この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
次の通信サービスを使用してサードパーティ アプリケーションを Cisco UCS に接続できます。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Communication Services] タブを選択します。 |
ステップ 4 |
[CIM-XML] 領域で、[enabled] オプション ボタンをクリックします。 [CIM-XML] 領域が展開され、利用可能な設定オプションが表示されます。 |
ステップ 5 |
(任意)[Port] フィールドで、Cisco UCS Manager GUI が CIM-XML に使用するデフォルトのポートを変更します。 デフォルトのポートは 5988 です。 |
ステップ 6 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||
ステップ 2 | [Admin] タブで、 を展開します。 | ||
ステップ 3 | [Communication Services] タブをクリックします。 | ||
ステップ 4 |
[HTTP] 領域で、[enabled] オプション ボタンをクリックします。 [HTTP] 領域が展開され、利用可能な設定オプションが表示されます。 |
||
ステップ 5 |
(任意)[Port] フィールドで、Cisco UCS Manager GUI が HTTP に使用するデフォルトのポートを変更します。 デフォルトのポートは 80 です。 |
||
ステップ 6 |
(任意)[Redirect HTTP to HTTPS] フィールドで、[enabled] オプション ボタンをクリックします。 HTTP ログインを HTTPS ログインにリダイレクションできるように HTTPS を設定してイネーブルにする必要もあります。 イネーブルにすると、HTTPS をディセーブルにするまでリダイレクションをディセーブルにできません。
|
||
ステップ 7 | [Save Changes] をクリックします。 |
HTTPS は、Public Key Infrastructure(PKI)を使用してクライアントのブラウザと Cisco UCS Manager などの 2 つのデバイス間でセキュアな通信を確立します。
各 PKI デバイスは、内部キー リングに非対称の Rivest-Shamir-Adleman(RSA)暗号キーのペア(1 つはプライベート、もう 1 つはパブリック)を保持します。 いずれかのキーで暗号化されたメッセージは、もう一方のキーで復号化できます。 暗号化されたメッセージを送信する場合、送信者は受信者の公開キーで暗号化し、受信者は独自の秘密キーを使用してメッセージを復号化します。 送信者は、独自の秘密キーで既知のメッセージを暗号化(「署名」とも呼ばれます)して公開キーの所有者を証明することもできます。 受信者が該当する公開キーを使用してメッセージを正常に復号化できる場合は、送信者が対応する秘密キーを所有していることが証明されます。 暗号キーの長さはさまざまであり、通常の長さは 512 ビット ~ 2048 ビットです。 一般的に、短いキーよりも長いキーの方がセキュアになります。 Cisco UCS Manager では、最初に 1024 ビットのキー ペアを含むデフォルトのキー リングが提供されます。そして、追加のキー リングを作成できます。
クラスタ名が変更されるか、証明書が期限切れになった場合は、デフォルトのキー リング証明書を手動で再生成する必要があります。
この操作は UCS Manager CLI のみで使用できます。
セキュアな通信を準備するには、まず 2 つのデバイスがそれぞれのデジタル証明書を交換します。 証明書は、デバイスの ID に関する署名済み情報とともにデバイスの公開キーを含むファイルです。 暗号化された通信をサポートするために、デバイスは独自のキー ペアと独自の自己署名証明書を生成できます。 リモート ユーザが自己署名証明書を提示するデバイスに接続する場合、ユーザはデバイスの ID を簡単に検証することができず、ユーザのブラウザは最初に認証に関する警告を表示します。 デフォルトでは、Cisco UCS Manager にはデフォルトのキー リングからの公開キーを含む組み込みの自己署名証明書が含まれます。
Cisco UCS Manager に強力な認証を提供するために、デバイスの ID を証明する信頼できるソース(つまり、トラスト ポイント)からサードパーティ証明書を取得し、インストールできます。 サードパーティ証明書は、発行元トラスト ポイント(ルート Certificate Authority [CA; 認証局]、中間 CA、またはルート CA につながるトラスト チェーンの一部となるトラスト アンカーのいずれか)によって署名されます。 新しい証明書を取得するには、Cisco UCS Manager で証明書要求を生成し、トラスト ポイントに要求を送信する必要があります。
Cisco UCS Manager はデフォルトのキー リングを含む、最大 8 つのキー リングをサポートします。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Key Management] を右クリックし、[Create Key Ring] を選択します。 |
ステップ 4 |
[Create Key Ring] ダイアログボックスで、次の手順を実行します。
|
このキー リングの証明書要求を作成します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||||||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||||||||||||||||
ステップ 3 | 証明書要求を作成するキー リングをクリックします。 | ||||||||||||||||||||||||
ステップ 4 | [Work] ペインの [General] タブをクリックします。 | ||||||||||||||||||||||||
ステップ 5 | [General] タブで [Create Certificate Request] をクリックします。 | ||||||||||||||||||||||||
ステップ 6 |
