Dell EMC PowerStore 安全配置指南 1.x July 2020 Rev.
注意、小心和警告 注: “注意”表示帮助您更好地使用该产品的重要信息。 小心: “小心”表示可能会损坏硬件或导致数据丢失,并告诉您如何避免此类问题。 警告: “警告”表示可能会导致财产损失、人身伤害甚至死亡。 © 2020 年 Dell Inc. 或其子公司。保留所有权利。Dell、EMC 和其他商标是 Dell Inc.
目录 其他资源.........................................................................................................................................5 章 1: 身份验证和访问........................................................................................................................ 6 验证和管理用户帐户、角色和权限...................................................................................................................................6 出厂默认管理.............................................................................
章 4: 数据安全设置......................................................................................................................... 32 静态数据加密...................................................................................................................................................................... 32 加密激活...............................................................................................................................................................................32 加密状态..............
序言 为了不断改进,我们将定期发布软件和硬件产品的修订版。本文档中介绍的一些功能可能不被当前使用的软件或硬件的所有版本支 持。本产品发行说明提供了有关产品功能的新信息。如果某产品不能正常运行或其功能与本文档的描述不符,请与您的技术支持专 业人员联系。 从何处获得帮助 可以按如下方式获取支持、产品和许可信息: ● 产品信息 有关产品和功能的文档或发行说明,请访问 PowerStore 文档页面,地址为 www.dell.com/powerstoredocs。 ● 故障排除 有关产品、软件更新、许可和服务的信息,请转到 www.dell.com/support,并找到相应的产品支持页面。 ● 技术支持 如需技术支持,如有服务请求,请转至 www.dell.
1 身份验证和访问 本章包含以下信息: 主题: • • • • • • • • • • • • • • 验证和管理用户帐户、角色和权限 证书 保护群集中的 PowerStore 设备之间的通信 用于复制和数据导入的安全通信 vSphere Storage API for Storage Awareness 支持 CHAP 身份认证 配置 CHAP 外部 SSH 访问 配置外部 SSH 访问 NFS 安全 文件系统对象安全性 多协议环境中的文件系统访问 了解 Common AntiVirus Agent (CAVA) 代码签名 验证和管理用户帐户、角色和权限 对群集的访问是基于用户帐户的凭据执行身份验证的。用户帐户的创建和随后的管理是通过 Users 页面进行的,在 PowerStore Manager 中通过 Settings > Users > Users 可查看此页面。适用的授权取决于与用户帐户相关联的角色。当在 Web 浏览器中指定群 集的网络地址作为 URL 时,用户将看到登录页,在该页面中,用户能以本地用户身份进行身份验证。系统将对用户提供的凭据进行 身份验证,而且将在系统上创建一个会话。随后
注: 会话处于非活动状态达一小时后,用户将自动从群集中注销。 ● 会话超时不可配置。 用户名和密码的使用 系统帐户用户名必须符合以下要求: 限制 用户名要求 结构 必须以字母数字字符开头和结尾。 情形 所有用户名都不区分大小写 最少字母数字字符数 1 最多字母数字字符数 64 支持的特殊字符 .
