この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章は、次の項で構成されています。
以下に定義する通信サービスを使用してサードパーティ アプリケーションを Cisco UCS に接続できます。
Cisco UCS Manager 次のサービスに対する IPv4 および IPv6 アドレス アクセスの両方をサポートします。
Cisco UCS Manager Web ブラウザから [Cisco UCS KVM Direct] 起動ページへのアウトオブバンド IPv4 アドレス アクセスをサポートします。 このアクセスを提供するには、次のサービスをイネーブルにする必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope system | システム モードを開始します。 |
ステップ 2 | UCS-A /system # scope services | システム サービス モードを開始します。 |
ステップ 3 | UCS-A /system/services # enable cimxml | CIM XLM サービスをイネーブルにします。 |
ステップ 4 | UCS-A /system/services # set cimxml port port-num | CIM XML 接続に使用するポートを指定します。 |
ステップ 5 | UCS-A /system/services # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、CIM XML をイネーブルにし、ポート番号を 5988 に設定し、トランザクションをコミットする例を示します。
UCS-A# scope system UCS-A /system # scope services UCS-A /system/services # enable cimxml UCS-A /system/services* # set cimxml port 5988 UCS-A /system/services* # commit-buffer UCS-A /system/services #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope system | システム モードを開始します。 |
ステップ 2 | UCS-A /system # scope services | システム サービス モードを開始します。 |
ステップ 3 | UCS-A /system/services # enable http | HTTP サービスをイネーブルにします。 |
ステップ 4 | UCS-A /system/services # set http port port-num | HTTP 接続で使用されるポートを指定します。 |
ステップ 5 | UCS-A /system/services # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、HTTP をイネーブルにし、ポート番号を 80 に設定し、トランザクションをコミットします。
UCS-A# scope system UCS-A /system # scope services UCS-A /system/services # enable http UCS-A /system/services* # set http port 80 Warning: When committed, this closes all the web sessions. UCS-A /system/services* # commit-buffer UCS-A /system/services #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope system | システム モードを開始します。 |
ステップ 2 | UCS-A /system # scope services | システム サービス モードを開始します。 |
ステップ 3 | UCS-A /system/services # disable http | HTTP サービスをディセーブルにします。 |
ステップ 4 | UCS-A /system/services # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、HTTP をディセーブルにし、トランザクションをコミットする例を示します。
UCS-A# scope system UCS-A /system # scope services UCS-A /system/services # disable http UCS-A /system/services* # commit-buffer UCS-A /system/services #
HTTPS は、公開キー インフラストラクチャ(PKI)のコンポーネントを使用してクライアントのブラウザと Cisco UCS Manager などの 2 つのデバイス間でセキュアな通信を確立します。
各 PKI デバイスは、内部キー リングに非対称の Rivest-Shamir-Adleman(RSA)暗号キーのペア(1 つはプライベート、もう 1 つはパブリック)を保持します。 いずれかのキーで暗号化されたメッセージは、もう一方のキーで復号化できます。 暗号化されたメッセージを送信する場合、送信者は受信者の公開キーで暗号化し、受信者は独自の秘密キーを使用してメッセージを復号化します。 送信者は、独自の秘密キーで既知のメッセージを暗号化(「署名」とも呼ばれます)して公開キーの所有者を証明することもできます。 受信者が該当する公開キーを使用してメッセージを正常に復号化できる場合は、送信者が対応する秘密キーを所有していることが証明されます。 暗号キーの長さはさまざまであり、通常の長さは 512 ビット ~ 2048 ビットです。 一般的に、短いキーよりも長いキーの方がセキュアになります。 Cisco UCS Manager では、最初に 1024 ビットのキー ペアを含むデフォルトのキー リングが提供されます。そして、追加のキー リングを作成できます。
クラスタ名が変更されたり、証明書が期限切れになったりした場合は、デフォルトのキー リング証明書を手動で再生成する必要があります。
この操作は、UCS Manager CLI のみで使用できます。
セキュアな通信を準備するには、まず 2 つのデバイスがそれぞれのデジタル証明書を交換します。 証明書は、デバイスの ID に関する署名済み情報とともにデバイスの公開キーを含むファイルです。 暗号化された通信をサポートするために、デバイスは独自のキー ペアと独自の自己署名証明書を生成できます。 リモート ユーザが自己署名証明書を提示するデバイスに接続する場合、ユーザはデバイスの ID を簡単に検証することができず、ユーザのブラウザは最初に認証に関する警告を表示します。 デフォルトでは、Cisco UCS Manager にはデフォルトのキー リングからの公開キーを含む組み込みの自己署名証明書が含まれます。
Cisco UCS Manager に強力な認証を提供するために、デバイスの ID を証明する信頼できるソース(つまり、トラスト ポイント)からサードパーティ証明書を取得し、インストールできます。 サードパーティ証明書は、発行元トラスト ポイント(ルート認証局(CA)、中間 CA、またはルート CA につながるトラスト チェーンの一部となるトラスト アンカーのいずれか)によって署名されます。 新しい証明書を取得するには、Cisco UCS Manager で証明書要求を生成し、トラスト ポイントに要求を送信する必要があります。
Cisco UCS Manager は、デフォルト キー リングを含め、最大 8 個のキー リングをサポートします。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # create keyring keyring-name | キー リングを作成し、名前を指定します。 |
ステップ 3 | UCS-A /security/keyring # set modulus {mod1024 | mod1536 | mod2048 | mod512} | SSL キーのビット長を設定します。 |
ステップ 4 | UCS-A /security/keyring # commit-buffer | トランザクションをコミットします。 |
次の例は、1024 ビットのキー サイズのキー リングを作成します。
UCS-A# scope security UCS-A /security # create keyring kr220 UCS-A /security/keyring* # set modulus mod1024 UCS-A /security/keyring* # commit-buffer UCS-A /security/keyring #
このキー リングの証明書要求を作成します。
クラスタ名が変更されたり、証明書が期限切れになったりした場合は、デフォルトのキー リング証明書を手動で再生成する必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope keyring default | デフォルト キー リングでキー リング セキュリティ モードを開始します。 |
ステップ 3 | UCS-A /security/keyring # set regenerate yes | デフォルト キー リングを再生成します。 |
ステップ 4 | UCS-A /security/keyring # commit-buffer | トランザクションをコミットします。 |
次に、デフォルト キー リングを再生成する例を示します。
UCS-A# scope security UCS-A /security # scope keyring default UCS-A /security/keyring* # set regenerate yes UCS-A /security/keyring* # commit-buffer UCS-A /security/keyring #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope keyring keyring-name | キー リングのコンフィギュレーション モードを開始します。 |
ステップ 3 | UCS-A /security/keyring # create certreq {ip [ipv4-addr | ipv6-v6] |subject-name name} | 指定された IPv4 または IPv6 アドレス、またはファブリック インターコネクトの名前を使用して証明書要求を作成します。 証明書要求のパスワードを入力するように求められます。 |
ステップ 4 | UCS-A /security/keyring/certreq # commit-buffer | トランザクションをコミットします。 |
ステップ 5 | UCS-A /security/keyring # show certreq | コピーしてトラスト アンカーまたは認証局に送信可能な証明書要求を表示します。 |
次の例では、基本オプション付きのキー リングについて IPv4 アドレスで証明書要求を作成して表示します。
UCS-A# scope security UCS-A /security # scope keyring kr220 UCS-A /security/keyring # create certreq ip 192.168.200.123 subject-name sjc04 Certificate request password: Confirm certificate request password: UCS-A /security/keyring* # commit-buffer UCS-A /security/keyring # show certreq Certificate request subject name: sjc04 Certificate request ip address: 192.168.200.123 Certificate request e-mail name: Certificate request country name: State, province or county (full name): Locality (eg, city): Organization name (eg, company): Organization Unit name (eg, section): Request: -----BEGIN CERTIFICATE REQUEST----- MIIBfTCB5wIBADARMQ8wDQYDVQQDEwZzYW1jMDQwgZ8wDQYJKoZIhvcNAQEBBQAD gY0AMIGJAoGBALpKn1t8qMZO4UGqILKFXQQc2c8b/vW2rnRF8OPhKbhghLA1YZ1F JqcYEG5Yl1+vgohLBTd45s0GC8m4RTLJWHo4SwccAUXQ5Zngf45YtX1WsylwUWV4 0re/zgTk/WCd56RfOBvWR2Dtztu2pGA14sd761zLxt29K7R8mzj6CAUVAgMBAAGg LTArBgkqhkiG9w0BCQ4xHjAcMBoGA1UdEQEB/wQQMA6CBnNhbWMwNIcECsEiXjAN BgkqhkiG9w0BAQQFAAOBgQCsxN0qUHYGFoQw56RwQueLTNPnrndqUwuZHUO03Teg nhsyu4satpyiPqVV9viKZ+spvc6x5PWIcTWgHhH8BimOb/0OKuG8kwfIGGsEDlAv TTYvUP+BZ9OFiPbRIA718S+V8ndXr1HejiQGxlDNqoN+odCXPc5kjoXD0lZTL09H BA== -----END CERTIFICATE REQUEST----- UCS-A /security/keyring #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope keyring keyring-name | キー リングのコンフィギュレーション モードを開始します。 |