[Create Certificate Request] ダイアログボックスで、次のフィールドに値を入力します。
|
||||||||||||||||||||||||
ステップ 7 | [OK] をクリックします。 | ||||||||||||||||||||||||
ステップ 8 | [Request] フィールドから証明書要求のテキストをコピーし、ファイルに保存します。 | ||||||||||||||||||||||||
ステップ 9 | 証明書要求を含むファイルをトラスト アンカーまたは認証局に送信します。 |
トラスト ポイントを作成し、トラスト アンカーから受け取ったトラストの証明書の証明書チェーンを設定します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||
ステップ 3 | [Key Management] を右クリックし、[Create Trusted Point] を選択します。 | ||||||
ステップ 4 |
[Create Trusted Point] ダイアログボックスで、次のフィールドに値を入力します。
|
||||||
ステップ 5 | [OK] をクリックします。 |
トラスト アンカーまたは認証局から証明書を受信したら、キー リングにインポートします。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||
ステップ 2 | [Admin] タブで、 を展開します。 | ||
ステップ 3 | 証明書のインポート先となるキー リングをクリックします。 | ||
ステップ 4 | [Work] ペインの [General] タブをクリックします。 | ||
ステップ 5 |
[Certificate] 領域で、次のフィールドに値を入力します。
|
||
ステップ 6 | [Save Changes] をクリックします。 |
キー リングを使用して HTTPS サービスを設定します。
注意 |
HTTPS によって使用されるポートとキー リングの変更をなど、HTTPS 設定がすべて完了すると、トランザクションを保存するかコミットするとすぐに、現在のすべての HTTP と HTTPS セッションは警告を出さずに終了します。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||||||
ステップ 3 | [Communication Services] タブを選択します。 | ||||||||||||||
ステップ 4 |
[HTTPS] 領域で、[enabled] オプション ボタンをクリックします。 [HTTPS] 領域が展開され、利用可能な設定オプションが表示されます。 |
||||||||||||||
ステップ 5 |
次のフィールドに入力します。
|
||||||||||||||
ステップ 6 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | 削除するキー リングを右クリックし、[Delete] を選択します。 |
ステップ 4 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
トラスト ポイントがキー リングによって使用されていないことを確認します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | 削除するトラスト ポイントを右クリックし、[Delete] を選択します。 |
ステップ 4 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
ステップ 5 | [OK] をクリックします。 |
簡易ネットワーク管理プロトコル(SNMP)は、SNMP マネージャとエージェントの間の通信のメッセージ フォーマットを提供するアプリケーション層プロトコルです。 SNMP は、ネットワーク内のデバイスのモニタリングおよび管理に使用する標準フレームワークと共通言語を提供します。
SNMP フレームワークは 3 つの部分で構成されます。
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム。
SNMP エージェント:Cisco UCS のデータを保守し、必要に応じてデータを SNMP マネージャに報告する、Cisco UCS 内のソフトウェア コンポーネント、つまり管理対象デバイス。 Cisco UCS Cisco UCS はエージェントおよび MIB の収集を含みます。 SNMP エージェントをイネーブルにし、マネージャおよびエージェント間の関係を作成するには、Cisco UCS Manager で SNMP をイネーブルにして設定します。
管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。 Cisco UCS Cisco UCS リリース 1.4(1) 以降は以前のリリースに比べ多数の MIB をサポートします。
Cisco UCS Cisco UCS は SNMPv1、SNMPv2c、および SNMPv3 をサポートします。 SNMPv1 と SNMPv2c は、ともにコミュニティベース形式のセキュリティを使用します。 SNMP は、次に定義されています。
RFC 3410(http://tools.ietf.org/html/rfc3410)
RFC 3411(http://tools.ietf.org/html/rfc3411)
RFC 3412(http://tools.ietf.org/html/rfc3412)
RFC 3413(http://tools.ietf.org/html/rfc3413)
RFC 3414(http://tools.ietf.org/html/rfc3414)
RFC 3415(http://tools.ietf.org/html/rfc3415)
RFC 3416(http://tools.ietf.org/html/rfc3416)
RFC 3417(http://tools.ietf.org/html/rfc3417)
RFC 3418(http://tools.ietf.org/html/rfc3418)