任务 运算符 虚拟机管理员 安全性管理员 存储管理员 管理员 更改系统本地密码 查看系统设置、状态和性能信息 修改系统设置 创建、修改、删除资源和保护策 略,以及启用/禁用 SSH 连接到 vCenter 查看本地帐户的列表 添加、删除或修改本地帐户 通过连接到系统 VASA 提供程序的 vCenter 服务器查看系统存储信 息,并注册/重新注册 VMware 证 书颁发机构 (VMCA)/CA 证书 与文件相关的角色和权限 系统支持以下与文件相关的角色和权限: 注: 框中一个 号表示这是该角色一项受支持的权限,空框表示对于该角色此权限不受支持。 任务 运算符 查看以下内容: ● ● ● ● ● ● ● ● 文件系统警报 NAS 服务器列表 文件系统列表 文件用户配额列表 文件接口路由列表 文件接口列表 SMB 共享列表 NFS 导出列表 查看以下内容: ● 文件 DNS 服务器列表或指定的 DNS 服务器 ● 文件 FTP 服务器列表或指定的 FTP 服务器 ● 文件接口列表或指定的文件接 口 ● 文件接口路由列表或指定的接 口路由 ● 文件 Kerberos 服务器列表或指 定的
任务 运算符 虚拟机管理员 安全性管理员 存储管理员 管理员 ● 文件 NIS 服务器列表或指定的 NIS 服务器 ● 文件系统列表或指定的文件系 统 ● 文件树配额列表或指定的文件 树配额 ● 文件用户配额列表或指定的用 户配额 ● 文件病毒检查程序列表或指定 的文件病毒检查程序 ● NAS 服务器列表或指定的 NAS 服务器 ● NFS 导出列表或指定的 NFS 导 出 ● NFS 服务器列表或指定的 NFS 服务器 ● SMB 服务器列表或指定的 SMB 服务器 ● SMB 共享列表或指定的 SMB 共享 添加、修改、删除或 ping 指定的 NAS 服务器,或将密码、主机或 组上传到指定的 NAS 服务器 查看指定 NAS 服务器的密码或主 机 添加文件系统,修改或删除现有 NAS 服务器上的指定文件系统 将克隆或快照添加到指定文件系 统,或者刷新或恢复指定的文件系 统,或者刷新指定文件系统的配额 添加文件树配额,或修改、删除、 刷新指定文件树配额 添加文件用户配额,或修改、删 除、刷新指定文件用户配额 添加文件病毒检查程序,或修改、 删除指定的文件病毒检查程序,或 上传指定的文件病毒检查
任务 运算符 虚拟机管理员 安全性管理员 存储管理员 管理员 添加文件 DNS、文件 FTP、文件 Kerberos、文件 LDAP、文件 NDMP 或文件 NIS 服务器,或修 改、删除指定的文件 DNS、文件 FTP、文件 Kerberos、文件 LDAP、文件 NDMP 或文件 NIS 服 务器 上传文件 Kerberos 密钥表 下载文件 Kerberos 密钥表 上传文件 LDAP 配置或 LDAP 证书 下载文件 LDAP 证书 基于角色权限的用户帐户管理 具有 Administrator 或 Security Administrator 角色的用户可以执行以下与用户帐户管理相关的操作: ● 创建新的用户帐户。 ● 删除除内置 Administrator 帐户以外的任何用户帐户。 注: 内置的 Administrator 帐户无法删除。 ● 将另一用户更改为任何角色。 ● 重置另一个用户的密码。 ● 锁定或解锁另一个用户帐户。 注: 具有 Administrator 或 Security Administrator 角色的已登录用户不可以锁定他们自己的帐户。 已登录用户无法删除自己的
步骤 1. 如果 USB 驱动器已格式化,请转至下一步;否则,请使用命令提示符,例如 format /FS:FAT32,来格式化驱动器。 其中 d: 是您已插入笔记本电脑或 PC 的 USB 驱动器的盘符。 2. 使用以下命令设置标签: label d: RSTPWD 注: 设备将不会装载不带 RSTPWD 标签的 USB 驱动器。标记 USB 驱动器后,为您想要重置的帐户密码插入一个空文件。您 可以重置管理员和/或服务帐户密码。 3. 要在驱动器上创建空文件,请根据需要使用以下一个或两个命令: copy NUL d:\admin copy NUL d:\service 4. 将 USB 驱动器插入设备任一节点的 USB 端口,等待 10 秒钟,然后将其拔下。 您重置的每个帐户的密码现在均为默认值。 5. 使用群集 IP 地址通过浏览器连接到群集,并使用默认初始密码 Password123# 以管理员身份登录。 应该会出现一个提示,要求重置管理员密码和/或服务密码。如果您更愿意使用安全外壳 (SSH) 重置服务密码,则服务帐户的初 始默认密码是 service。 6.