ステップ 3 | UCS-A /security/keyring # create certreq | 証明書要求を作成します。 |
ステップ 4 | UCS-A /security/keyring/certreq* # set country country name | 会社が存在している国の国コードを指定します。 |
ステップ 5 | UCS-A /security/keyring/certreq* # set dns DNS Name | 要求に関連付けられたドメイン ネーム サーバ(DNS)アドレスを指定します。 |
ステップ 6 | UCS-A /security/keyring/certreq* # set e-mail E-mail name | 証明書要求に関連付けられた電子メール アドレスを指定します。 |
ステップ 7 | UCS-A /security/keyring/certreq* # set ip {certificate request ip-address|certificate request ip6-address } | ファブリック インターコネクトの IP アドレスを指定します。 |
ステップ 8 | UCS-A /security/keyring/certreq* # set locality locality name (eg, city) | 証明書を要求している会社の本社が存在する市または町を指定します。 |
ステップ 9 | UCS-A /security/keyring/certreq* # set org-name organization name | 証明書を要求している組織を指定します。 |
ステップ 10 | UCS-A /security/keyring/certreq* # set org-unit-name organizational unit name | 組織ユニットを指定します。 |
ステップ 11 | UCS-A /security/keyring/certreq* # set password certificate request password | 証明書要求に関するオプションのパスワードを指定します。 |
ステップ 12 | UCS-A /security/keyring/certreq* # set state state, province or county | 証明書を要求している会社の本社が存在する州または行政区分を指定します。 |
ステップ 13 | UCS-A /security/keyring/certreq* # set subject-name certificate request name | ファブリック インターコネクトの完全修飾ドメイン名を指定します。 |
ステップ 14 | UCS-A /security/keyring/certreq* # commit-buffer | トランザクションをコミットします。 |
ステップ 15 | UCS-A /security/keyring # show certreq | コピーしてトラスト アンカーまたは認証局に送信可能な証明書要求を表示します。 |
次の例では、詳細オプション付きのキー リングについて IPv4 アドレスで証明書要求を作成して表示します。
UCS-A# scope security UCS-A /security # scope keyring kr220 UCS-A /security/keyring # create certreq UCS-A /security/keyring/certreq* # set ip 192.168.200.123 UCS-A /security/keyring/certreq* # set subject-name sjc04 UCS-A /security/keyring/certreq* # set country US UCS-A /security/keyring/certreq* # set dns bg1-samc-15A UCS-A /security/keyring/certreq* # set email test@cisco.com UCS-A /security/keyring/certreq* # set locality new york city UCS-A /security/keyring/certreq* # set org-name "Cisco Systems" UCS-A /security/keyring/certreq* # set org-unit-name Testing UCS-A /security/keyring/certreq* # set state new york UCS-A /security/keyring/certreq* # commit-buffer UCS-A /security/keyring/certreq # show certreq Certificate request subject name: sjc04 Certificate request ip address: 192.168.200.123 Certificate request e-mail name: test@cisco.com Certificate request country name: US State, province or county (full name): New York Locality name (eg, city): new york city Organization name (eg, company): Cisco Organization Unit name (eg, section): Testing Request: -----BEGIN CERTIFICATE REQUEST----- MIIBfTCB5wIBADARMQ8wDQYDVQQDEwZzYW1jMDQwgZ8wDQYJKoZIhvcNAQEBBQAD gY0AMIGJAoGBALpKn1t8qMZO4UGqILKFXQQc2c8b/vW2rnRF8OPhKbhghLA1YZ1F JqcYEG5Yl1+vgohLBTd45s0GC8m4RTLJWHo4SwccAUXQ5Zngf45YtX1WsylwUWV4 0re/zgTk/WCd56RfOBvWR2Dtztu2pGA14sd761zLxt29K7R8mzj6CAUVAgMBAAGg LTArBgkqhkiG9w0BCQ4xHjAcMBoGA1UdEQEB/wQQMA6CBnNhbWMwNIcECsEiXjAN BgkqhkiG9w0BAQQFAAOBgQCsxN0qUHYGFoQw56RwQueLTNPnrndqUwuZHUO03Teg nhsyu4satpyiPqVV9viKZ+spvc6x5PWIcTWgHhH8BimOb/0OKuG8kwfIGGsEDlAv TTYvUP+BZ9OFiPbRIA718S+V8ndXr1HejiQGxlDNqoN+odCXPc5kjoXD0lZTL09H BA== -----END CERTIFICATE REQUEST----- UCS-A /security/keyring/certreq #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # create trustpoint name | トラスト ポイントを作成し、その名前を指定します。 |
ステップ 3 | UCS-A /security/trustpoint # set certchain certchain | このトラスト ポイントの証明書情報を指定します。 コマンドで証明書情報を指定しない場合、ルート認証局(CA)への認証パスを定義するトラスト ポイントのリストまたは証明書を入力するように求められます。 入力内容の次の行に、「ENDOFBUF」と入力して終了します。 |
ステップ 4 | UCS-A /security/trustpoint # commit-buffer | トランザクションをコミットします。 |
次の例は、トラスト ポイントを作成し、トラスト ポイントに証明書を提供します。
UCS-A# scope security UCS-A /security # create trustpoint tPoint10 UCS-A /security/trustpoint* # set certchain Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort. Trustpoint Certificate Chain: > -----BEGIN CERTIFICATE----- > MIIDMDCCApmgAwIBAgIBADANBgkqhkiG9w0BAQQFADB0MQswCQYDVQQGEwJVUzEL > BxMMU2FuIEpvc2UsIENBMRUwEwYDVQQKEwxFeGFtcGxlIEluYy4xEzARBgNVBAsT > ClRlc3QgR3JvdXAxGTAXBgNVBAMTEHRlc3QuZXhhbXBsZS5jb20xHzAdBgkqhkiG > 9w0BCQEWEHVzZXJAZXhhbXBsZS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ > AoGBAMZw4nTepNIDhVzb0j7Z2Je4xAG56zmSHRMQeOGHemdh66u2/XAoLx7YCcYU > ZgAMivyCsKgb/6CjQtsofvtrmC/eAehuK3/SINv7wd6Vv2pBt6ZpXgD4VBNKONDl > GMbkPayVlQjbG4MD2dx2+H8EH3LMtdZrgKvPxPTE+bF5wZVNAgMBAAGgJTAjBgkq > hkiG9w0BCQcxFhMUQSBjaGFsbGVuZ2UgcGFzc3dvcmQwDQYJKoZIhvcNAQEFBQAD > gYEAG61CaJoJaVMhzCl903O6Mg51zq1zXcz75+VFj2I6rH9asckCld3mkOVx5gJU > Ptt5CVQpNgNLdvbDPSsXretysOhqHmp9+CLv8FDuy1CDYfuaLtvlWvfhevskV0j6 > jtcEMyZ+f7+3yh421ido3nO4MIGeBgNVHSMEgZYwgZOAFLlNjtcEMyZ+f7+3yh42 > 1ido3nO4oXikdjB0MQswCQYDVQQGEwJVUzELMAkGA1UECBMCQ0ExFDASBgNVBAcT > C1NhbnRhIENsYXJhMRswGQYDVQQKExJOdW92YSBTeXN0ZW1zIEluYy4xFDASBgNV > BAsTC0VuZ2luZWVyaW5nMQ8wDQYDVQQDEwZ0ZXN0Q0GCAQAwDAYDVR0TBAUwAwEB > /zANBgkqhkiG9w0BAQQFAAOBgQAhWaRwXNR6B4g6Lsnr+fptHv+WVhB5fKqGQqXc > wR4pYiO4z42/j9Ijenh75tCKMhW51az8copP1EBmOcyuhf5C6vasrenn1ddkkYt4 > PR0vxGc40whuiozBolesmsmjBbedUCwQgdFDWhDIZJwK5+N3x/kfa2EHU6id1avt > 4YL5Jg== > -----END CERTIFICATE----- > ENDOFBUF UCS-A /security/trustpoint* # commit-buffer UCS-A /security/trustpoint #
トラスト アンカーまたは認証局からキー リング証明書を取得し、キー リングにインポートします。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope keyring keyring-name | 証明書を受け取るキー リングでコンフィギュレーション モードを開始します。 |
ステップ 3 | UCS-A /security/keyring # set trustpoint name | キー リング証明書の取得元のトラスト アンカーまたは認証局に対しトラスト ポイントを指定します。 |
ステップ 4 | UCS-A /security/keyring # set cert | キー リング証明書を入力してアップロードするためのダイアログを起動します。 プロンプトで、トラスト アンカーまたは認証局から受け取った証明書のテキストを貼り付けます。 証明書の後の行に ENDOFBUF と入力して、証明書の入力を完了します。 |
ステップ 5 | UCS-A /security/keyring # commit-buffer | トランザクションをコミットします。 |
次に、トラストポイントを指定し、証明書をキー リングにインポートする例を示します。
UCS-A# scope security UCS-A /security # scope keyring kr220 UCS-A /security/keyring # set trustpoint tPoint10 UCS-A /security/keyring* # set cert Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort. Keyring certificate: > -----BEGIN CERTIFICATE----- > MIIB/zCCAWgCAQAwgZkxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJDQTEVMBMGA1UE > BxMMU2FuIEpvc2UsIENBMRUwEwYDVQQKEwxFeGFtcGxlIEluYy4xEzARBgNVBAsT > ClRlc3QgR3JvdXAxGTAXBgNVBAMTEHRlc3QuZXhhbXBsZS5jb20xHzAdBgkqhkiG > 9w0BCQEWEHVzZXJAZXhhbXBsZS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ > AoGBAMZw4nTepNIDhVzb0j7Z2Je4xAG56zmSHRMQeOGHemdh66u2/XAoLx7YCcYU > ZgAMivyCsKgb/6CjQtsofvtrmC/eAehuK3/SINv7wd6Vv2pBt6ZpXgD4VBNKONDl > GMbkPayVlQjbG4MD2dx2+H8EH3LMtdZrgKvPxPTE+bF5wZVNAgMBAAGgJTAjBgkq > hkiG9w0BCQcxFhMUQSBjaGFsbGVuZ2UgcGFzc3dvcmQwDQYJKoZIhvcNAQEFBQAD > gYEAG61CaJoJaVMhzCl903O6Mg51zq1zXcz75+VFj2I6rH9asckCld3mkOVx5gJU > Ptt5CVQpNgNLdvbDPSsXretysOhqHmp9+CLv8FDuy1CDYfuaLtvlWvfhevskV0j6 > mK3Ku+YiORnv6DhxrOoqau8r/hyI/L43l7IPN1HhOi3oha4= > -----END CERTIFICATE----- > ENDOFBUF UCS-A /security/keyring* # commit-buffer UCS-A /security/keyring #