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。 これらの通知では、要求を SNMP マネージャから送信する必要はありません。 通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Cisco UCS Manager Cisco UCS Manager は、トラップまたはインフォームとして SNMP 通知を生成します。 SNMP マネージャはトラップを受信したときに確認応答をまったく送信しないため、トラップはインフォームより信頼性が低くなり、また、Cisco UCS Manager はトラップが受信されたかどうかを判断できません。 インフォーム要求を受信する SNMP マネージャは、SNMP 応答 Protocol Data Unit(PDU; プロトコル データ ユニット)でメッセージの受信を確認します。 PDU を受信しない場合、Cisco UCS Manager はインフォーム要求を再び送信できます。
SNMPv1、SNMPv2c、および SNMPv3 は、それぞれ異なるセキュリティ モデルを表します。 セキュリティ モデルと選択したセキュリティ レベルの組み合わせにより、SNMP メッセージの処理中に適用されるセキュリティ メカニズムが決まります。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な権限を決めます。 特権レベルは、メッセージが開示から保護する必要があるか、または認証が必要であるかを決定します。 サポートされるセキュリティ レベルは、実装されているセキュリティ モデルによって異なります。 SNMP セキュリティ レベルは次の特権の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。 セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。 セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
次の表に、セキュリティ モデルとセキュリティ レベルの組み合わせの意味を示します。
モデル |
レベル |
認証 |
暗号化 |
結果 |
---|---|---|---|---|
v1 |
noAuthNoPriv |
コミュニティ ストリング |
No |
コミュニティ ストリングの照合を使用して認証します。 |
v2c |
noAuthNoPriv |
コミュニティ ストリング |
No |
コミュニティ ストリングの照合を使用して認証します。 |
v3 |
noAuthNoPriv |
Username |
No |
ユーザ名の照合を使用して認証します。 |
v3 |
authNoPriv |
HMAC-MD5 または HMAC-SHA |
No |
Hash-Based Message Authentication Code(HMAC)Message Digest 5(MD5; メッセージ ダイジェスト 5)アルゴリズムまたは HMAC Secure Hash Algorithm(SHA)アルゴリズムに基づいて認証します。 |
v3 |
authPriv |
HMAC-MD5 または HMAC-SHA |
DES |
HMAC-MD5 または HMAC-SHA アルゴリズムに基づいて認証します。 データ暗号規格(DES)の 56 ビット暗号化、および Cipher Block Chaining(CBC; 暗号ブロック連鎖)DES(DES-56)標準に基づいた認証を提供します。 |
SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。 SNMPv3 は、設定済みユーザによる管理動作のみを許可し、SNMP メッセージを暗号化します。 SNMPv3 ユーザベース セキュリティ モデル(USM)は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。
Cisco UCS Cisco UCS には、SNMP に次のサポートが提供されます。
Cisco UCS Cisco UCS は、MIB への読み取り専用アクセスをサポートします。
Cisco UCS で使用可能な特定の MIB およびそれらをどこで取得できるかについては、『MIB Quick Reference for Cisco UCS』を参照してください。
Cisco UCS Cisco UCS は、SNMPv3 ユーザに次の認証プロトコルをサポートします。
Cisco UCS Cisco UCS は、SNMPv3 メッセージ暗号化用のプライバシー プロトコルの 1 つとして Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠しています。
プライバシー パスワードつまり priv オプションで、SNMP セキュリティ暗号化方式として、DES または 128 ビット AES を選択できます。 AES-128 の設定を有効にし、SNMPv3 ユーザのプライバシー パスワードを指定すると、Cisco UCS Manager は 128 ビット AES キーを生成するためにプライバシー パスワードを使用します。 AES のプライバシー パスワードは最小で 8 文字です。 パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
Cisco UCS ドメインからの SNMP メッセージには、システム名ではなくファブリック インターコネクト名が表示されます。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||||
ステップ 3 | [Communication Services] タブを選択します。 | ||||||||||||
ステップ 4 |
[SNMP] 領域で、次のフィールドに値を入力します。
|
||||||||||||
ステップ 5 | [Save Changes] をクリックします。 |
SNMP トラップおよびユーザを作成します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||||||
ステップ 3 | [Communication Services] タブを選択します。 | ||||||||||||||
ステップ 4 | [SNMP Traps] 領域で、[+] をクリックします。 | ||||||||||||||
ステップ 5 |
[Create SNMP Trap] ダイアログボックスで、次のフィールドに値を入力します。
|
||||||||||||||