3. 选择 Upload 并上传 reset.iso 文件,该文件可以是 www.dell.com/support 中预先创建的映像文件,或者是您在 Linux 系统中 自行创建的映像文件。 reset.iso 文件将出现在 ISOs 文件夹中。 4. 在 vSphere 中的 Host and Clusters 下,选择群集中主 PowerStore X model 设备的主节点。 例如,DataCenter-WX-D6013 > Cluster WX-D6013 > PSTX-44W1BW2-A 5. 在 Summary 下,单击 CD/DVD drive 1,然后选择 Connect to datastore ISO file。 此时将显示 Choose an ISO image to mount 窗口。 6. 在 Datastores 下,单击群集中的主 PowerStore X model 设备,然后选择 ISOs 文件夹。 reset.iso 文件应显示在 Contents 下。 7. 选择 reset.
保护群集中的 PowerStore 设备之间的通信 在群集创建过程中,群集主设备的主节点会创建一个证书颁发机构 (CA) 证书(也称为群集 CA)。主设备将群集 CA 证书传递给加入 群集的设备。 群集中的每个 PowerStore 设备都会生成自己唯一的 IPsec 证书,该证书由群集 CA 证书签名。PowerStore 设备通过其群集网络传输 的敏感数据受 IPsec 和 TLS 保护,使数据的安全性和完整性得到保证。 用于复制和数据导入的安全通信 PowerStore 的证书和凭据基础架构允许交换服务器和客户端证书,以及用户凭据。本过程包括: ● ● ● ● 在 TLS 握手期间检索和验证服务器证书 将受信任的 CA 证书从远程系统添加到凭据库 将受信任的服务器/客户端证书添加到凭据库 在建立信任后协助建立安全连接 PowerStore 支持以下证书管理功能: ● 对于复制,在两个 PowerStore 群集之间交换证书以建立受信任的管理通信。为简化 PowerStore 群集之间的复制,必须在群集之 间建立双向信任,以便在发出复制 REST 控制请求时进行相互 TLS 身份验证。 ● 对于数据
vCenter 会话、安全连接和凭据 当 vSphere 管理员使用 vSphere Client 来为 vCenter Server 提供 VASA 提供程序 URL 和登录凭据时,vCenter 会话即开始。vCenter Server 使用 URL、凭据和 VASA 提供程序的 SSL 证书来建立与 VASA 提供程序的安全连接。发生以下某个事件时,vCenter 会话结 束: ● 管理员使用 vSphere Client 从 vCenter 配置中删除 VASA 提供程序,并由 vCenter Server 终止连接。 ● vCenter Server 发生故障或 vCenter Server 服务发生故障,并终止连接。如果 vCenter 或 vCenter Server 服务无法重新建立 SSL 连接,则将启动一个新连接。 ● VASA Provider 发生故障,并终止连接。当 VASA Provider 启动时,它可响应来自 vCenter Server 的通信以重新建立 SSL 连接和 VASA 会话。 vCenter 会话基于 vCenter Server 和 VASA 提供程序之间的安全
启用单向身份验证时,在添加外部主机时需要输入每个启动器的用户名和密码。启用双向身份验证时,还需要输入群集的用户名和 密码。当添加主机并添加启用 CHAP 的启动器时,启动器密码必须是唯一的,您不能在主机的各个启动器中使用相同的密码。有关 如何配置外部主机的 CHAP 配置的具体详细信息将因情况而异。要利用此功能,您需要熟悉主机的操作系统以及如何配置它。 注: 一旦在系统上配置了主机之后,启用 CHAP 对于外部主机将是一种会造成中断的操作。它会导致 I/O 中断,直到在外部主机 和设备上的配置均设置好。建议您在将外部主机添加到设备之前,确定要实施的 CHAP 配置的类型(如果有)。 如果在添加主机后启用 CHAP,则更新每个主机的启动器。如果主机启用了 CHAP,则不能将它添加到没有 CHAP 凭据的主机组。如 果是在启用 CHAP 之后添加一个主机,则需要在 PowerStore Manager 中手动注册该主机,方法是在 Compute 之下选择 Hosts & Host Groups。您需要在 iSCSI 级别输入凭据,以供身份验证之用。在这种情况下,请从主机拷贝 IQN,然后为每个启动器添加相关 CH