キー リングを使用して HTTPS サービスを設定します。
注意 |
HTTPS で使用するポートとキー リングの変更を含め、HTTPS の設定を完了した後、トランザクションを保存またはコミットするとすぐに、現在のすべての HTTP および HTTPS セッションは警告なく閉じられます。 |
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | UCS-A# scope system | システム モードを開始します。 |
||
ステップ 2 | UCS-A /system # scope services | システム サービス モードを開始します。 |
||
ステップ 3 | UCS-A /system/services # enable https | HTTPS サービスをイネーブルにします。 |
||
ステップ 4 | UCS-A /system/services # set https port port-num | (任意) HTTPS 接続で使用されるポートを指定します。 |
||
ステップ 5 | UCS-A /system/services # set https keyring keyring-name | (任意) HTTPS に対して作成したキー リングの名前を指定します。 |
||
ステップ 6 | UCS-A /system/services # set https cipher-suite-mode cipher-suite-mode | (任意) Cisco UCS ドメインで使用される暗号スイート セキュリティのレベル。 cipher-suite-mode は次のいずれかになります。 |
||
ステップ 7 | UCS-A /system/services # set https cipher-suite cipher-suite-spec-string | (任意) cipher-suite-mode が [custom] に設定されている場合は、この Cisco UCS ドメインに対する暗号スイート セキュリティのカスタム レベルを指定します。 cipher-suite-spec-string最大 256 文字まで使用できますが、OpenSSL 暗号スイート仕様に準拠する必要があります。 次を除き、スペースや特殊文字は使用できません。 !(感嘆符)、+(プラス記号)、-(ハイフン)、および :(コロン)。 詳細については、http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslciphersuite を参照してください。。 たとえば、Cisco UCS Manager がデフォルトとして使用する中強度仕様の文字列は次のようになります:ALL:!ADH:!EXPORT56:!LOW:RC4+RSA:+HIGH:+MEDIUM:+EXP:+eNULL
|
||
ステップ 8 | UCS-A /system/services # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例では、HTTPS をイネーブルにし、ポート番号を 443 に設定し、キー リング名を kring7984 に設定し、暗号スイートのセキュリティ レベルを [high] に設定し、トランザクションをコミットします。
UCS-A# scope system UCS-A /system # scope services UCS-A /system/services # enable https UCS-A /system/services* # set https port 443 Warning: When committed, this closes all the web sessions. UCS-A /system/services* # set https keyring kring7984 UCS-A /system/services* # set https cipher-suite-mode high UCS-A /system/services* # commit-buffer UCS-A /system/services #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # delete keyring name | 名前付きのキー リングを削除します。 |
ステップ 3 | UCS-A /security # commit-buffer | トランザクションをコミットします。 |
次の例では、キー リングを削除します。
UCS-A# scope security UCS-A /security # delete keyring key10 UCS-A /security* # commit-buffer UCS-A /security #
トラスト ポイントがキー リングによって使用されていないことを確認してください。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # delete trustpoint name | 指定したトラスト ポイントを削除します。 |
ステップ 3 | UCS-A /security # commit-buffer | トランザクションをコミットします。 |
次に、トラスト ポイントを削除する例を示します。
UCS-A# scope security UCS-A /security # delete trustpoint tPoint10 UCS-A /security* # commit-buffer UCS-A /security #
HTTP から HTTPS へのリダイレクションをディセーブルにします。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope system | システム モードを開始します。 |
ステップ 2 | UCS-A /system # scope services | システム サービス モードを開始します。 |
ステップ 3 | UCS-A /system/services # disable https | HTTPS サービスをディセーブルにします。 |
ステップ 4 | UCS-A /system/services # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、HTTPS をディセーブルにし、トランザクションをコミットする例を示します。
UCS-A# scope system UCS-A /system # scope services UCS-A /system/services # disable https UCS-A /system/services* # commit-buffer UCS-A /system/services #
HTTP と HTTPS の両方をイネーブルにします。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope system | システム モードを開始します。 |
ステップ 2 | UCS-A /system # scope services | システム サービス モードを開始します。 |
ステップ 3 | UCS-A /system/services # enable http-redirect | HTTP リダイレクト サービスをイネーブルにします。 イネーブルの場合、HTTP 経由で試行される通信はすべて同等の HTTPS アドレスにリダイレクトされます。 このオプションは、この Cisco UCS ドメインへの HTTP アクセスを実質的に無効にします。 |
ステップ 4 | UCS-A /system/services # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、HTTP から HTTPS へのリダイレクションをイネーブルにし、トランザクションをコミットする例を示します。
UCS-A# scope system UCS-A /system # scope services UCS-A /system/services # enable http-redirect Warning: When committed, this closes all the web sessions. UCS-A /system/services* # commit-buffer UCS-A /system/services #
簡易ネットワーク管理プロトコル(SNMP)は、SNMP マネージャとエージェントの間の通信のメッセージ フォーマットを提供するアプリケーション層プロトコルです。 SNMP では、ネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます。
SNMP フレームワークは 3 つの部分で構成されます。
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム。
SNMP エージェント:管理対象デバイスである Cisco UCS 内のソフトウェア コンポーネント。Cisco UCS のデータを保守し、必要に応じてそのデータを SNMP に報告します。 Cisco UCS には、エージェントと一連の MIB が含まれています。 SNMP エージェントを有効にして、マネージャとエージェント間のリレーションシップを作成するには、Cisco UCS Manager で SNMP を有効にして設定します。
管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。 Cisco UCS リリース 1.4(1)以降では、以前よりも多くの MIB をサポートしています。
Cisco UCS は SNMPv1、SNMPv2c、および SNMPv3 をサポートします。 SNMPv1 と SNMPv2c は、ともにコミュニティベース形式のセキュリティを使用します。 SNMP は次のように定義されています。
RFC 3410(http://tools.ietf.org/html/rfc3410)
RFC 3411(http://tools.ietf.org/html/rfc3411)
RFC 3412(http://tools.ietf.org/html/rfc3412)
RFC 3413(http://tools.ietf.org/html/rfc3413)
RFC 3414(http://tools.ietf.org/html/rfc3414)
RFC 3415(http://tools.ietf.org/html/rfc3415)
RFC 3416(http://tools.ietf.org/html/rfc3416)
RFC 3417(http://tools.ietf.org/html/rfc3417)
RFC 3418(http://tools.ietf.org/html/rfc3418)
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。 これらの通知では、要求を SNMP マネージャから送信する必要はありません。 通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Cisco UCS Manager は、トラップまたはインフォームとして SNMP 通知を生成します。 SNMP マネージャはトラップ受信時に確認応答を送信せず、Cisco UCS Manager はトラップが受信されたかどうかを確認できないため、トラップの信頼性はインフォームよりも低くなります。 インフォーム要求を受信する SNMP マネージャは、SNMP 応答プロトコル データ ユニット(PDU)でメッセージの受信を確認します。 Cisco UCS Manager が PDU を受信しない場合、インフォーム要求を再送できます。
SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。 セキュリティ モデルは選択されたセキュリティ レベルと組み合わされ、SNMP メッセージの処理中に適用されるセキュリティ メカニズムを決定します。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージの表示に必要な権限を決定します。 権限レベルは、開示されないようメッセージを保護する必要があるか、またはメッセージを認証する必要があるかどうかを決定します。 サポートされるセキュリティ レベルは、実装されているセキュリティ モデルによって異なります。 SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。 セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。 セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
次の表に、セキュリティ モデルとレベルの組み合わせの意味を示します。
モデル |
レベル |
認証 |
