OpenManage Integration for VMware vCenter バージョン 5.2 セキュリティ設定ガイド October 2020 Rev.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 ©2010 - 2020 Dell Inc.またはその関連会社。All rights reserved.(不許複製・禁無断転載)Dell、EMC、およびその他の商標は、Dell Inc.
目次 図.................................................................................................................................................. 5 表.................................................................................................................................................. 6 章 1: 前書き..................................................................................................................................... 7 章 2: 導入モデル.......................................................
章 4: その他の構成と管理................................................................................................................23 OpenManage Integration for VMware vCenter(OMIVV)のライセンス................................................................ 23 信頼性と整合性の保護......................................................................................................................................................23 OMIVV でのバックアップおよび復元の管理............................................................................
図 1 セキュリティ制御マップ.......................................................................................................................................... 9 2 セキュリティエラーメッセージ..............................................................................................................................
表 6 1 変更履歴....................................................................................................................................................................... 7 2 権限グループ.............................................................................................................................................................. 15 3 プリロード済みアカウント.....................................................................................................................................
1 前書き 製品ラインを改善するための努力の一環として、Dell EMC はソフトウェアおよびハードウェアのリビジョンを定期的にリリースし ます。このマニュアルで説明されている機能の中には、現在使用中のソフトウェアまたはハードウェアの一部のバージョンではサ ポートされていないものもあります。製品のリリース ノートには、製品の機能に関する最新情報が記載されています。 製品が正常に機能しない、またはこのマニュアルの説明どおりに動作しない場合には、Dell EMC のテクニカル サポート プロフェ ッショナルにお問い合わせください。このマニュアルは、発行時点で正確なものとなっています。このマニュアルの最新バージョ ンを使用していることを確認するには、https://www.dell.
2 導入モデル OpenManage Integration for VMware vCenter(OMIVV)は、VMware vCenter 環境の OVF として導入できます。 トピック: • • オープン仮想化フォーマット(OVF)の導入 セキュリティ プロファイル オープン仮想化フォーマット(OVF)の導入 VMware vSphere 仮想マシン環境がある場合は、OMIVV をオープン仮想化フォーマット(OVF)として導入することをお勧めしま す。 OVF 導入モデルには、事前構成済みのバンドルが含まれています。これには、OMIVV ソフトウェアと、OMIVV ソフトウェアを実 行する Linux オペレーティング システムが含まれています。 OVF 環境には、モニター対象システムとの OMIVV 通信要件に合わせて調整された事前構成済みのファイアウォールも含まれていま す。 OVF は、OVF テンプレート ファイルとともに導入されます。OVF としての OMIVV 導入の詳細については、https:// www.dell.
3 製品およびサブシステムのセキュリティ トピック: • • • • • • • • • • • • セキュリティ制御マップ 認証 ログイン セキュリティ設定 認証の種類とセットアップに関する考慮事項 ユーザーおよび認証情報の管理 ネットワークセキュリティ データ セキュリティ 暗号化 監査とログ サービス化 OMIVV OS アップデート 製品コードの整合性 セキュリティ制御マップ OMIVV は iDRAC を使用して PowerEdge サーバーの導入、インベントリー、およびアップデートを実行し、iDRAC から SNMP トラ ップを受信します。 OMIVV のユーザー インターフェイスは、アプライアンスの管理 Web ページです。OMIVV プラグイン UI は VMware vCenter クライ アントから動作し、ホスト ハードウェアのモニタリングおよび管理機能を提供します。 すべてのシステム認証情報は、OMIVV セキュア ストレージ内に保存されます。 次の図は、OMIVV セキュリティ制御マップを示しています。 図 1.