SSH 授权 服务帐户基于以下因素进行授权: ● 应用程序隔离 — PowerStore 软件使用可隔离应用程序的容器技术。服务容器提供了设备服务的访问权限,只有一组服务脚本和 一组 Linux 命令可用。服务帐户无法访问向用户提供文件系统和数据块 I/O 的其他容器。 ● Linux 文件系统权限 — 以任何方式修改系统操作的大多数 Linux 工具和应用程序对于服务用户不可用,需要超级用户帐户权限。 由于服务帐户没有此类访问权限,因此它无法使用需要拥有对其的执行权限才能使用的 Linux 工具和应用工具,也无法编辑需要 root 访问权限才能读取或修改或执行上述两种操作的配置文件。 ● 访问控制 — 除了容器技术提供的应用程序隔离之外,设备上的访问控制列表 (ACL) 机制会使用非常具体的规则列表来明确授予 或拒绝服务帐户对系统资源的访问权限。这些规则会指定服务帐户对设备其他方面的权限,这些权限并未由标准 Linux 文件系统 权限另行定义。 设备服务脚本 设备的软件版本上安装了一组问题诊断、系统配置和系统恢复脚本。这些脚本可提供深层次的信息,还可提供比 PowerStore Manager 级别更低的
注: Kerberos 依赖于 KDC、服务器和网络客户端之间的正确时间同步。 ● UDS — 用于构建凭据。 ● 主机名 — Kerberos 将使用名称而非 IP 地址。 NFS 安全访问使用一个或两个服务主体名称 (SPN),具体取决于主机名的值。如果主机名采用 FQDN 格式 host.domain: ● 短 SPN:nfs/host@REALM ● 长 SPN:nfs/host.
对文件系统对象的访问基于是否已使用安全描述符将权限设置为“允许”或“拒绝”。SD 描述了对象的所有者和对象的组 SID 及其 ACL。ACL 是每个对象的安全描述符的一部分。每个 ACL 都包含访问控制项 (ACE)。反过来,每个 ACE 都包含标识用户、组或计算 机的单个 SID,以及此 SID 拒绝或允许的权限列表。 多协议环境中的文件系统访问 通过 NAS 服务器提供文件访问。NAS 服务器包含一系列用于存储数据的文件系统。NAS 服务器通过 SMB 共享和 NFS 共享来共享文 件系统,使得可利用 NFS、SMB 文件协议访问这些数据。通过多协议共享的 NAS 服务器模式,可在 SMB 与 NFS 之间共享相同的数 据。由于多协议共享模式可同时提供对文件系统的 SMB 和 NFS 访问,所以必须为多协议共享考虑并正确配置 Windows 用户到 UNIX 用户的映射以及定义要使用的安全规则(模式位、ACL 和用户凭据)。 注: 有关针对多协议共享、用户映射、访问策略和用户凭据来配置和管理 NAS 服务器的信息,请参阅 PowerStore Manager 联机 帮助。 用户映射 在多协议环境中,W
ntxmap ntxmap 用于在 Windows 帐户名和 UNIX 帐户名不同时关联二者。例如,假设用户有一个帐户,在 Windows 上叫 Gerald,在 UNIX 上 叫 Gerry,于是 ntxmap 用来在二者间建立关联。 SID 到 UID 和主要 GID 的映射 将按照下列过程顺序解析 SID 到 UID 和主要 GID 的映射: 1. 搜索 secmap 以查找 SID。如果找到 SID,则 UID 和 GID 映射解析。 2. 如果在 secmap 中找不到 SID,必须找到与 SID 相关的 Windows 名称。 a. 搜索 NAS 的 SMB 服务器的本地组数据库,以查找 SID。如果找到 SID,则相关的 Windows 名称就是本地用户名称加上 SMB 服务器名称。 b. 如果在本地组数据库中找不到 SID,则搜索域的 DC。如果找到 SID,则相关的 Windows 名称就是用户名称。如果 SID 不可解 析,则拒绝访问。 3. Windows 名称被转换为 UNIX 名称。ntxmap 用于以下目的。 a.
