HP Integrated Lights-Out 2 Benutzerhandbuch
Seite 51
Sicherheit gewährleistet ist, werden bei Aktivierung der 2-Faktor-Authentifizierung die folgenden
Konfigurationsänderungen vorgenommen:
•
Telnet Access (Telnet-Zugriff): Disabled (Deaktiviert)
•
Secure Shell (SSH) Access (SSH-Zugriff): Disabled (Deaktiviert)
•
Serial Command Line Interface Status (Status der seriellen Befehlszeilenschnittstelle): Disabled
(Deaktiviert)
Wenn ein Telnet, SSH- oder Serial CLI-Zugriff erforderlich ist, aktivieren Sie diese Einstellungen
erneut, nachdem Sie die Option der 2-Faktor-Authentifizierung aktiviert haben. Da diese
Zugriffsmethoden jedoch keine 2-Faktor-Authentifizierung ermöglichen, ist für den Zugriff auf iLO 2
mit Telnet, SSH oder Serial CLI lediglich eine einfache Authentifizierung erforderlich.
Wenn die 2-Faktor-Authentifizierung aktiviert ist, wird der Zugriff mit dem CPQLOCFG-Utility
deaktiviert, da CPQLOCFG nicht alle Anforderungen für die Authentifizierung erfüllt. Das Utility
HPONCFG hingegen ist funktionsbereit, da für die Ausführung dieses Utility
Administratorberechtigungen auf dem Hostsystem erforderlich sind.
Die 2-Faktor-Authentifizierung kann nur funktionieren, wenn ein Zertifikat einer vertrauenswürdigen
Zertifizierungsstelle vorhanden ist. Der Wert für die Einstellung „Two-Factor Authentication
Enforcement“ (2-Faktor-Authentifizierung erzwingen) kann nur in „Enabled“ (Aktiviert) geändert
werden, wenn ein vertrauenswürdiges CA-Zertifikat konfiguriert ist. Wenn lokale Benutzerkonten
verwendet werden, müssen Sie das Client-Zertifikat außerdem einem lokalen Benutzerkonto
zuordnen. Die Zuordnung von Client-Zertifikaten zu lokalen Benutzerkonten ist nicht zwingend
erforderlich, wenn iLO 2 die Verzeichnisauthentifizierung verwendet.
So ändern Sie die Sicherheitseinstellungen der 2-Faktor-Authentifizierung für iLO 2:
1.
Melden Sie sich bei iLO 2 mit einem Konto an, das über die Berechtigung „Configure iLO 2
Settings“ (iLO 2 Einstellungen konfigurieren) verfügt.
2.
Klicken Sie auf Administration>Security>Two-Factor Authentication
(Administration>Sicherheit>2-Faktor-Authentifizierung).
3.
Ändern Sie die Einstellungen, indem Sie die Felder entsprechend ausfüllen.
4.
Um die Änderungen zu speichern, klicken Sie auf Apply (Übernehmen).
Die Einstellung „Certificate Revocation Checking“ (Zertifikatsperrprüfung) legt fest, ob iLO 2 mit
dem Zertifikatsattribut der CRL-Verteilungspunkte die aktuellste Zertifikatsperrliste (CRL) herunterlädt
und darin überprüft, ob das Client-Zertifikat darauf gesperrt ist. Wenn sich das Client-Zertifikat auf
der Zertifikatsperrliste (CRL) befindet oder Sie die CRL nicht heruntergeladen können, wird der
Zugriff verweigert. Wenn die Einstellung „Certificate Revocation Checking“
(Zertifikatssperrüberprüfung) auf Yes (Ja) gesetzt ist, muss der CRL-Verteilungspunkt für iLO 2
verfügbar sein, und iLO muss auf den Verteilungspunkt zugreifen können.
Die Einstellung „Certificate Owner Field“ (Zertifikatseigentümer-Feld) legt fest, welches Attribut im
Client-Zertifikat für die Authentifizierung beim Verzeichnis verwendet wird. Verwenden Sie die
Einstellung „Certificate Owner Field“ (Zertifikatseigentümer-Feld) nur, wenn die
Verzeichnisauthentifizierung aktiviert ist. Die Konfiguration dieser Einstellung hängt von der
verwendeten Version der Verzeichnisunterstützung, der Verzeichniskonfiguration und den Richtlinien
für die Ausstellung von Zertifikaten in Ihrem Unternehmen ab. Bei Angabe von „SAN“ (Subject
Alternative Name) extrahiert iLO 2 aus dem Attribut „Subject Alternative Name“ (Alternativer
Antragstellernname) den „User Principal Name“ (Erster Benutzername) und verwendet ihn bei der
Authentifizierung beim Verzeichnis (Beispiel: benutzername@domäne.erweiterung). Wenn der
Antragstellername beispielsweise /DC=com/DC=domain/OU=organization/CN=user lautet,
leitet iLO 2 Folgendes ab: CN=user, OU=organization, DC=domain, DC=com.
Erstmaliges Einrichten der 2-Faktor-Authentifizierung
Wenn die 2-Faktor-Authentifizierung zum ersten Mal eingerichtet wird, können Sie lokale
Benutzerkonten oder Verzeichnisbenutzerkonten verwenden. Weitere Informationen zur
2-Faktor-Authentifizierung finden Sie unter
Sicherheit
51