暗号化 |
結果 |
---|---|---|---|---|
v1 |
noAuthNoPriv |
コミュニティ ストリング |
No |
コミュニティ ストリングの照合を使用して認証します。 |
v2c |
noAuthNoPriv |
コミュニティ ストリング |
No |
コミュニティ ストリングの照合を使用して認証します。 |
v3 |
noAuthNoPriv |
ユーザ名 |
No |
ユーザ名の照合を使用して認証します。 |
v3 |
authNoPriv |
HMAC-MD5 または HMAC-SHA |
No |
Hash-Based Message Authentication Code(HMAC)メッセージ ダイジェスト 5(MD5)アルゴリズムまたは HMAC Secure Hash Algorithm(SHA)アルゴリズムに基づいて認証します。 |
v3 |
authPriv |
HMAC-MD5 または HMAC-SHA |
DES |
HMAC-MD5 アルゴリズムまたは HMAC-SHA アルゴリズムに基づいて認証します。 データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。 |
SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。 SNMPv3 は、設定済みユーザによる管理動作のみを許可し、SNMP メッセージを暗号化します。 SNMPv3 ユーザベース セキュリティ モデル(USM) は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。
Cisco UCS は、SNMP に対して以下のサポートを備えています。
Cisco UCS は、MIB への読み取り専用アクセスをサポートします。
Cisco UCS で使用可能な特定の MIB およびその入手先については、B シリーズ サーバは http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/mib/b-series/b_UCS_MIBRef.html を、C シリーズは http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/mib/c-series/b_UCS_Standalone_C-Series_MIBRef.html を参照してください。
Cisco UCS は、SNMPv3 ユーザ用に次の認証プロトコルをサポートしています。
Cisco UCS は、SNMPv3 メッセージ暗号化用のプライバシー プロトコルの 1 つとして高度暗号化規格(AES)を使用し、コメント要求(RFC)3826 に準拠しています。
プライバシー パスワード(priv オプション)では、SNMP セキュリティ暗号化方式として DES または 128 ビット AES を選択できます。 AES-128 の設定を有効にして、SNMPv3 ユーザ用のプライバシー パスワードを含めると、Cisco UCS Manager はそのプライバシー パスワードを使用して 128 ビット AES キーを生成します。 AES のプライバシー パスワードは最小で 8 文字です。 パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
Cisco UCS ドメインからの SNMP メッセージには、システム名ではなくファブリック インターコネクト名が表示されます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope monitoring | モニタリング モードを開始します。 |
ステップ 2 | UCS-A /monitoring # enable snmp | SNMP をイネーブルにします。 |
ステップ 3 | UCS-A /monitoring # set snmp community | snmp コミュニティ モードを開始します。 |
ステップ 4 | UCS-A /monitoring # Enter a snmp community: community-name | SNMP コミュニティを指定します。 パスワードとしてコミュニティ名を使用します。 コミュニティ名は、最大 32 文字の英数字で指定できます。 |
ステップ 5 | UCS-A /monitoring # set snmp syscontact system-contact-name | SNMP 担当者のシステムの連絡先を指定します。 システムの連絡先名(電子メール アドレスや、名前と電話番号など)は、最大 255 文字の英数字で指定できます。 |
ステップ 6 | UCS-A /monitoring # set snmp syslocation system-location-name | SNMP エージェント(サーバ)が実行されるホストの場所を指定します。 システム ロケーション名は、最大 512 文字の英数字で指定できます。 |
ステップ 7 | UCS-A /monitoring # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、SNMP をイネーブルにし、SnmpCommSystem2 という名前の SNMP コミュニティを設定し、contactperson という名前のシステム連絡先を設定し、systemlocation という名前の連絡先ロケーションを設定し、トランザクションをコミットする例を示します。
UCS-A# scope monitoring UCS-A /monitoring # enable snmp UCS-A /monitoring* # set snmp community UCS-A /monitoring* # Enter a snmp community: SnmpCommSystem2 UCS-A /monitoring* # set snmp syscontact contactperson1 UCS-A /monitoring* # set snmp syslocation systemlocation UCS-A /monitoring* # commit-buffer UCS-A /monitoring #
SNMP トラップおよびユーザを作成します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope monitoring | モニタリング モードを開始します。 |
ステップ 2 | UCS-A /monitoring # enable snmp | SNMP をイネーブルにします。 |
ステップ 3 | UCS-A /monitoring # create snmp-trap {hostname | ip-addr | ip6-addr} | 指定されたホスト名、または IPv4 または IPv6 アドレスで SNMP トラップ ホストを作成します。 |
ステップ 4 | UCS-A /monitoring/snmp-trap # set community community-name | SNMP トラップに使用する SNMP コミュニティ名を指定します。 |
ステップ 5 | UCS-A /monitoring/snmp-trap # set port port-num | SNMP トラップに使用するポートを指定します。 |
ステップ 6 | UCS-A /monitoring/snmp-trap # set version {v1 | v2c | v3} | トラップに使用する SNMP のバージョンとモデルを指定します。 |
ステップ 7 | UCS-A /monitoring/snmp-trap # set notification type {traps | informs} | (任意) [Version] に [V2c] または [V3] を選んだ場合、送信するトラップのタイプ。 |
ステップ 8 | UCS-A /monitoring/snmp-trap # set v3 privilege {auth | noauth | priv} | (任意) [Version] に [V3] を選択した場合、トラップに関連付けられた権限。 |
ステップ 9 | UCS-A /monitoring/snmp-trap # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、SNMP をイネーブルにし、IPv4 アドレスを使用して SNMP トラップを作成し、トラップがポート 2 で SnmpCommSystem2 コミュニティを使用するよう指定し、バージョンを v3 に設定し、通知タイプを traps に設定し、v3 権限を priv に設定し、トランザクションをコミットします。
UCS-A# scope monitoring UCS-A /monitoring # enable snmp UCS-A /monitoring* # create snmp-trap 192.168.100.112 UCS-A /monitoring/snmp-trap* # set community SnmpCommSystem2 UCS-A /monitoring/snmp-trap* # set port 2 UCS-A /monitoring/snmp-trap* # set version v3 UCS-A /monitoring/snmp-trap* # set notificationtype traps UCS-A /monitoring/snmp-trap* # set v3 privilege priv UCS-A /monitoring/snmp-trap* # commit-buffer UCS-A /monitoring/snmp-trap #
次の例は、SNMP をイネーブルにし、IPv6 アドレスを使用して SNMP トラップを作成し、トラップがポート 2 で SnmpCommSystem3 コミュニティを使用するよう指定し、バージョンを v3 に設定し、通知タイプを traps に設定し、v3 権限を priv に設定し、トランザクションをコミットします。
UCS-A# scope monitoring UCS-A /monitoring # enable snmp UCS-A /monitoring* # create snmp-trap 2001::1 UCS-A /monitoring/snmp-trap* # set community SnmpCommSystem3 UCS-A /monitoring/snmp-trap* # set port 2 UCS-A /monitoring/snmp-trap* # set version v3 UCS-A /monitoring/snmp-trap* # set notificationtype traps UCS-A /monitoring/snmp-trap* # set v3 privilege priv UCS-A /monitoring/snmp-trap* # commit-buffer UCS-A /monitoring/snmp-trap #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope monitoring | モニタリング モードを開始します。 |
ステップ 2 | UCS-A /monitoring # delete snmp-trap {hostname | ip-addr} | 指定したホスト名または IP アドレスの指定した SNMP トラップ ホストを削除します。 |
ステップ 3 | UCS-A /monitoring # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、IP アドレス 192.168.100.112 で SNMP トラップを削除し、トランザクションをコミットする例を示します。
UCS-A# scope monitoring UCS-A /monitoring # delete snmp-trap 192.168.100.112 UCS-A /monitoring* # commit-buffer UCS-A /monitoring #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope monitoring | モニタリング モードを開始します。 |
ステップ 2 | UCS-A /monitoring # enable snmp | SNMP をイネーブルにします。 |
ステップ 3 | UCS-A /monitoring # create snmp-user user-name | 指定された SNMPv3 ユーザを作成します。 SNMP ユーザ名は、ローカル ユーザ名と同じにはできません。 ローカル ユーザ名と一致しない SNMP ユーザ名を選択します。 |
ステップ 4 | UCS-A /monitoring/snmp-user # set aes-128 {no | yes} | AES-128 暗号化の使用をイネーブルまたはディセーブルにします。 |
ステップ 5 | UCS-A /monitoring/snmp-user # set auth {md5 | sha} | MD5 または DHA 認証の使用を指定します。 |
ステップ 6 | UCS-A /monitoring/snmp-user # set password | ユーザ パスワードを指定します。 set password コマンドを入力すると、パスワードの入力と確認を促すプロンプトが表示されます。 |
ステップ 7 | UCS-A /monitoring/snmp-user # set priv-password | ユーザ プライバシー パスワードを指定します。 set priv-password コマンドを入力すると、プライバシー パスワードの入力と確認を促すプロンプトが表示されます。 |
ステップ 8 | UCS-A /monitoring/snmp-user # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、SNMP をイネーブルにし、snmp-user14 という名前の SNMPv3 ユーザを作成し、AES-128 暗号化をディセーブルにし、MD5 認証の使用を指定し、パスワードおよびプライバシー パスワードを設定し、トランザクションをコミットします。