在 secmap secmap 中? SID 是 在本地文件还 是 UDS 中? UID 和 主 GID 否 在本地组 数据库中? 是 自动 映射? 仅用于 SMB 访问的 Windows 名称 是 Windows 名称 未知 SID 拒绝访问 图 1: 用来解析 SID 到 UID(主要 GID)映射的过程 身份验证和访问 是 UID 和 主 GID 是 UID 和 主 GID 否 否 20 UID 和 主 GID 否 否 在域 控制器中? 是 在 ntxmap 中? 否 是 UNIX 名称 Windows 名称 = UNIX 名称 默认 UNIX 帐户? 否 映射失败 拒绝访问
UID 到 SID 映射 将按照下列过程顺序解析 UID 到 SID 映射: 1. 搜索 ecmap 以查找 UID。如果找到 UID,则 SID 映射解析。 2. 如果在 secmap 中找不到 UID,必须找与 UID 相关的 UNIX 名称。 a. 使用 UID 搜索 UDS(NIS 服务器、LDAP 服务器或本地文件)。如果找到 UID,则相关的 UNIX 名称就是用户名称。 b. 如果在 UDS 中找不到 UID,但存在一个默认 Windows 帐户,则 UID 将被映射到默认 Windows 帐户的 SID。 3. 如果不使用默认 Windows 帐户信息,则 UNIX 名称转换成 Windows 名称。ntxmap 用于以下目的。 a. 如果在 ntxmap 中找到 UNIX 名称,则该条目用作 Windows 名称。 b. 如果在 ntxmap 中找不到 UNIX 名称,则 UNIX 名称用作 Windows 名称。 4. 使用 Windows 名称搜索 Windows DC 或本地组数据库。 a. 如果找到 Windows 名称,则解析 SID 映射。 b.
UID secmap中? 在 secmap 是 在域控制器中? SID 是 UNIX 名称 否 在 ntxmap 中? 否 是 Windows 名称 Windows 名称 = UNIX 名称 在本地组 数据库中? 否 无法解析的 UID 拒绝访问 图 2: 用来解析 UID 到 SID 映射的过程 身份验证和访问 是 SID 否 默认 Windows 帐户? 22 SID 否 否 在本地文件 还是 UDS 中? 是 是 SID
NFS、SMB 和 FTP 的访问策略 在多协议环境中,存储系统使用文件系统访问策略来管理文件系统的用户访问控制。有两种安全保护机制:UNIX 和 Windows。 对于 UNIX 安全身份验证,从 UNIX 目录服务 (UDS) 构建凭据,但非安全 NFS 访问除外,其凭据由主机客户端提供。用户权限根据 模式位和 NFSv4 ACL 确定。用户和组标识符(分别为 UID 和 GID)用于标识。没有与 UNIX 安全机制关联的权限。 对于 Windows 安全身份验证,从 SMB 服务器的 Windows 域控制器 (DC) 和本地组数据库 (LGDB) 构建凭据。从 SMB ACL 决定用户 权利。安全标识符 (SID) 用于标识。有一些与 Windows 安全性关联的权限,如 TakeOwnership(接管)、Backup(备份)和 Restore (恢复),它们由 SMB 服务器的 LGDB 或组策略对象 (GPO) 授权。 下表介绍了定义哪些协议使用哪种安全机制的访问策略: 访问策略 描述 Native(默认 值) ● 每个协议均通过自身的本机安全性来管理访问。 ● NFS 共享的安全性使用与
授予未映射用户访问权限 多协议要求满足以下条件: ● 必须将 Windows 用户映射到 UNIX 用户。 ● 当 UNIX 用户访问一个有 Windows 访问策略的文件系统时,为构建 Windows 凭据,此用户必须映射到一个 Windows 用户。 对于未映射的用户,有两个属性关联到 NAS 服务器: ● 默认 UNIX 用户。 ● 默认 Windows 用户。 当未映射的 Windows 用户试图连接到一个多协议文件系统而为 NAS 服务器配置的是默认 UNIX 用户帐户时,在 Windows 凭据中使用 默认 UNIX 用户的用户标识符 (UID) 和主要组标识符 (GID)。同理,当未映射的 UNIX 用户试图连接到一个多协议文件系统而为 NAS 服务器配置的是默认 Windows 用户帐户时,使用默认的 Windows 用户的 Windows 凭据。 注: 如果 UNIX 目录服务 (UDS) 中未设置默认 UNIX 用户,则拒绝未映射的用户进行 SMB 访问。如果在 Windows DC 或 LGDB 中 找不到默认 Windows 用户,则拒绝未映射用户对具有 Windows 访问策略的文件