認証 アクセス制御 アクセス制御の設定によって、不正アクセスからリソースを保護できます。VMware vCenter で構成された適切な役割と権限を持つ VMware vCenter ユーザーがアクセスする OMIVV プラグイン ページ。OMIVV 管理コンソールへのアクセス権は、OMIVV アプライア ンスの管理者アカウントに割り当てられます。 デフォルト ユーザー アカウント OMIVV には、次のデフォルト ユーザー アカウントが含まれています。 ● ローカルユーザーアカウント ● 読み取り専用ユーザー アカウント ● Root アカウント ローカルユーザーアカウント OMIVV には、デフォルトで単一のローカル管理者ユーザー アカウントがあります。この内部アカウントのユーザー名は admin です。 ローカル管理者は、Dell EMC OMIVV 管理コンソールでのみ、すべての操作にアクセスできます。 初めて OMIVV を導入するときに、パスワードの設定を求めるプロンプトが表示されます。画面の指示に従って、パスワードを設定 します。 読み取り専用ユーザー アカウント OMIVV には、デフォ
ローカル ユーザー アカウントのロックアウト ローカル ユーザー アカウントへのログインの試行が 6 回連続で失敗すると、OMIVV は一時的に 1 分間ユーザーをロックアウトしま す。 自動セッション タイムアウト アイドル状態のブラウザー セッションのタイムアウト デフォルトでは、15 分間非アクティブ状態になった後、OMIVV セッションがタイムアウトになり、ユーザーは自動的にログアウト されます。 認証の種類とセットアップに関する考慮事項 vCenter ユーザー認証 OMIVV は、プラグイン ページのアクセスでは vCenter 認証に依存します。プラグイン ページでは、登録時に vCenter で Dell EMC によって作成された権限が必要です。 新しい vCenter サーバーの登録 前提条件 vCenter アカウントには、ユーザーを作成するために必要な権限が必要です。必要な権限の詳細については、「Administrator 以外の ユーザーに必要な権限 、p.
a. b. c. d. [vCenter ユーザー名]ボックスに、管理者のユーザー名または必要な権限のある管理者以外のユーザー名を入力します。 [パスワード]ボックスにパスワードを入力します。 [パスワードの確認]ボックスにパスワードを再度入力します。 [vSphere Lifecycle Manager の登録]チェックボックスを選択します。 [vSphere Lifecycle Manager の登録]チェック ボックスを選択すると、vCenter 7.0 以降から vSphere Lifecycle Manager の 機能を使用できるようになります。 5.
Administrator 以外のユーザーに必要な権限 vCenter で OMIVV を登録する場合、管理者以外のユーザーには次の権限が必要です。 管理者以外のユーザーが OMIVV で vCenter サーバーを登録する際に、次の権限が設定されていないとメッセージが表示されます。 ● アラーム ○ アラームの作成 ○ アラームの変更 ○ アラームの削除 ● 拡張権限 ○ 登録の拡張権限 ○ 登録解除の拡張権限 ○ 更新の拡張権限 ● グローバル ○ タスクのキャンセル ○ ログイベント ○ 設定 ● 正常性アップデートプロバイダ ○ 登録 ○ 登録解除 ○ アップデート ● ホスト ○ CIM ■ CIM インタラクション ● Host.
メモ: OMIVV の機能にアクセスするために、管理者以外のユーザーを使用して vCenter サーバーが登録されている場合、管理者 以外のユーザーにはデルの権限が必要です。デルの特権を割り当てる方法の詳細については、「既存の役割へのデルの権限の割 り当て 、p. 14」を参照してください。 既存の役割へのデルの権限の割り当て このタスクについて OMIVV の特定のページに、デルの権限が割り当てられていないログイン ユーザーがアクセスした場合は、2000000 エラーが表示さ れます。 既存の役割を編集し、デルの権限を割り当てることができます。 手順 1. 管理者権限で vSphere Client(HTML-5)にログインします。 2. vSphere Client(HTML-5)で、[メニュー]を展開し、[管理] > [役割]の順にクリックします。 3. [役割プロバイダー]ドロップダウン リストから、vCenter サーバーを選択します。 4. [役割]リストから[デル操作]を選択し、[権限]をクリックします。 5.
セキュアな管理コンソール セッションには 15 分間のアイドル タイムアウトがあり、このセッションは現在のブラウザー ウィンド ウまたはタブでのみ有効です。新しいウィンドウまたはタブでセッションを開こうとすると、有効なセッションを要求するセキュ リティエラーが表示されます。また、このアクションは、管理コンソールセッションを攻撃する可能性がある悪意のある URL をク リックすることも防止できます。 図 2.
○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ イベント設定ページでデフォルトのアラートを復元 アラート / イベント設定を実行しながら、クラスタの DRS ステータスをチェック アップデートまたはその他の設定処置を実行した後にホストを再起動 vCenter タスクのステータス / 進捗状態を監視 vCenter タスクを作成。たとえば、ファームウェアアップデートタスク、ホスト設定タスク、およびインベントリタスク vCenter タスクのステータス / 進捗状態をアップデート ホストプロファイルを取得 データセンターにホストを追加 クラスタにホストを追加 ホストにプロファイルを適用 CIM 資格情報を取得 コンプライアンスのためにホストを設定 コンプライアンスタスクのステータスを取得 ● Dell.Inventory.