UCS-A# scope monitoring UCS-A /monitoring # enable snmp UCS-A /monitoring* # create snmp-user snmp-user14 UCS-A /monitoring/snmp-user* # set aes-128 no UCS-A /monitoring/snmp-user* # set auth md5 UCS-A /monitoring/snmp-user* # set password Enter a password: Confirm the password: UCS-A /monitoring/snmp-user* # set priv-password Enter a password: Confirm the password: UCS-A /monitoring/snmp-user* # commit-buffer UCS-A /monitoring/snmp-user #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope monitoring | モニタリング モードを開始します。 |
ステップ 2 | UCS-A /monitoring # delete snmp-user user-name | 指定した SNMPv3 ユーザを削除します。 |
ステップ 3 | UCS-A /monitoring # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、snmp user14 という名前の SNMPv3 ユーザを削除し、トランザクションをコミットする例を示します。
UCS-A# scope monitoring UCS-A /monitoring # delete snmp-user snmp-user14 UCS-A /monitoring* # commit-buffer UCS-A /monitoring #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope system | システム モードを開始します。 |
ステップ 2 | UCS-A /system # scope services | システム サービス モードを開始します。 |
ステップ 3 | UCS-A /services # enable telnet-server | Telnet サービスをイネーブルにします。 |
ステップ 4 | UCS-A /services # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、Telnet を有効にし、トランザクションをコミットする例を示します。
UCS-A# scope system UCS-A /system # scope services UCS-A /services # enable telnet-server UCS-A /services* # commit-buffer UCS-A /services #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope system / | システム モードを開始します。 |
ステップ 2 | UCS-A /system #scope services/ | システムのサービス モードを開始します。 |
ステップ 3 | UCS-A/system/services #enable cimcwebsvc/ | CIMC Web サービスをイネーブルにします。 |
ステップ 4 | UCS-A/system/services *# commit-buffer/ | トランザクションをシステムの設定にコミットします。 |
次に、CIMC Web サービスをイネーブルにし、トランザクションを保存する例を示します。
UCS-A# scope system UCS-A/system # scope services UCS-A/system/services # enable cimcwebsvc UCS-A/system/services *# commit-buffer UCS-A/system/services # commit-buffer UCS-A/system/services # show cimcwebsvc Name: cimcwebservice Admin State: Enabled
(注) |
CIMC Web サービスはデフォルトでイネーブルとなっています。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope system / | システム モードを開始します。 |
ステップ 2 | UCS-A /system #scope services/ | システムのサービス モードを開始します。 |
ステップ 3 | UCS-A/system/services #disable cimcwebsvc/ | CIMC Web サービスをディセーブルにします。 |
ステップ 4 | UCS-A/system/services *# commit-buffer/ | トランザクションをシステムの設定にコミットします。 |
次に、CIMC Web サービスをディセーブルにし、トランザクションを保存する例を示します。
UCS-A# scope system UCS-A/system # scope services UCS-A/system/services # disable cimcwebsvc UCS-A/system/services *# commit-buffer UCS-A/system/services # commit-buffer UCS-A/system/services # show cimcwebsvc Name: cimcwebservice Admin State: Disabled
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope system | システム モードを開始します。 |
ステップ 2 | UCS-A /system # scope services | システム サービス モードを開始します。 |
ステップ 3 | UCS-A /system/services # disable service-name | 指定したサービスをディセーブルにします。ここで service-name 引数は次のいずれかのキーワードです。 |
ステップ 4 | UCS-A /system/services # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、CIM XML をディセーブルにし、トランザクションをコミットする例を示します。
UCS-A# scope system UCS-A# scope services UCS-A /system/services # disable cimxml UCS-A /system/services* # commit-buffer UCS-A /system/services #
目次
- コミュニケーション サービスの設定
- Communication Services
- CIM XML の設定
- HTTP の設定
- HTTP の設定解除
- HTTPS の設定
- 証明書、キー リング、トラスト ポイント
- キー リングの作成
- デフォルト キー リングの再生成
- キー リングの証明書要求の作成
- 基本オプション付きのキー リングの証明書要求の作成
- 詳細オプション付きのキー リングの証明書要求の作成
- トラスト ポイントの作成
- キー リングへの証明書のインポート
- HTTPS の設定
- キーリングの削除
- トラスト ポイントの削除
- HTTPS の設定解除
- HTTP リダイレクションのイネーブル化
- SNMP の設定
- SNMP に関する情報
- SNMP 機能の概要
- SNMP 通知
- SNMP セキュリティ レベルおよび権限
- SNMP セキュリティ モデルとレベルのサポートされている組み合わせ
- SNMPv3 セキュリティ機能
- SNMP サポート: Cisco UCS
- SNMP のイネーブル化および SNMP プロパティの設定
- SNMP トラップの作成
- SNMP トラップの削除
- SNMPv3 ユーザの作成
- SNMPv3 ユーザの削除
- Telnet のイネーブル化
- CIMC Web サービスのイネーブル化
- CIMC Web サービスのディセーブル化
- 通信サービスのディセーブル化
この章は、次の項で構成されています。
- Communication Services
- CIM XML の設定
- HTTP の設定
- HTTP の設定解除
- HTTPS の設定
- HTTP リダイレクションのイネーブル化
- SNMP の設定
- Telnet のイネーブル化
- CIMC Web サービスのイネーブル化
- CIMC Web サービスのディセーブル化
- 通信サービスのディセーブル化
Communication Services
以下に定義する通信サービスを使用してサードパーティ アプリケーションを Cisco UCS に接続できます。
Cisco UCS Manager 次のサービスに対する IPv4 および IPv6 アドレス アクセスの両方をサポートします。
Cisco UCS Manager Web ブラウザから [Cisco UCS KVM Direct] 起動ページへのアウトオブバンド IPv4 アドレス アクセスをサポートします。 このアクセスを提供するには、次のサービスをイネーブルにする必要があります。
通信サービス
説明
CIM XML
このサービスはデフォルトでディセーブルになり、読み取り専用モードでだけ利用できます。 デフォルトのポートは 5988 です。
この共通の情報モデルは、Distributed Management Task Force によって定義された標準の 1 つです。
CIMC Web サービス
このサービスは、デフォルトでディセーブルになります。
このサービスをイネーブルにすると、ユーザは直接サーバに割り当てられるか、またはサービス プロファイルを介しサーバに関連付けられたアウトオブバンドの管理 IP アドレスの 1 つを使用して直接サーバ CIMC にアクセスできます。
(注) CIMC Web サービスは全体的にイネーブルまたはディセーブルにすることのみが可能です。 個別の CIMC IP アドレスに対し KVM ダイレクト アクセスを設定できません。
HTTP
このサービスは、デフォルトでポート 80 でイネーブルになります。
Cisco UCS Manager GUI を実行するには HTTP または HTTPS のいずれかをイネーブルにする必要があります。 HTTP を選択した場合、すべてのデータはクリア テキスト モードで交換されます。
セキュリティ上の理由により、HTTPS をイネーブルにし、HTTP をディセーブルにすることを推奨します。
デフォルトでは、Cisco UCS は HTTP 経由の通信の試行をすべて同等の HTTPS にリダイレクトします。 この動作を変更しないことを推奨します。
(注) Cisco UCS バージョン 1.4(1)にアップグレードする場合、これはデフォルトでは発生しません。 HTTP 経由の通信の試行を同等の HTTPS にリダイレクトする場合、[Redirect HTTP to HTTPS] を Cisco UCS Manager でイネーブルにする必要があります。
HTTPS
このサービスは、デフォルトでポート 443 でイネーブルになります。
HTTPS を使用すると、すべてのデータはセキュアなサーバを介して暗号化モードで交換されます。
セキュリティ上の目的から、HTTPS だけを使用するようにし、HTTP 通信はディセーブルにするか、リダイレクトすることを推奨します。
SMASH CLP
このサービスは読み取り専用アクセスに対してイネーブルになり、show コマンドなど、プロトコルの一部のサブセットをサポートします。 これをディセーブルにすることはできません。
このシェル サービスは、Distributed Management Task Force によって定義された標準の 1 つです。
SNMP
このサービスは、デフォルトでディセーブルになります。 イネーブルの場合、デフォルトのポートは 161 です。 コミュニティと少なくとも 1 つの SNMP トラップを設定する必要があります。
SSH
このサービスは、ポート 22 でイネーブルになります。 これはディセーブルにできず、デフォルトのポートを変更することもできません。
Telnet
CIM XML の設定
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope system システム モードを開始します。
ステップ 2 UCS-A /system # scope services システム サービス モードを開始します。
ステップ 3 UCS-A /system/services # enable cimxml CIM XLM サービスをイネーブルにします。
ステップ 4 UCS-A /system/services # set cimxml port port-num CIM XML 接続に使用するポートを指定します。
ステップ 5 UCS-A /system/services # commit-buffer トランザクションをシステムの設定にコミットします。
HTTP の設定
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope system システム モードを開始します。
ステップ 2 UCS-A /system # scope services システム サービス モードを開始します。
ステップ 3 UCS-A /system/services # enable http HTTP サービスをイネーブルにします。