ステップ 6 | [OK] をクリックします。 | ||||||||||||||
ステップ 7 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Communication Services] タブを選択します。 |
ステップ 4 | [SNMP Traps] 領域で、削除するユーザに対応するテーブルの行をクリックします。 |
ステップ 5 | テーブルの右側の [Delete] アイコンをクリックします。 |
ステップ 6 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
ステップ 7 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||||||||||
ステップ 3 | [Communication Services] タブを選択します。 | ||||||||||||||||||
ステップ 4 | [SNMP Users] 領域で、[+] をクリックします。 | ||||||||||||||||||
ステップ 5 |
[Create SNMP User] ダイアログボックスで、次のフィールドに値を入力します。
|
||||||||||||||||||
ステップ 6 | [OK] をクリックします。 | ||||||||||||||||||
ステップ 7 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Communication Services] タブを選択します。 |
ステップ 4 | [SNMP Users] 領域で、削除するユーザに対応するテーブルの行をクリックします。 |
ステップ 5 | テーブルの右側の [Delete] アイコンをクリックします。 |
ステップ 6 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
ステップ 7 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Communication Services] タブをクリックします。 |
ステップ 4 | [Telnet] 領域で、[enabled] オプション ボタンをクリックします。 |
ステップ 5 | [Save Changes] をクリックします。 |
(注) |
他のネットワーク アプリケーションとのインターフェイスに必要ない通信サービスは、すべてディセーブルにすることを推奨します。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Communication Services] タブで、ディセーブルにする各サービスの [disable] オプション ボタンをクリックします。 |
ステップ 4 | [Save Changes] をクリックします。 |
目次
- 通信サービスの設定
- 通信サービス
- CIM-XML の設定
- HTTP の設定
- HTTPS の設定
- 証明書、キー リング、トラスト ポイント
- キー リングの作成
- キー リングの証明書要求の作成
- トラスト ポイントの作成
- キー リングへの証明書のインポート
- HTTPS の設定
- キーリングの削除
- トラスト ポイントの削除
- SNMP の設定
- SNMP に関する情報
- SNMP 機能の概要
- SNMP 通知
- SNMP セキュリティ レベルおよび権限
- SNMP セキュリティ モデルおよびセキュリティ レベルのサポートされる組み合わせ
- SNMPv3 セキュリティの機能
- Cisco UCS での SNMP サポート Cisco UCS
- SNMP のイネーブル化および SNMP プロパティの設定
- SNMP トラップの作成
- SNMP トラップの削除
- SNMPv3 ユーザの作成
- SNMPv3 ユーザの削除
- Telnet のイネーブル化
- 通信サービスのディセーブル化
この章の内容は、次のとおりです。
通信サービス
次の通信サービスを使用してサードパーティ アプリケーションを Cisco UCS に接続できます。
通信サービス
説明
CIM XML
このサービスはデフォルトでディセーブルになり、読み取り専用モードでだけ利用できます。 デフォルトのポートは 5988 です。
この共通の情報モデルは、Distributed Management Task Force によって定義された標準の 1 つです。
HTTP
このサービスは、デフォルトでポート 80 でイネーブルになります。
Cisco UCS Manager GUI を実行するには HTTP または HTTPS のいずれかをイネーブルにする必要があります。 HTTP を選択した場合、すべてのデータはクリア テキスト モードで交換されます。
セキュリティ上の理由により、HTTPS をイネーブルにし、HTTP をディセーブルにすることを推奨します。
デフォルトでは、Cisco UCS は HTTP 経由で通信するすべての試みを HTTPS 同等物にリダイレクトします。 この動作を変更しないことを推奨します。
(注) Cisco UCS バージョン 1.4(1) にアップグレードする場合は、これはデフォルトで行われません。 HTTP 経由で通信するすべての試みを HTTPS 同等物にリダイレクトする場合は、Cisco UCS Manager で [Redirect HTTP to HTTPS] をイネーブルにする必要があります。
HTTPS
このサービスは、デフォルトでポート 443 でイネーブルになります。
HTTPS では、すべてのデータはセキュアなサーバを介して暗号化モードで交換されます。
セキュリティ上の理由により、HTTPS のみを使用し、HTTP 通信をディセーブルにするかリダイレクトすることを推奨します。
SMASH CLP
このサービスは読み取り専用アクセスに対してイネーブルとなり、show コマンドなどの制限されたプロトコルのサブセットをサポートします。 これをディセーブルにすることはできません。
このシェル サービスは、Distributed Management Task Force によって定義された標準の 1 つです。
SNMP
このサービスは、デフォルトでディセーブルになります。 イネーブルの場合、デフォルトのポートは 161 です。 コミュニティと少なくとも 1 つの SNMP トラップを設定する必要があります。
SSH