了解 Common AntiVirus Agent (CAVA) Common AntiVirus Agent (CAVA) 使用 NAS 服务器向客户端提供防病毒解决方案。它在 Microsoft Windows Server 环境中使用符合行 业标准的 SMB 协议。CAVA 使用第三方防病毒软件在已知的病毒感染存储系统上的文件之前,识别并消除它们。 防病毒为什么很重要? 存储系统可凭借其体系结构抵御病毒入侵。NAS 服务器使用嵌入式操作系统实时运行数据访问。第三方无法在此操作系统上运行包 含病毒的程序。尽管操作系统软件可抵御病毒,但是访问存储系统的 Windows 客户端也需要病毒防护。客户端上的病毒防护可减少 客户端在服务器上存储受感染文件的机会,并可在客户端打开受感染文件时提供保护。此防病毒解决方案组合了操作系统软件、 CAVA 代理和第三方防病毒引擎。CAVA 软件和第三方防病毒引擎必须安装在域中的 Windows 服务器上。 有关 CAVA(属于 Common Event Enabler (CEE) 的一部分)的其他信息,请参阅 Using the Common Event Enabler o
2 通信安全设置 本节包括以下主题: 主题: • 端口使用情况 端口使用情况 以下部分概括介绍了可在设备中找到的网络端口及相应服务的集合。一体机在多种情况下(例如与 vCenter Server 通信)可充当网 络客户端。在这些情况下,一体机会启动通信,网络基础架构需要支持这些连接。 注: 有关端口的其他信息,请参阅知识库文章 542240,PowerStore:客户网络防火墙规则 — TCP/UDP 端口。转至 https:// www.dell.com/support/kbdoc/en-us/542240。客户网络防火墙规则工具可让您筛选和查看与 PowerStore 部署相关的防火墙规则 和端口的列表。 设备网络端口 下表概括介绍了可在设备中找到的网络端口及相应服务的集合。 表.
表.
表.
表.
表.
3 审核 本章包含以下信息: 主题: • 审核 审核 审核提供了系统上用户活动的历史视图。具有管理员、安全管理员或存储管理员角色的用户,可以使用 REST API 在系统中搜索和查 看配置更改事件。这些被审核的事件不仅与安全相关,所有设置操作(即 POST/PATCH/DELETE)都会进行审核记录。 其他界面(例如 PowerStore Manager UI 和 CLI)可用于搜索和查看审核事件。 审核 31
4 数据安全设置 本节包括以下主题: 主题: • • • • • • • • 静态数据加密 加密激活 加密状态 密钥管理 密钥库备份文件 在启用加密的设备中重新调整驱动器用途 从启用加密的系统更换基本存储模块和节点 将设备重置为出厂设置 静态数据加密 PowerStore 中的静态数据加密 (D@RE) 将经过 FIPS 140-2 验证的自加密驱动器 (SED) 用作主存储(NVMe SSD、NVMe SCM 和 SAS SSD)。NVRAM 高速缓存设备已加密,但目前未经 FIPS 140-2 验证。 加密是在每个驱动器内在数据写入到该介质之前执行的。这样可针对驱动器被盗或丢失 — 以及通过物理解构驱动器来直接读取驱动 器的企图 — 来为驱动器上的数据提供保护。加密还提供了一种快速、安全地擦除驱动器上的信息以确保信息无法恢复的方法。除了 针对介质实体移除伴有的威胁提供保护之外,通过销毁用于保护介质上之前存储的数据的加密密钥,还可随时重新调整介质的用 途。 读取加密数据需要用 SED 的身份验证密钥来解锁驱动器。只有经过身份验证的 SED 才能解锁并访问。驱动器解锁以后,SED 会将加 密数据解密回其
● Encrypted — 驱动器已加密。这是一体机中的驱动器的典型状态,能够执行加密。 ● Encrypting — 一体机正在该驱动器上启用加密。在一体机上的初始激活加密或将新驱动器添加到配置的一体机期间,可以看到此 状态。 ● Disabled — 由于特定于国家/地区的进口限制,驱动器不能启用加密。如果任何驱动器报告此状态,则群集中的所有驱动器也将 报告相同的状态。 ● Unknown — 一体机尚未尝试在驱动器上启用加密。在一体机上的初始激活加密或将新驱动器添加到配置的一体机期间,可以看 到此状态。 ● Unsupported — 该驱动器不支持加密。 ● Foreign — 该驱动器支持加密,但已经被另一个一体机锁定。它需要先解除锁定,然后才能使用。 密钥管理 在每个 PowerStore 设备的活动节点上运行着一项嵌入式密钥管理器服务 (KMS)。此服务管理着本地密钥库文件密码箱存储,以支持 将密钥自动加密备份到系统和引导驱动器。它还控制设备上的自加密驱动器 (SED) 锁定和解锁过程,并负责管理设备的本地密钥库 内容。本地密钥库文件使用一个 256 位 AES 密钥加密,密钥库文件密码箱存储
5.
