Wbem, Ldap, Verwaltung von anmeldeinformationen – HP Systems Insight Manager Benutzerhandbuch
Seite 106: Ssl-zertifikate, Wbem ldap rmi
System muss den öffentlichen SSH-Schlüssel des CMS in seinem Speicher für öffentliche Schlüssel
haben, sodass es den CMS authentifizieren kann. Verwaltete Systeme werden über ihren öffentlichen
SSH-Schlüssel ebenfalls beim CMS authentifiziert.
In Systems Insight Manager lassen sich Tools über die Funktion „Privilege Elevation“
(Rechteerweiterung) für verwaltete HP-UX, Linux und ESX Systeme ausführen, indem sie sich zunächst
als Benutzer ohne Root-Berechtigung anmelden und dann eine Rechteerweiterung zum Ausführen
von Tools auf Root-Ebene anfordern. Dies kann unter Options
→Security (Sicherheit)→Privilege
Elevation (Rechteerweiterung) konfiguriert werden.
WBEM
Der gesamte WBEM-Zugriff erfolgt aus Sicherheitsgründen über HTTPS. Systems Insight Manager
ist mit einem Benutzernamen und einem Kennwort für den WBEM-Agent-Zugriff konfiguriert. Mit
SSL kann Systems Insight Manager das verwaltete System optional mit seinem SSL-Zertifikat
authentifizieren.
Bei HP-UX können anstelle des Benutzernamens und des Kennworts Zertifikate zur
WBEM-Authentifizierung verwendet werden. Sie können die WBEM-Authentifizierung über System
Credentials (Anmeldeinformationen für System)
→WBEM konfigurieren, indem Sie Options→Security
(Sicherheit)
→Credentials (Anmeldeinformationen)→System Credentials (Anmeldeinformationen für
System) wählen. Weitere Informationen finden Sie in der Onlinehilfe zu Systems Insight Manager.
LDAP
Wenn für die Verwendung eines Verzeichnisdiensts konfiguriert, kann Systems Insight Manager
für die Verwendung von LDAP mit SSL (Standard) oder ohne SSL eingerichtet werden, wodurch
die Anmeldeinformationen als Klartext übertragen würden. Informationen zum Aktivieren von LDAP
über SSL in Microsoft Active Directory finden Sie unter
Darüber hinaus kann der Verzeichnis-Server mit der Liste der
vertrauenswürdigen Zertifikate in Systems Insight Manager authentifiziert werden.
RMI
Java RMI wird dadurch gesichert, dass digital signierte Anforderungen mit dem privaten Schlüssel
des CMS erforderlich sind, der nur dem lokalen System zur Verfügung stehen sollte. Die gesamte
Kommunikation verwendet „localhost“, damit sie im Netzwerk nicht sichtbar ist.
Verwaltung von Anmeldeinformationen
SSL-Zertifikate
Von Systems Insight Manager und den Web-Agents generierte Zertifikate sind selbst signierte
Zertifikate. PKI (Public Key Infrastructure) wird unterstützt, sodass Zertifikate von einem internen
Zertifikatserver oder einer Zertifizierungsstelle signiert werden können. Das Systems Insight Manager
Zertifikat unterstützt mehrere Namen, um Warnungen zu Namensabweichungen in einem Browser
einzuschränken.
Systems Insight Manager verwendet mehrere Zertifikate. Das oben beschriebene Zertifikat ist das
Hauptzertifikat. Es wird vom SSL-Webserver von Systems Insight Manager, der SOAP-Schnittstelle
(
) der Partneranwendung und dem WBEM-Hinweisempfänger
verwendet. Dieses Zertifikat wird verwendet, um Systems Insight Manager bei Bedarf im Browser,
in den Partneranwendungen, die über SOAP mit Systems Insight Manager kommunizieren, und in
WBEM-Agents zu authentifizieren, die Hinweise an Systems Insight Manager ausgeben. Dieses
Zertifikat wird auch in verwalteten Systemen konfiguriert (z. B. SMH, Onboard Administrator,
Integrated Lights-Out, Storage Essentials, CV), um eine Vertrauensstellung zum verwalteten System
für SSO zu ermöglichen. Ein separates Zertifikat in Systems Insight Manager dient der
Authentifizierung von Systems Insight Manager bei HP-UX WBEM Services 2.5 und höher, wenn
dies für das WBEM-Protokoll konfiguriert wurde. Zertifikate von verwalteten Systemen können in
106 Überblick über die Systems Insight Manager Sicherheit