このサービスは、ポート 22 でイネーブルになります。 これはディセーブルにできず、デフォルトのポートを変更することもできません。
Telnet
CIM-XML の設定
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Communication Services] タブを選択します。 ステップ 4 [CIM-XML] 領域で、[enabled] オプション ボタンをクリックします。 [CIM-XML] 領域が展開され、利用可能な設定オプションが表示されます。
ステップ 5 (任意)[Port] フィールドで、Cisco UCS Manager GUI が CIM-XML に使用するデフォルトのポートを変更します。 デフォルトのポートは 5988 です。
ステップ 6 [Save Changes] をクリックします。
HTTP の設定
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Communication Services] タブをクリックします。 ステップ 4 [HTTP] 領域で、[enabled] オプション ボタンをクリックします。 [HTTP] 領域が展開され、利用可能な設定オプションが表示されます。
ステップ 5 (任意)[Port] フィールドで、Cisco UCS Manager GUI が HTTP に使用するデフォルトのポートを変更します。 デフォルトのポートは 80 です。
ステップ 6 (任意)[Redirect HTTP to HTTPS] フィールドで、[enabled] オプション ボタンをクリックします。 HTTP ログインを HTTPS ログインにリダイレクションできるように HTTPS を設定してイネーブルにする必要もあります。 イネーブルにすると、HTTPS をディセーブルにするまでリダイレクションをディセーブルにできません。
(注) HTTP を HTTPS にリダイレクトする場合は、HTTP を使用して Cisco UCS Manager GUI にアクセスできません。 リダイレクションは HTTPS に自動的にリダイレクトするため、HTTP をディセーブルにします。
ステップ 7 [Save Changes] をクリックします。
証明書、キー リング、トラスト ポイント
HTTPS は、Public Key Infrastructure(PKI)を使用してクライアントのブラウザと Cisco UCS Manager などの 2 つのデバイス間でセキュアな通信を確立します。
暗号キーとキー リング
各 PKI デバイスは、内部キー リングに非対称の Rivest-Shamir-Adleman(RSA)暗号キーのペア(1 つはプライベート、もう 1 つはパブリック)を保持します。 いずれかのキーで暗号化されたメッセージは、もう一方のキーで復号化できます。 暗号化されたメッセージを送信する場合、送信者は受信者の公開キーで暗号化し、受信者は独自の秘密キーを使用してメッセージを復号化します。 送信者は、独自の秘密キーで既知のメッセージを暗号化(「署名」とも呼ばれます)して公開キーの所有者を証明することもできます。 受信者が該当する公開キーを使用してメッセージを正常に復号化できる場合は、送信者が対応する秘密キーを所有していることが証明されます。 暗号キーの長さはさまざまであり、通常の長さは 512 ビット ~ 2048 ビットです。 一般的に、短いキーよりも長いキーの方がセキュアになります。 Cisco UCS Manager では、最初に 1024 ビットのキー ペアを含むデフォルトのキー リングが提供されます。そして、追加のキー リングを作成できます。
クラスタ名が変更されるか、証明書が期限切れになった場合は、デフォルトのキー リング証明書を手動で再生成する必要があります。
この操作は UCS Manager CLI のみで使用できます。
証明書
セキュアな通信を準備するには、まず 2 つのデバイスがそれぞれのデジタル証明書を交換します。 証明書は、デバイスの ID に関する署名済み情報とともにデバイスの公開キーを含むファイルです。 暗号化された通信をサポートするために、デバイスは独自のキー ペアと独自の自己署名証明書を生成できます。 リモート ユーザが自己署名証明書を提示するデバイスに接続する場合、ユーザはデバイスの ID を簡単に検証することができず、ユーザのブラウザは最初に認証に関する警告を表示します。 デフォルトでは、Cisco UCS Manager にはデフォルトのキー リングからの公開キーを含む組み込みの自己署名証明書が含まれます。
トラスト ポイント
Cisco UCS Manager に強力な認証を提供するために、デバイスの ID を証明する信頼できるソース(つまり、トラスト ポイント)からサードパーティ証明書を取得し、インストールできます。 サードパーティ証明書は、発行元トラスト ポイント(ルート Certificate Authority [CA; 認証局]、中間 CA、またはルート CA につながるトラスト チェーンの一部となるトラスト アンカーのいずれか)によって署名されます。 新しい証明書を取得するには、Cisco UCS Manager で証明書要求を生成し、トラスト ポイントに要求を送信する必要があります。
キー リングの証明書要求の作成
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 証明書要求を作成するキー リングをクリックします。 ステップ 4 [Work] ペインの [General] タブをクリックします。 ステップ 5 [General] タブで [Create Certificate Request] をクリックします。 ステップ 6 [Create Certificate Request] ダイアログボックスで、次のフィールドに値を入力します。
名前 説明 [DNS] フィールド
要求に関連付けられたドメイン ネーム サーバ(DNS)アドレス。
[Locality] フィールド
証明書を要求している会社の本社が存在する市または町。
最大 64 文字まで入力できます。 文字、数字、またはスペースのほかに、,(カンマ)、.(ピリオド)、@(アットマーク)、^(キャラット)、(左括弧)、)(右括弧)、-(ダッシュ)、_(アンダースコア)、+(プラス記号)、:(コロン)、/(スラッシュ)などの特殊文字を使用できます。
[State] フィールド