ステップ 4 UCS-A /system/services # set http port port-num HTTP 接続で使用されるポートを指定します。
ステップ 5 UCS-A /system/services # commit-buffer トランザクションをシステムの設定にコミットします。
次の例は、HTTP をイネーブルにし、ポート番号を 80 に設定し、トランザクションをコミットします。
UCS-A# scope system UCS-A /system # scope services UCS-A /system/services # enable http UCS-A /system/services* # set http port 80 Warning: When committed, this closes all the web sessions. UCS-A /system/services* # commit-buffer UCS-A /system/services #HTTP の設定解除
証明書、キー リング、トラスト ポイント
HTTPS は、公開キー インフラストラクチャ(PKI)のコンポーネントを使用してクライアントのブラウザと Cisco UCS Manager などの 2 つのデバイス間でセキュアな通信を確立します。
暗号キーとキー リング
各 PKI デバイスは、内部キー リングに非対称の Rivest-Shamir-Adleman(RSA)暗号キーのペア(1 つはプライベート、もう 1 つはパブリック)を保持します。 いずれかのキーで暗号化されたメッセージは、もう一方のキーで復号化できます。 暗号化されたメッセージを送信する場合、送信者は受信者の公開キーで暗号化し、受信者は独自の秘密キーを使用してメッセージを復号化します。 送信者は、独自の秘密キーで既知のメッセージを暗号化(「署名」とも呼ばれます)して公開キーの所有者を証明することもできます。 受信者が該当する公開キーを使用してメッセージを正常に復号化できる場合は、送信者が対応する秘密キーを所有していることが証明されます。 暗号キーの長さはさまざまであり、通常の長さは 512 ビット ~ 2048 ビットです。 一般的に、短いキーよりも長いキーの方がセキュアになります。 Cisco UCS Manager では、最初に 1024 ビットのキー ペアを含むデフォルトのキー リングが提供されます。そして、追加のキー リングを作成できます。
クラスタ名が変更されたり、証明書が期限切れになったりした場合は、デフォルトのキー リング証明書を手動で再生成する必要があります。
この操作は、UCS Manager CLI のみで使用できます。
証明書
セキュアな通信を準備するには、まず 2 つのデバイスがそれぞれのデジタル証明書を交換します。 証明書は、デバイスの ID に関する署名済み情報とともにデバイスの公開キーを含むファイルです。 暗号化された通信をサポートするために、デバイスは独自のキー ペアと独自の自己署名証明書を生成できます。 リモート ユーザが自己署名証明書を提示するデバイスに接続する場合、ユーザはデバイスの ID を簡単に検証することができず、ユーザのブラウザは最初に認証に関する警告を表示します。 デフォルトでは、Cisco UCS Manager にはデフォルトのキー リングからの公開キーを含む組み込みの自己署名証明書が含まれます。
キー リングの作成
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # create keyring keyring-name キー リングを作成し、名前を指定します。
ステップ 3 UCS-A /security/keyring # set modulus {mod1024 | mod1536 | mod2048 | mod512} SSL キーのビット長を設定します。
ステップ 4 UCS-A /security/keyring # commit-buffer トランザクションをコミットします。
次の作業次の例は、1024 ビットのキー サイズのキー リングを作成します。
UCS-A# scope security UCS-A /security # create keyring kr220 UCS-A /security/keyring* # set modulus mod1024 UCS-A /security/keyring* # commit-buffer UCS-A /security/keyring #
このキー リングの証明書要求を作成します。
デフォルト キー リングの再生成
基本オプション付きのキー リングの証明書要求の作成
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope keyring keyring-name キー リングのコンフィギュレーション モードを開始します。
ステップ 3 UCS-A /security/keyring # create certreq {ip [ipv4-addr | ipv6-v6] |subject-name name} 指定された IPv4 または IPv6 アドレス、またはファブリック インターコネクトの名前を使用して証明書要求を作成します。 証明書要求のパスワードを入力するように求められます。
ステップ 4 UCS-A /security/keyring/certreq # commit-buffer トランザクションをコミットします。
ステップ 5 UCS-A /security/keyring # show certreq コピーしてトラスト アンカーまたは認証局に送信可能な証明書要求を表示します。
次の例では、基本オプション付きのキー リングについて IPv4 アドレスで証明書要求を作成して表示します。
UCS-A# scope security UCS-A /security # scope keyring kr220 UCS-A /security/keyring # create certreq ip 192.168.200.123 subject-name sjc04 Certificate request password: Confirm certificate request password: UCS-A /security/keyring* # commit-buffer UCS-A /security/keyring # show certreq Certificate request subject name: sjc04 Certificate request ip address: 192.168.200.123 Certificate request e-mail name: Certificate request country name: State, province or county (full name): Locality (eg, city): Organization name (eg, company): Organization Unit name (eg, section): Request: -----BEGIN CERTIFICATE REQUEST----- MIIBfTCB5wIBADARMQ8wDQYDVQQDEwZzYW1jMDQwgZ8wDQYJKoZIhvcNAQEBBQAD gY0AMIGJAoGBALpKn1t8qMZO4UGqILKFXQQc2c8b/vW2rnRF8OPhKbhghLA1YZ1F JqcYEG5Yl1+vgohLBTd45s0GC8m4RTLJWHo4SwccAUXQ5Zngf45YtX1WsylwUWV4 0re/zgTk/WCd56RfOBvWR2Dtztu2pGA14sd761zLxt29K7R8mzj6CAUVAgMBAAGg LTArBgkqhkiG9w0BCQ4xHjAcMBoGA1UdEQEB/wQQMA6CBnNhbWMwNIcECsEiXjAN BgkqhkiG9w0BAQQFAAOBgQCsxN0qUHYGFoQw56RwQueLTNPnrndqUwuZHUO03Teg nhsyu4satpyiPqVV9viKZ+spvc6x5PWIcTWgHhH8BimOb/0OKuG8kwfIGGsEDlAv TTYvUP+BZ9OFiPbRIA718S+V8ndXr1HejiQGxlDNqoN+odCXPc5kjoXD0lZTL09H BA== -----END CERTIFICATE REQUEST----- UCS-A /security/keyring #詳細オプション付きのキー リングの証明書要求の作成
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope keyring keyring-name キー リングのコンフィギュレーション モードを開始します。
ステップ 3 UCS-A /security/keyring # create certreq 証明書要求を作成します。
ステップ 4 UCS-A /security/keyring/certreq* # set country country name 会社が存在している国の国コードを指定します。
ステップ 5 UCS-A /security/keyring/certreq* # set dns DNS Name 要求に関連付けられたドメイン ネーム サーバ(DNS)アドレスを指定します。
ステップ 6 UCS-A /security/keyring/certreq* # set e-mail E-mail name 証明書要求に関連付けられた電子メール アドレスを指定します。
ステップ 7 UCS-A /security/keyring/certreq* # set ip {certificate request ip-address|certificate request ip6-address } ファブリック インターコネクトの IP アドレスを指定します。
ステップ 8 UCS-A /security/keyring/certreq* # set locality locality name (eg, city) 証明書を要求している会社の本社が存在する市または町を指定します。
ステップ 9 UCS-A /security/keyring/certreq* # set org-name organization name 証明書を要求している組織を指定します。
ステップ 10 UCS-A /security/keyring/certreq* # set org-unit-name organizational unit name 組織ユニットを指定します。
ステップ 11 UCS-A /security/keyring/certreq* # set password certificate request password 証明書要求に関するオプションのパスワードを指定します。
ステップ 12 UCS-A /security/keyring/certreq* # set state state, province or county 証明書を要求している会社の本社が存在する州または行政区分を指定します。
ステップ 13 UCS-A /security/keyring/certreq* # set subject-name certificate request name ファブリック インターコネクトの完全修飾ドメイン名を指定します。
ステップ 14 UCS-A /security/keyring/certreq* # commit-buffer トランザクションをコミットします。
ステップ 15 UCS-A /security/keyring # show certreq コピーしてトラスト アンカーまたは認証局に送信可能な証明書要求を表示します。
次の作業次の例では、詳細オプション付きのキー リングについて IPv4 アドレスで証明書要求を作成して表示します。
UCS-A# scope security UCS-A /security # scope keyring kr220 UCS-A /security/keyring # create certreq UCS-A /security/keyring/certreq* # set ip 192.168.200.123 UCS-A /security/keyring/certreq* # set subject-name sjc04 UCS-A /security/keyring/certreq* # set country US UCS-A /security/keyring/certreq* # set dns bg1-samc-15A UCS-A /security/keyring/certreq* # set email test@cisco.com UCS-A /security/keyring/certreq* # set locality new york city UCS-A /security/keyring/certreq* # set org-name "Cisco Systems" UCS-A /security/keyring/certreq* # set org-unit-name Testing UCS-A /security/keyring/certreq* # set state new york UCS-A /security/keyring/certreq* # commit-buffer UCS-A /security/keyring/certreq # show certreq Certificate request subject name: sjc04 Certificate request ip address: 192.168.200.123 Certificate request e-mail name: test@cisco.com Certificate request country name: US State, province or county (full name): New York Locality name (eg, city): new york city Organization name (eg, company): Cisco Organization Unit name (eg, section): Testing Request: -----BEGIN CERTIFICATE REQUEST----- MIIBfTCB5wIBADARMQ8wDQYDVQQDEwZzYW1jMDQwgZ8wDQYJKoZIhvcNAQEBBQAD gY0AMIGJAoGBALpKn1t8qMZO4UGqILKFXQQc2c8b/vW2rnRF8OPhKbhghLA1YZ1F JqcYEG5Yl1+vgohLBTd45s0GC8m4RTLJWHo4SwccAUXQ5Zngf45YtX1WsylwUWV4 0re/zgTk/WCd56RfOBvWR2Dtztu2pGA14sd761zLxt29K7R8mzj6CAUVAgMBAAGg LTArBgkqhkiG9w0BCQ4xHjAcMBoGA1UdEQEB/wQQMA6CBnNhbWMwNIcECsEiXjAN BgkqhkiG9w0BAQQFAAOBgQCsxN0qUHYGFoQw56RwQueLTNPnrndqUwuZHUO03Teg nhsyu4satpyiPqVV9viKZ+spvc6x5PWIcTWgHhH8BimOb/0OKuG8kwfIGGsEDlAv TTYvUP+BZ9OFiPbRIA718S+V8ndXr1HejiQGxlDNqoN+odCXPc5kjoXD0lZTL09H BA== -----END CERTIFICATE REQUEST----- UCS-A /security/keyring/certreq #