プリロード済みアカウント 次の表は、プリロードされた OMIVV アカウントについての説明です。 表 3. プリロード済みアカウント ユーザーアカウント 説明 OpenManage Integration for VMware vCenter 管理者 OMIVV Web アプリケーション管理用デフォルト ユーザー。 読み取り専用ユーザー。 OMIVV には、デフォルトで単一のローカル読み取り専用ユーザ ー アカウントがあります。 管理者は、VM のリモート コンソールのみを使用して OMIVV に ログインできます。 このアカウントは、トラブルシューティング中に重要なアプラ イアンスのステータスとログを表示するために使用できます。 Linux オペレーティング システム root root 操作システム アカウントにはアクセスできません。テク ニカル サポート チームが、現場の問題をデバッグするために root アカウントを使用します。 デフォルト資格情報 次の表は、プリロードされた OMIVV アカウントのデフォルト認証情報についての説明です。 表 4.
画面に表示される指示を完了してパスワードを設定します。 3. [現在のパスワード]テキスト ボックスに現在の管理パスワードを入力します。 4. [新規パスワード]テキスト ボックスに新しいパスワードを入力します。 5. [新規パスワードの確認]テキスト ボックスに新しいパスワードを再度入力します。 6.
表 5.
証明書の管理 OMIVV は、セキュアな HTTP アクセス(HTTPS)に証明書を使用します。 デフォルトでは、OMIVV は、HTTPS のセキュアなトランザクションに自己署名証明書をインストールして使用します。 セキュリティを強化するために、認証局(CA)署名またはカスタム証明書を使用することをお勧めします。 自己署名証明書は、Web ブラウザーとサーバーの間で暗号化されたチャネルを確立するためには十分です。自己署名証明書を認証 に使用することはできません。 OMIVV の認証には、次のタイプの証明書を使用できます。 ● 自己署名証明書 OMIVV は、アプライアンスのホスト名が変更された時に自己署名証明書を生成します。 ● 信頼できる認証局(CA)ベンダーによって署名された証明書。 メモ: 証明書を作成する場合は、会社のポリシーを検討してください。 登録済み vCenter Server の証明書のアップデート このタスクについて OpenManage Integration for VMware vCenter は、OpenSSL API と 2,048 ビットキー長の RSA 暗号化標準を使用し
HTTPS 証明書のアップロード 前提条件 証明書が PEM フォーマットを使用していることを確認してください。 このタスクについて HTTPS 証明書は、OMIVV アプライアンスとホスト システムまたは vCenter のセキュアな通信に使用できます。このタイプのセキ ュアな通信を設定するには、CSR 証明書を署名責任者に送信してから、管理者コンソールを使用してその CSR をアップロードしま す。また、自己署名によるデフォルト証明書もあり、セキュア通信に使用できます。この証明書は各インストール固有のものです。 手順 1. [アプライアンス管理]ページで、[HTTPS 証明書]領域の[証明書のアップロード]をクリックします。 2. [証明書のアップロード]ダイアログ ボックスで[OK]をクリックします。 3.
[トラブルシューティング バンドル]ダイアログボックスが表示されます。 2. [トラブルシューティング バンドル]ダイアログ ボックスで[作成]をクリックします。 ログのサイズによっては、バンドルの作成に時間がかかる場合があります。 3. ファイルを保存するには、[ダウンロード]をクリックします。 サービス化 サポート Web サイト(https://www.dell.
4 その他の構成と管理 トピック: • • • OpenManage Integration for VMware vCenter(OMIVV)のライセンス 信頼性と整合性の保護 OMIVV でのバックアップおよび復元の管理 OpenManage Integration for VMware vCenter(OMIVV) のライセンス OMIVV には、次の 2 種類のライセンスがあります。 ● 評価ライセンス — OMIVV アプライアンスの初回電源投入時に、自動的にインストールされます。評価バージョンには、OMIVV で 5 つのホスト(サーバー)を管理することを可能にする評価ライセンスが含まれています。この 90 日間評価バージョンは、 出荷時に提供されるデフォルトのライセンスです。 ● 標準ライセンス:OMIVV が管理するホストライセンスは、任意の数で購入できます。このライセンスには、製品サポートと OMIVV アプライアンスのアップデートも含まれています。標準ライセンスは 3 年または 5 年間利用できます。追加のライセン スを購入すると、既存のライセンス期間が延長されます。 1 つの XML
OMIVV でのバックアップおよび復元の管理 災害シナリオから OMIVV を保護するために、OMIVV のバックアップを実行することをお勧めします。必要に応じて、これらのバ ックアップから OMIVV を復元することができます。バックアップと復元の詳細については、https://www.dell.