Users Guide
Table Of Contents
- Integrated Dell Remote Access Controller 9 用户指南
- 目录
- iDRAC 概览
- 登录 iDRAC
- 强制更改密码 (FCP)
- 使用 OpenID Connect 登录 iDRAC
- Logging in to iDRAC as local user, Active Directory user, or LDAP user
- 使用智能卡作为本地用户登录 iDRAC
- 使用单一登录登录 iDRAC
- 使用远程 RACADM 访问 iDRAC
- 使用本地 RACADM 访问 iDRAC
- 使用固件 RACADM 访问 iDRAC
- 简单的双重身份验证(简单 2FA)
- RSA SecurID 2FA
- 查看系统运行状况
- 使用公共密钥验证登录 iDRAC
- 多个 iDRAC 会话
- 安全默认密码
- 更改默认登录密码
- 启用或禁用默认密码警告消息
- 密码强度策略
- IP 阻止
- 使用 Web 界面启用或禁用 OS 到 iDRAC 直通
- 使用 RACADM 启用或禁用警报
- 设置受管系统
- 设置 iDRAC IP 地址
- 修改本地管理员帐户设置
- 设置受管系统位置
- 优化系统性能和功耗
- 设置管理站
- 配置支持的 Web 浏览器
- Updating device firmware
- 查看和管理分阶段更新
- 回滚设备固件
- 轻松还原
- 使用其他系统管理工具监测 iDRAC
- 支持服务器配置配置文件 — 导入和导出
- BIOS 设置或 F2 中的安全引导配置
- BIOS 恢复
- Plugin Management
- 配置 iDRAC
- 使用 OAuth 2.0 的委派授权
- 查看 iDRAC 和受管系统信息
- 设置 iDRAC 通信
- 配置用户帐户和权限
- 系统配置锁定模式
- 配置 iDRAC 以进行单一登录或智能卡登录
- 配置 iDRAC 以发送警报
- iDRAC 9 Group Manager
- 管理日志
- 在 iDRAC 中监测和管理电源
- iDRAC Direct Updates
- 对网络设备执行资源清册、监测和配置操作
- Managing storage devices
- BIOS 设置
- 配置并使用虚拟控制台
- 使用 iDRAC 服务模块
- 使用 USB 端口进行服务器管理
- 使用 Quick Sync 2
- 管理虚拟介质
- 管理 vFlash SD 卡
- 使用 SMCLP
- 部署操作系统
- 使用 iDRAC 排除受管系统故障
- iDRAC 中的 SupportAssist 集成
- 常见问题
- 使用案例场景
b. 使用新的用户帐户时:
● 确保用户名字符串与 iDRAC SSL 证书中的“用户名”字段相匹配。
● 如果它们不匹配,则您需要重新配置 iDRAC KMS 属性(即,“用户名”和“密码”)。
● 一旦验证确定证书包含用户名,需要进行的唯一更改是将密钥所有权从旧用户更改为新用户,以匹配新创建的 KMS 用户
名。
在使用 Vormetric Data Security Manager 作为 KMS 时,请确保 iDRAC SSL 证书中的通用名称 (CN) 字段与添加到 Vormetric Data
Security Manager 的主机名相匹配。否则,可能无法成功导入证书。
注:
● 当 racadm sekm getstatus 报告为失败时,重新加密选项将禁用。
● 对于客户端证书下面的用户名字段,SEKM 仅支持通用名称、用户 ID 或组织单元。
● 如果您使用第三方 CA 为 iDRAC CSR 进行签名,则确保第三方 CA 支持客户端证书中用户名字段的值 UID。如果它不受
支持,请使用通用名称作为用户名字段的值。
● 如果您使用的是“用户名”和“密码”字段,请确保 KMS 服务器支持这些属性。
注: 对于 KeySecure 密钥管理服务器,
● 创建 SSL 证书请求时,必须在主题备用名称字段中包含密钥管理服务器的 IP 地址
● IP 地址必须采用以下格式:IP:xxx.xxx.xxx.xxx。
使用 RACADM 配置服务
要使用 RACADM 启用和禁用服务,请使用 set 命令和以下对象组中的对象:
● iDRAC.LocalSecurity
● iDRAC.LocalSecurity
● iDRAC.SSH
● iDRAC.Webserver
● iDRAC.Racadm
● iDRAC.SNMP
有关这些对象的更多信息,请参阅 iDRAC RACADM CLI
指南
,网址:https://www.dell.com/idracmanuals。
SEKM 功能
以下是 iDRAC 中提供的 SEKM 功能:
1. SEKM 密钥清除策略 — iDRAC 提供了一个策略设置,允许您将 iDRAC 配置为在执行重新加密操作时清除密钥管理服务器 (KMS)
中旧的未使用密钥。您可以将 iDRAC 可读写属性 KMSKeyPurgePolicy 设置为以下值之一:
● Keep All Keys — 这是默认设置以及现有行为,即 iDRAC 在执行重新加密操作时保持 KMS 上的所有密钥不变。
● Keep N and N-1 keys — 在执行重新加密操作时,iDRAC 删除 KMS 中除当前 (N) 和上一个密钥 (N-1) 以外的所有密钥。
2. 禁用 SEKM 上的 KMS 密钥清除 — 作为 Secure Enterprise Key Manager (SEKM) 解决方案的一部分,iDRAC 允许您禁用 iDRAC
上的 SEKM。禁用 SEKM 后,iDRAC 在 KMS 中生成的密钥将不会被使用,并保留在 KMS 中。此功能用于允许 iDRAC 在 SEKM
被禁用时删除这些密钥。iDRAC 为现有的传统命令“racadm sekm disable”提供新的选项“-purgeKMSKeys”,这将允许您在
iDRAC 上的 SEKM 被禁用时清除 KMS 中的密钥。
注: 如果 SEKM 已被禁用,并且您想要清除旧密钥,您必须重新启用 SEKM,然后禁用传入选项 -purgeKMSKeys。
3. 密钥创建策略 — 在此版本中,iDRAC 预配置了密钥创建策略。属性 KeyCreationPolicy 为只读,并且设置为“Key per iDRAC”
值。
● iDRAC 只读属性 iDRAC.SEKM.KeyIdentifierN 报告由 KMS 创建的密钥标识符。
racadm get iDRAC.SEKM.KeyIdentifierN
● iDRAC 只读属性 iDRAC.SEKM.KeyIdentifierNMinusOne 在执行重新加密操作后报告之前的密钥标识符。
racadm get iDRAC.SEKM.KeyIdentifierNMinusOne
4. SEKM 重新加密 — iDRAC 提供了两个选项来重新加密 SEKM 解决方案,即重新加密 iDRAC 或 PERC。建议重新加密 iDRAC,因
为这会重新加密所有支持/启用 SEKM 安全的设备。
● SEKM iDRAC
重新加密
[iDRAC.Embedded.1 FQDD
上的重新加密
] — 在执行 racadm sekm rekey iDRAC.Embedded.1
时,所有支持/启用 SEKM 安全的设备都通过来自 KMS 的新密钥重新加密,这是所有启用了 SEKM 的设备的通用密钥。还可
配置 iDRAC 91