous-systèmes 23 4 Configuration et gestion diverses Sujets : • • • Gestion des licences d’OpenManage Integration pour VMware vCenter (OMIVV) Protection de l’authenticité et de l’intégrité Gestion des sauvegardes et restaurations dans OMIVV Gestion des licences d’OpenManage Integration pour VMware vCenter (OMIVV) OMIVV possède deux types de licences : ● Licence d'évaluation : lorsque l'appliance OMIVV est mise sous tension pour la première fois, une licence d'évaluation est installée automatiquement. La version d’essai contient une licence d’évaluation pour cinq hôtes (serveurs) gérés par OMIVV. Cette version d'évaluation de 90 jours est la licence par défaut fournie lors de l'expédition. ● Licence standard : vous pouvez acheter n’importe quel nombre de licences hôtes gérées par OMIVV. Cette licence inclut un support produit et des mises à jour de l’appliance OMIVV. La licence standard est disponible pour une période de trois ou cinq ans. Toute licence supplémentaire achetée prolonge la période de la licence existante. La durée de la licence pour une clé XML unique est calculée à partir de la date de vente indiquée sur la commande d’origine. Toutes les nouvelles licences téléchargées seront incluses dans le nombre après la fin de la période de grâce de 90 jours pour toute licence antérieure ou expirée. OMIVV prend en charge jusqu’à 15 instances vCenters. Lorsque vous effectuez la mise à niveau de la licence d’évaluation vers une licence standard complète, vous recevez un e-mail de confirmation de commande et vous pouvez télécharger le fichier de licence à partir de Dell Digital Locker. Enregistrez le fichier .XML de licence sur votre système local et téléchargez le nouveau fichier de licence à l'aide de la Console Administration. Lorsque vous achetez une licence, le fichier .XML (clé de licence) est téléchargeable sur Dell Digital Locker à l’adresse https:// www.dell.com/support. Si vous ne parvenez pas à télécharger vos clés de licence, contactez le service de support Dell en vous rendant sur Contacter le support Commandes à l’adresse https://www.dell.com/support pour trouver le numéro de téléphone du service du support Dell de votre zone géographique pour votre produit. Les licences présentent les informations suivantes dans la console Administration OMIVV : ● Licences de connexions vCenter maximales : jusqu’à 15 connexions vCenter enregistrées et utilisées sont autorisées. ● Nombre maximum de licences de connexions hôte : nombre de connexions hôte achetées (avec un maximum de 2000 hôtes pris en charge pour une seule instance OMIVV). ● En cours d'utilisation : le nombre de connexions vCenter ou connexions hôte utilisées. Pour les connexions hôte, ce nombre représente le nombre d’hôtes (ou de serveurs) répertoriés. ● Disponibles : nombre de licences de connexions vCenter ou de connexions hôte disponibles pour un usage ultérieur. Lorsque vous tentez d’ajouter un hôte à un profil d’identification d’hôte, si le nombre d’hôtes sous licence dépasse le nombre de licences, l’ajout d’hôtes supplémentaires n’est pas autorisé. OMIVV ne prend pas en charge la gestion d’un nombre d’hôtes supérieur au nombre de licences d’hôte disponibles. REMARQUE : Vous pouvez utiliser n’importe quelle licence active pour les versions OMIVV 5.x. Les licences sauvegardées à partir d’instances précédentes d’OMIVV ou téléchargées à partir de Digital Locker peuvent être utilisées pour les instances actuelles d’OMIVV. Protection de l’authenticité et de l’intégrité Pour garantir l’intégrité du produit, les composants d’installation d’OMIVV sont signés. Pour garantir l’intégrité des communications, il est recommandé d’utiliser un certificat signé par une autorité de certification. 24 Configuration et gestion diverses Gestion des sauvegardes et restaurations dans OMIVV Pour protéger OMIVV d’un scénario de reprise après sinistre, il est recommandé d’effectuer des sauvegardes d’OMIVV. Le cas échéant, vous pouvez restaurer OMIVV à partir de ces sauvegardes. Pour plus d’informations sur les sauvegardes et restaurations, consultez le Guide de l’utilisateur d’OMIVV disponible sur le site https://www.dell.com/support. Configuration et gestion diverses 25