証明書を要求している会社の本社が存在する州または行政区分。
最大 64 文字まで入力できます。 文字、数字、またはスペースのほかに、,(カンマ)、.(ピリオド)、@(アットマーク)、^(キャラット)、(左括弧)、)(右括弧)、-(ダッシュ)、_(アンダースコア)、+(プラス記号)、:(コロン)、/(スラッシュ)などの特殊文字を使用できます。
[Country] フィールド
会社が存在している国に対応する国コード。
2 文字の英文字を入力します。
[Organization Name] フィールド
証明書を要求している組織。
最大 64 文字まで入力できます。 文字、数字、またはスペースのほかに、,(カンマ)、.(ピリオド)、@(アットマーク)、^(キャラット)、(左括弧)、)(右括弧)、-(ダッシュ)、_(アンダースコア)、+(プラス記号)、:(コロン)、/(スラッシュ)などの特殊文字を使用できます。
[Organization Unit Name] フィールド
組織ユニット
最大 64 文字まで入力できます。 文字、数字、またはスペースのほかに、,(カンマ)、.(ピリオド)、@(アットマーク)、^(キャラット)、(左括弧)、)(右括弧)、-(ダッシュ)、_(アンダースコア)、+(プラス記号)、:(コロン)、/(スラッシュ)などの特殊文字を使用できます。
[Email] フィールド
要求に関連付けられた電子メールアドレス。
[Password] フィールド
この要求に対するオプションのパスワード。
[Confirm Password] フィールド
パスワードを指定した場合は、確認のためにそのパスワードを再入力します。
[Subject] フィールド
[IP Address] フィールド
ステップ 7 [OK] をクリックします。 ステップ 8 [Request] フィールドから証明書要求のテキストをコピーし、ファイルに保存します。 ステップ 9 証明書要求を含むファイルをトラスト アンカーまたは認証局に送信します。
次の作業
トラスト ポイントを作成し、トラスト アンカーから受け取ったトラストの証明書の証明書チェーンを設定します。
トラスト ポイントの作成
キー リングへの証明書のインポート
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 証明書のインポート先となるキー リングをクリックします。 ステップ 4 [Work] ペインの [General] タブをクリックします。 ステップ 5 [Certificate] 領域で、次のフィールドに値を入力します。
ヒント 領域のフィールドが表示されない場合は、見出しの右側の [Expand] アイコンをクリックします。
ステップ 6 [Save Changes] をクリックします。
次の作業
キー リングを使用して HTTPS サービスを設定します。
HTTPS の設定
手順
注意
HTTPS によって使用されるポートとキー リングの変更をなど、HTTPS 設定がすべて完了すると、トランザクションを保存するかコミットするとすぐに、現在のすべての HTTP と HTTPS セッションは警告を出さずに終了します。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Communication Services] タブを選択します。 ステップ 4 [HTTPS] 領域で、[enabled] オプション ボタンをクリックします。 [HTTPS] 領域が展開され、利用可能な設定オプションが表示されます。
ステップ 5 次のフィールドに入力します。
名前 説明 [Admin State] フィールド
次のいずれかになります。
[Admin State] がイネーブルの場合、Cisco UCS Manager GUI にはこのセクションの残りのフィールドが表示されます。
[Port] フィールド
HTTPS 接続に使用するポート。
[Operational Port] フィールド
システム レベルの HTTPS 通信には、ポート Cisco UCS Manager が必要です。
このポートは変更できません。
[Key Ring] ドロップダウン リスト
HTTPS 接続のキー リング。
[Cipher Suite Mode] フィールド
[Cipher Suite] フィールド
[Cipher Suite Mode] フィールドで [Custom] を選択する場合、このフィールドにユーザ定義の暗号スイート仕様を指定します。
暗号スイートの仕様文字列 には最大 256 文字まで含めることができます。また、OpenSSL の暗号スイートの仕様に準拠する必要があります。 !(感嘆符)、+(プラス記号)、-(ハイフン)、および(コロン)を除き、スペースや特殊文字は使用できません。 詳細については、http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslciphersuite を参照してください。
たとえば、Medium Strength 仕様ストリング Cisco UCS Manager はデフォルトとして ALL:!ADH:!EXPORT56:!LOW:RC4+RSA:+HIGH:+MEDIUM:+EXP:+eNULL を使用します
ステップ 6 [Save Changes] をクリックします。
SNMP の設定
SNMP に関する情報
SNMP 機能の概要
SNMP フレームワークは 3 つの部分で構成されます。
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム。
SNMP エージェント:Cisco UCS のデータを保守し、必要に応じてデータを SNMP マネージャに報告する、Cisco UCS 内のソフトウェア コンポーネント、つまり管理対象デバイス。 Cisco UCS Cisco UCS はエージェントおよび MIB の収集を含みます。 SNMP エージェントをイネーブルにし、マネージャおよびエージェント間の関係を作成するには、Cisco UCS Manager で SNMP をイネーブルにして設定します。
管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。 Cisco UCS Cisco UCS リリース 1.4(1) 以降は以前のリリースに比べ多数の MIB をサポートします。