5 安全可维护性设置 本章包含以下信息: 主题: • • • • • • • • 操作说明 SupportAssist SupportAssist 选项 SupportAssist Gateway Connect 选项 SupportAssist Direct Connect 选项 针对 SupportAssist Gateway Connect 的要求 针对 SupportAssist Direct Connect 的要求 配置 SupportAssist 配置 SupportAssist 操作说明 SupportAssist™ SupportAssist 功能提供基于 IP 的连接,使 Dell EMC 支持部门可以从您的设备接收错误文件和警报,并执行远程故障排除,从而快速 高效地解决问题。 注: 强烈建议启用 SupportAssist 功能以加快问题诊断、执行故障排除和帮助加快问题解决速度。如果不启用 SupportAssist 功 能,则可能需要手动收集设备信息,以协助 Dell EMC 支持部门对设备进行故障排除并解决问题。另外,必须在设备上启用 SupportAssist 功能,才能将数据
您可以控制哪些用户在何时访问设备的哪些内容。有关策略管理器的详细信息,请访问 www.dell.
有关 SupportAssist 网关的详细信息,请访问戴尔支持网站 (www.dell.
● Suppoprt Assist — 一个您可以从 PowerStore Manager 中访问的设置页面(单击 Settings,在 Support 下选择 SupportAssist)。 ● REST API 服务器 — 可以接收配置 SupportAssist 设置的 REST API 请求的应用程序接口。有关 REST API 的更多信息,请参阅 PowerStore REST API Reference Guide。 要确定 SupportAssist 功能的状态,请在 PowerStore Manager 中单击 Settings,然后在 Support 下选择 SupportAssist。 配置 SupportAssist 关于此任务 要使用 PowerStore Manager 配置 SupportAssist,请执行以下操作: 注: 将 Direct Connect with remote access 选项更改为 Direct Connect without remote access 或 Gateway Connect 选项要 求 Dell EMC 支持人员提供协助。 步骤 1.
A TLS 加密套件 本附录包含以下信息: 主题: • 支持的 TLS 加密套件 支持的 TLS 加密套件 加密套件定义了一组用于保护您的 TLS 通信的技术: ● ● ● ● 密钥交换算法(用于加密数据的密钥如何从客户端传递到服务器)。示例:RSA 密钥或 Diffie-Hellman (DH) 身份验证方法(主机如何验证远程主机的身份)。示例:RSA 证书、DSS 证书或无身份验证 加密方法(如何加密数据)。示例:AES(256 位或 128 位) 哈希算法(通过提供确定是否数据已修改的方式来保护数据)。示例:SHA-2 或 SHA-1 支持的加密套件融合了所有这些项。 下表给出了设备 TLS 密码套件的 OpenSSL 名称以及关联的端口。 表. 5: 设备上默认/支持的 TLS 密码套件 加密套件 协议 端口 TLS_DHE_RSA_WITH_AES_128_CBC_SHA TLSv1.2 443、8443 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLSv1.