トラスト ポイントの作成
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # create trustpoint name トラスト ポイントを作成し、その名前を指定します。
ステップ 3 UCS-A /security/trustpoint # set certchain certchain このトラスト ポイントの証明書情報を指定します。
コマンドで証明書情報を指定しない場合、ルート認証局(CA)への認証パスを定義するトラスト ポイントのリストまたは証明書を入力するように求められます。 入力内容の次の行に、「ENDOFBUF」と入力して終了します。
ステップ 4 UCS-A /security/trustpoint # commit-buffer トランザクションをコミットします。
次の作業次の例は、トラスト ポイントを作成し、トラスト ポイントに証明書を提供します。
UCS-A# scope security UCS-A /security # create trustpoint tPoint10 UCS-A /security/trustpoint* # set certchain Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort. Trustpoint Certificate Chain: > -----BEGIN CERTIFICATE----- > MIIDMDCCApmgAwIBAgIBADANBgkqhkiG9w0BAQQFADB0MQswCQYDVQQGEwJVUzEL > BxMMU2FuIEpvc2UsIENBMRUwEwYDVQQKEwxFeGFtcGxlIEluYy4xEzARBgNVBAsT > ClRlc3QgR3JvdXAxGTAXBgNVBAMTEHRlc3QuZXhhbXBsZS5jb20xHzAdBgkqhkiG > 9w0BCQEWEHVzZXJAZXhhbXBsZS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ > AoGBAMZw4nTepNIDhVzb0j7Z2Je4xAG56zmSHRMQeOGHemdh66u2/XAoLx7YCcYU > ZgAMivyCsKgb/6CjQtsofvtrmC/eAehuK3/SINv7wd6Vv2pBt6ZpXgD4VBNKONDl > GMbkPayVlQjbG4MD2dx2+H8EH3LMtdZrgKvPxPTE+bF5wZVNAgMBAAGgJTAjBgkq > hkiG9w0BCQcxFhMUQSBjaGFsbGVuZ2UgcGFzc3dvcmQwDQYJKoZIhvcNAQEFBQAD > gYEAG61CaJoJaVMhzCl903O6Mg51zq1zXcz75+VFj2I6rH9asckCld3mkOVx5gJU > Ptt5CVQpNgNLdvbDPSsXretysOhqHmp9+CLv8FDuy1CDYfuaLtvlWvfhevskV0j6 > jtcEMyZ+f7+3yh421ido3nO4MIGeBgNVHSMEgZYwgZOAFLlNjtcEMyZ+f7+3yh42 > 1ido3nO4oXikdjB0MQswCQYDVQQGEwJVUzELMAkGA1UECBMCQ0ExFDASBgNVBAcT > C1NhbnRhIENsYXJhMRswGQYDVQQKExJOdW92YSBTeXN0ZW1zIEluYy4xFDASBgNV > BAsTC0VuZ2luZWVyaW5nMQ8wDQYDVQQDEwZ0ZXN0Q0GCAQAwDAYDVR0TBAUwAwEB > /zANBgkqhkiG9w0BAQQFAAOBgQAhWaRwXNR6B4g6Lsnr+fptHv+WVhB5fKqGQqXc > wR4pYiO4z42/j9Ijenh75tCKMhW51az8copP1EBmOcyuhf5C6vasrenn1ddkkYt4 > PR0vxGc40whuiozBolesmsmjBbedUCwQgdFDWhDIZJwK5+N3x/kfa2EHU6id1avt > 4YL5Jg== > -----END CERTIFICATE----- > ENDOFBUF UCS-A /security/trustpoint* # commit-buffer UCS-A /security/trustpoint #
トラスト アンカーまたは認証局からキー リング証明書を取得し、キー リングにインポートします。
キー リングへの証明書のインポート
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope keyring keyring-name 証明書を受け取るキー リングでコンフィギュレーション モードを開始します。
ステップ 3 UCS-A /security/keyring # set trustpoint name キー リング証明書の取得元のトラスト アンカーまたは認証局に対しトラスト ポイントを指定します。
ステップ 4 UCS-A /security/keyring # set cert キー リング証明書を入力してアップロードするためのダイアログを起動します。
プロンプトで、トラスト アンカーまたは認証局から受け取った証明書のテキストを貼り付けます。 証明書の後の行に ENDOFBUF と入力して、証明書の入力を完了します。
ステップ 5 UCS-A /security/keyring # commit-buffer トランザクションをコミットします。
次の作業次に、トラストポイントを指定し、証明書をキー リングにインポートする例を示します。
UCS-A# scope security UCS-A /security # scope keyring kr220 UCS-A /security/keyring # set trustpoint tPoint10 UCS-A /security/keyring* # set cert Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort. Keyring certificate: > -----BEGIN CERTIFICATE----- > MIIB/zCCAWgCAQAwgZkxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJDQTEVMBMGA1UE > BxMMU2FuIEpvc2UsIENBMRUwEwYDVQQKEwxFeGFtcGxlIEluYy4xEzARBgNVBAsT > ClRlc3QgR3JvdXAxGTAXBgNVBAMTEHRlc3QuZXhhbXBsZS5jb20xHzAdBgkqhkiG > 9w0BCQEWEHVzZXJAZXhhbXBsZS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ > AoGBAMZw4nTepNIDhVzb0j7Z2Je4xAG56zmSHRMQeOGHemdh66u2/XAoLx7YCcYU > ZgAMivyCsKgb/6CjQtsofvtrmC/eAehuK3/SINv7wd6Vv2pBt6ZpXgD4VBNKONDl > GMbkPayVlQjbG4MD2dx2+H8EH3LMtdZrgKvPxPTE+bF5wZVNAgMBAAGgJTAjBgkq > hkiG9w0BCQcxFhMUQSBjaGFsbGVuZ2UgcGFzc3dvcmQwDQYJKoZIhvcNAQEFBQAD > gYEAG61CaJoJaVMhzCl903O6Mg51zq1zXcz75+VFj2I6rH9asckCld3mkOVx5gJU > Ptt5CVQpNgNLdvbDPSsXretysOhqHmp9+CLv8FDuy1CDYfuaLtvlWvfhevskV0j6 > mK3Ku+YiORnv6DhxrOoqau8r/hyI/L43l7IPN1HhOi3oha4= > -----END CERTIFICATE----- > ENDOFBUF UCS-A /security/keyring* # commit-buffer UCS-A /security/keyring #
キー リングを使用して HTTPS サービスを設定します。
HTTPS の設定
手順
注意
HTTPS で使用するポートとキー リングの変更を含め、HTTPS の設定を完了した後、トランザクションを保存またはコミットするとすぐに、現在のすべての HTTP および HTTPS セッションは警告なく閉じられます。
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope system システム モードを開始します。
ステップ 2 UCS-A /system # scope services システム サービス モードを開始します。
ステップ 3 UCS-A /system/services # enable https HTTPS サービスをイネーブルにします。
ステップ 4 UCS-A /system/services # set https port port-num (任意) HTTPS 接続で使用されるポートを指定します。
ステップ 5 UCS-A /system/services # set https keyring keyring-name (任意) HTTPS に対して作成したキー リングの名前を指定します。
ステップ 6 UCS-A /system/services # set https cipher-suite-mode cipher-suite-mode (任意) Cisco UCS ドメインで使用される暗号スイート セキュリティのレベル。 cipher-suite-mode は次のいずれかになります。
ステップ 7 UCS-A /system/services # set https cipher-suite cipher-suite-spec-string (任意) cipher-suite-mode が [custom] に設定されている場合は、この Cisco UCS ドメインに対する暗号スイート セキュリティのカスタム レベルを指定します。
cipher-suite-spec-string最大 256 文字まで使用できますが、OpenSSL 暗号スイート仕様に準拠する必要があります。 次を除き、スペースや特殊文字は使用できません。 !(感嘆符)、+(プラス記号)、-(ハイフン)、および :(コロン)。 詳細については、http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslciphersuite を参照してください。。
たとえば、Cisco UCS Manager がデフォルトとして使用する中強度仕様の文字列は次のようになります:ALL:!ADH:!EXPORT56:!LOW:RC4+RSA:+HIGH:+MEDIUM:+EXP:+eNULL
(注) このオプションは、cipher-suite-mode が [custom] 以外に設定されている場合は無視されます。
ステップ 8 UCS-A /system/services # commit-buffer トランザクションをシステムの設定にコミットします。
次の例では、HTTPS をイネーブルにし、ポート番号を 443 に設定し、キー リング名を kring7984 に設定し、暗号スイートのセキュリティ レベルを [high] に設定し、トランザクションをコミットします。
UCS-A# scope system UCS-A /system # scope services UCS-A /system/services # enable https UCS-A /system/services* # set https port 443 Warning: When committed, this closes all the web sessions. UCS-A /system/services* # set https keyring kring7984 UCS-A /system/services* # set https cipher-suite-mode high UCS-A /system/services* # commit-buffer UCS-A /system/services #キーリングの削除
トラスト ポイントの削除
HTTPS の設定解除
HTTP リダイレクションのイネーブル化
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope system システム モードを開始します。
ステップ 2 UCS-A /system # scope services システム サービス モードを開始します。