Cisco UCS Cisco UCS は SNMPv1、SNMPv2c、および SNMPv3 をサポートします。 SNMPv1 と SNMPv2c は、ともにコミュニティベース形式のセキュリティを使用します。 SNMP は、次に定義されています。
RFC 3410(http://tools.ietf.org/html/rfc3410)
RFC 3411(http://tools.ietf.org/html/rfc3411)
RFC 3412(http://tools.ietf.org/html/rfc3412)
RFC 3413(http://tools.ietf.org/html/rfc3413)
RFC 3414(http://tools.ietf.org/html/rfc3414)
RFC 3415(http://tools.ietf.org/html/rfc3415)
RFC 3416(http://tools.ietf.org/html/rfc3416)
RFC 3417(http://tools.ietf.org/html/rfc3417)
RFC 3418(http://tools.ietf.org/html/rfc3418)
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP 通知
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。 これらの通知では、要求を SNMP マネージャから送信する必要はありません。 通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Cisco UCS Manager Cisco UCS Manager は、トラップまたはインフォームとして SNMP 通知を生成します。 SNMP マネージャはトラップを受信したときに確認応答をまったく送信しないため、トラップはインフォームより信頼性が低くなり、また、Cisco UCS Manager はトラップが受信されたかどうかを判断できません。 インフォーム要求を受信する SNMP マネージャは、SNMP 応答 Protocol Data Unit(PDU; プロトコル データ ユニット)でメッセージの受信を確認します。 PDU を受信しない場合、Cisco UCS Manager はインフォーム要求を再び送信できます。
SNMP セキュリティ レベルおよび権限
SNMPv1、SNMPv2c、および SNMPv3 は、それぞれ異なるセキュリティ モデルを表します。 セキュリティ モデルと選択したセキュリティ レベルの組み合わせにより、SNMP メッセージの処理中に適用されるセキュリティ メカニズムが決まります。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な権限を決めます。 特権レベルは、メッセージが開示から保護する必要があるか、または認証が必要であるかを決定します。 サポートされるセキュリティ レベルは、実装されているセキュリティ モデルによって異なります。 SNMP セキュリティ レベルは次の特権の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。 セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。 セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
SNMP セキュリティ モデルおよびセキュリティ レベルのサポートされる組み合わせ
次の表に、セキュリティ モデルとセキュリティ レベルの組み合わせの意味を示します。
表 1 SNMP セキュリティ モデルおよびセキュリティ レベル モデル
レベル
認証
暗号化
結果
v1
noAuthNoPriv
コミュニティ ストリング
No
コミュニティ ストリングの照合を使用して認証します。
v2c
noAuthNoPriv
コミュニティ ストリング
No
コミュニティ ストリングの照合を使用して認証します。
v3
noAuthNoPriv
Username
No
ユーザ名の照合を使用して認証します。
v3
authNoPriv
HMAC-MD5 または HMAC-SHA
No
Hash-Based Message Authentication Code(HMAC)Message Digest 5(MD5; メッセージ ダイジェスト 5)アルゴリズムまたは HMAC Secure Hash Algorithm(SHA)アルゴリズムに基づいて認証します。
v3
authPriv
HMAC-MD5 または HMAC-SHA
DES
HMAC-MD5 または HMAC-SHA アルゴリズムに基づいて認証します。 データ暗号規格(DES)の 56 ビット暗号化、および Cipher Block Chaining(CBC; 暗号ブロック連鎖)DES(DES-56)標準に基づいた認証を提供します。
Cisco UCS での SNMP サポート Cisco UCS
Cisco UCS Cisco UCS には、SNMP に次のサポートが提供されます。
MIB のサポート
Cisco UCS Cisco UCS は、MIB への読み取り専用アクセスをサポートします。
Cisco UCS で使用可能な特定の MIB およびそれらをどこで取得できるかについては、『MIB Quick Reference for Cisco UCS』を参照してください。
SNMPv3 ユーザの AES プライバシー プロトコル
Cisco UCS Cisco UCS は、SNMPv3 メッセージ暗号化用のプライバシー プロトコルの 1 つとして Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠しています。
プライバシー パスワードつまり priv オプションで、SNMP セキュリティ暗号化方式として、DES または 128 ビット AES を選択できます。 AES-128 の設定を有効にし、SNMPv3 ユーザのプライバシー パスワードを指定すると、Cisco UCS Manager は 128 ビット AES キーを生成するためにプライバシー パスワードを使用します。 AES のプライバシー パスワードは最小で 8 文字です。 パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
SNMP のイネーブル化および SNMP プロパティの設定
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Communication Services] タブを選択します。 ステップ 4 [SNMP] 領域で、次のフィールドに値を入力します。
名前 説明 [Admin State] フィールド
次のいずれかになります。
システムに SNMP サーバとの統合が含まれる場合にだけこのサービスをイネーブルにします。
[Admin State] がイネーブルの場合、Cisco UCS Manager GUI にはこのセクションの残りのフィールドが表示されます。
[Port] フィールド
Cisco UCS Manager が SNMP ホストと通信するポート。 デフォルト ポートは変更できません。
[Community/Username] フィールド
Cisco UCS Manager が SNMP ホストに送信するトラップ メッセージに含まれるデフォルトの SNMP v1 または v2c コミュニティ名あるいは SNMP v3 ユーザ名。
1 ~ 32 文字の英数字文字列を入力します。 @(アットマーク)、\(バックスラッシュ)、"(二重引用符)、?(疑問符)または空のスペースを使用しないでください。 デフォルトは public です。
[System Contact] フィールド
SNMP 実装のシステム連絡先担当者。
電子メール アドレスまたは名前と電話番号など、最大 255 文字の文字列を入力します。
[System Location] フィールド
SNMP エージェント(サーバ)が実行されているホストの場所。
最大 510 文字の英数字文字列を入力します。
ステップ 5 [Save Changes] をクリックします。
次の作業
SNMP トラップおよびユーザを作成します。
SNMP トラップの作成
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Communication Services] タブを選択します。 ステップ 4 [SNMP Traps] 領域で、[+] をクリックします。 ステップ 5 [Create SNMP Trap] ダイアログボックスで、次のフィールドに値を入力します。
名前 説明 [IP Address] フィールド
[Community/Username] フィールド
Cisco UCS Manager が SNMP ホストにトラップを送信するときに含まれる SNMP v1 または v2c のコミュニティ名、または SNMP v3 ユーザ名。 これは SNMP サービスに設定されているコミュニティまたはユーザ名と同じであってはなりません。
1 ~ 32 文字の英数字文字列を入力します。 @(アットマーク)、\(バックスラッシュ)、"(二重引用符)、?(疑問符)または空のスペースを使用しないでください。
[Port] フィールド
Cisco UCS Manager がトラップの SNMP ホストと通信するポート。
1 ~ 65535 の整数を入力します。 デフォルト ポートは 162 です。
[Version] フィールド
トラップに使用される SNMP バージョンとモデル。 次のいずれかになります。
[Type] フィールド
バージョンに [V2c] または [V3] を選択した場合の、送信するトラップのタイプ。 次のいずれかになります。
[v3 Privilege] フィールド
バージョンに [V3] を選択する場合の、トラップに関連付けられる特権。 次のいずれかになります。
ステップ 6 [OK] をクリックします。 ステップ 7 [Save Changes] をクリックします。
SNMP トラップの削除
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Communication Services] タブを選択します。 ステップ 4 [SNMP Traps] 領域で、削除するユーザに対応するテーブルの行をクリックします。 ステップ 5 テーブルの右側の [Delete] アイコンをクリックします。 ステップ 6 Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 ステップ 7 [Save Changes] をクリックします。
SNMPv3 ユーザの作成
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Communication Services] タブを選択します。 ステップ 4 [SNMP Users] 領域で、[+] をクリックします。 ステップ 5 [Create SNMP User] ダイアログボックスで、次のフィールドに値を入力します。
名前 説明 [Name] フィールド
SNMP ユーザに割り当てられるユーザ名。
最大 32 文字の文字または番号を入力します。 名前は文字で始まっている必要があり、_(アンダースコア)、.(ピリオド)、@(アットマーク)、および -(ハイフン)も使用できます。
(注) ローカルで認証されたユーザ名と同一の SNMP ユーザ名を作成することはできません。
[Auth Type] フィールド
許可タイプ。 次のいずれかになります。
[Use AES-128] チェックボックス
オンにすると、このユーザに AES-128 暗号化が使用されます。
[Password] フィールド
このユーザのパスワード。
[Confirm Password] フィールド
確認のためのパスワードの再入力。
[Privacy Password] フィールド
このユーザのプライバシー パスワード。
[Confirm Privacy Password] フィールド
確認のためのプライバシー パスワードの再入力。
ステップ 6 [OK] をクリックします。 ステップ 7 [Save Changes] をクリックします。
SNMPv3 ユーザの削除
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Communication Services] タブを選択します。 ステップ 4 [SNMP Users] 領域で、削除するユーザに対応するテーブルの行をクリックします。 ステップ 5 テーブルの右側の [Delete] アイコンをクリックします。 ステップ 6 Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 ステップ 7 [Save Changes] をクリックします。