ステップ 3 UCS-A /system/services # enable http-redirect HTTP リダイレクト サービスをイネーブルにします。
イネーブルの場合、HTTP 経由で試行される通信はすべて同等の HTTPS アドレスにリダイレクトされます。
このオプションは、この Cisco UCS ドメインへの HTTP アクセスを実質的に無効にします。
ステップ 4 UCS-A /system/services # commit-buffer トランザクションをシステムの設定にコミットします。
SNMP の設定
SNMP に関する情報
SNMP 機能の概要
SNMP フレームワークは 3 つの部分で構成されます。
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム。
SNMP エージェント:管理対象デバイスである Cisco UCS 内のソフトウェア コンポーネント。Cisco UCS のデータを保守し、必要に応じてそのデータを SNMP に報告します。 Cisco UCS には、エージェントと一連の MIB が含まれています。 SNMP エージェントを有効にして、マネージャとエージェント間のリレーションシップを作成するには、Cisco UCS Manager で SNMP を有効にして設定します。
管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。 Cisco UCS リリース 1.4(1)以降では、以前よりも多くの MIB をサポートしています。
Cisco UCS は SNMPv1、SNMPv2c、および SNMPv3 をサポートします。 SNMPv1 と SNMPv2c は、ともにコミュニティベース形式のセキュリティを使用します。 SNMP は次のように定義されています。
RFC 3410(http://tools.ietf.org/html/rfc3410)
RFC 3411(http://tools.ietf.org/html/rfc3411)
RFC 3412(http://tools.ietf.org/html/rfc3412)
RFC 3413(http://tools.ietf.org/html/rfc3413)
RFC 3414(http://tools.ietf.org/html/rfc3414)
RFC 3415(http://tools.ietf.org/html/rfc3415)
RFC 3416(http://tools.ietf.org/html/rfc3416)
RFC 3417(http://tools.ietf.org/html/rfc3417)
RFC 3418(http://tools.ietf.org/html/rfc3418)
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP 通知
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。 これらの通知では、要求を SNMP マネージャから送信する必要はありません。 通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Cisco UCS Manager は、トラップまたはインフォームとして SNMP 通知を生成します。 SNMP マネージャはトラップ受信時に確認応答を送信せず、Cisco UCS Manager はトラップが受信されたかどうかを確認できないため、トラップの信頼性はインフォームよりも低くなります。 インフォーム要求を受信する SNMP マネージャは、SNMP 応答プロトコル データ ユニット(PDU)でメッセージの受信を確認します。 Cisco UCS Manager が PDU を受信しない場合、インフォーム要求を再送できます。
SNMP セキュリティ レベルおよび権限
SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。 セキュリティ モデルは選択されたセキュリティ レベルと組み合わされ、SNMP メッセージの処理中に適用されるセキュリティ メカニズムを決定します。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージの表示に必要な権限を決定します。 権限レベルは、開示されないようメッセージを保護する必要があるか、またはメッセージを認証する必要があるかどうかを決定します。 サポートされるセキュリティ レベルは、実装されているセキュリティ モデルによって異なります。 SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。 セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。 セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
SNMP セキュリティ モデルとレベルのサポートされている組み合わせ
次の表に、セキュリティ モデルとレベルの組み合わせの意味を示します。
表 1 SNMP セキュリティ モデルおよびセキュリティ レベル モデル
レベル
認証
暗号化
結果
v1
noAuthNoPriv
コミュニティ ストリング
No
コミュニティ ストリングの照合を使用して認証します。
v2c
noAuthNoPriv
コミュニティ ストリング
No
コミュニティ ストリングの照合を使用して認証します。
v3
noAuthNoPriv
ユーザ名
No
ユーザ名の照合を使用して認証します。
v3
authNoPriv
HMAC-MD5 または HMAC-SHA
No
Hash-Based Message Authentication Code(HMAC)メッセージ ダイジェスト 5(MD5)アルゴリズムまたは HMAC Secure Hash Algorithm(SHA)アルゴリズムに基づいて認証します。
v3
authPriv
HMAC-MD5 または HMAC-SHA
DES
HMAC-MD5 アルゴリズムまたは HMAC-SHA アルゴリズムに基づいて認証します。 データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。
SNMP サポート: Cisco UCS
Cisco UCS は、SNMP に対して以下のサポートを備えています。
MIB のサポート
Cisco UCS は、MIB への読み取り専用アクセスをサポートします。
Cisco UCS で使用可能な特定の MIB およびその入手先については、B シリーズ サーバは http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/mib/b-series/b_UCS_MIBRef.html を、C シリーズは http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/mib/c-series/b_UCS_Standalone_C-Series_MIBRef.html を参照してください。
SNMPv3 ユーザの AES プライバシー プロトコル
Cisco UCS は、SNMPv3 メッセージ暗号化用のプライバシー プロトコルの 1 つとして高度暗号化規格(AES)を使用し、コメント要求(RFC)3826 に準拠しています。
プライバシー パスワード(priv オプション)では、SNMP セキュリティ暗号化方式として DES または 128 ビット AES を選択できます。 AES-128 の設定を有効にして、SNMPv3 ユーザ用のプライバシー パスワードを含めると、Cisco UCS Manager はそのプライバシー パスワードを使用して 128 ビット AES キーを生成します。 AES のプライバシー パスワードは最小で 8 文字です。 パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
SNMP のイネーブル化および SNMP プロパティの設定
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope monitoring モニタリング モードを開始します。
ステップ 2 UCS-A /monitoring # enable snmp SNMP をイネーブルにします。
ステップ 3 UCS-A /monitoring # set snmp community snmp コミュニティ モードを開始します。
ステップ 4 UCS-A /monitoring # Enter a snmp community: community-name SNMP コミュニティを指定します。 パスワードとしてコミュニティ名を使用します。 コミュニティ名は、最大 32 文字の英数字で指定できます。
ステップ 5 UCS-A /monitoring # set snmp syscontact system-contact-name SNMP 担当者のシステムの連絡先を指定します。 システムの連絡先名(電子メール アドレスや、名前と電話番号など)は、最大 255 文字の英数字で指定できます。
ステップ 6 UCS-A /monitoring # set snmp syslocation system-location-name SNMP エージェント(サーバ)が実行されるホストの場所を指定します。 システム ロケーション名は、最大 512 文字の英数字で指定できます。
ステップ 7 UCS-A /monitoring # commit-buffer トランザクションをシステムの設定にコミットします。
次の作業次に、SNMP をイネーブルにし、SnmpCommSystem2 という名前の SNMP コミュニティを設定し、contactperson という名前のシステム連絡先を設定し、systemlocation という名前の連絡先ロケーションを設定し、トランザクションをコミットする例を示します。
UCS-A# scope monitoring UCS-A /monitoring # enable snmp UCS-A /monitoring* # set snmp community UCS-A /monitoring* # Enter a snmp community: SnmpCommSystem2 UCS-A /monitoring* # set snmp syscontact contactperson1 UCS-A /monitoring* # set snmp syslocation systemlocation UCS-A /monitoring* # commit-buffer UCS-A /monitoring #
SNMP トラップおよびユーザを作成します。
SNMP トラップの作成
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope monitoring モニタリング モードを開始します。
ステップ 2 UCS-A /monitoring # enable snmp SNMP をイネーブルにします。
ステップ 3 UCS-A /monitoring # create snmp-trap {hostname | ip-addr | ip6-addr} 指定されたホスト名、または IPv4 または IPv6 アドレスで SNMP トラップ ホストを作成します。
ステップ 4 UCS-A /monitoring/snmp-trap # set community community-name SNMP トラップに使用する SNMP コミュニティ名を指定します。
ステップ 5 UCS-A /monitoring/snmp-trap # set port port-num SNMP トラップに使用するポートを指定します。
ステップ 6 UCS-A /monitoring/snmp-trap # set version {v1 | v2c | v3} トラップに使用する SNMP のバージョンとモデルを指定します。
ステップ 7 UCS-A /monitoring/snmp-trap # set notification type {traps | informs} (任意) [Version] に [V2c] または [V3] を選んだ場合、送信するトラップのタイプ。
ステップ 8 UCS-A /monitoring/snmp-trap # set v3 privilege {auth | noauth | priv} (任意) [Version] に [V3] を選択した場合、トラップに関連付けられた権限。
ステップ 9 UCS-A /monitoring/snmp-trap # commit-buffer トランザクションをシステムの設定にコミットします。
次の例は、SNMP をイネーブルにし、IPv4 アドレスを使用して SNMP トラップを作成し、トラップがポート 2 で SnmpCommSystem2 コミュニティを使用するよう指定し、バージョンを v3 に設定し、通知タイプを traps に設定し、v3 権限を priv に設定し、トランザクションをコミットします。
UCS-A# scope monitoring UCS-A /monitoring # enable snmp UCS-A /monitoring* # create snmp-trap 192.168.100.112 UCS-A /monitoring/snmp-trap* # set community SnmpCommSystem2 UCS-A /monitoring/snmp-trap* # set port 2 UCS-A /monitoring/snmp-trap* # set version v3 UCS-A /monitoring/snmp-trap* # set notificationtype traps UCS-A /monitoring/snmp-trap* # set v3 privilege priv UCS-A /monitoring/snmp-trap* # commit-buffer UCS-A /monitoring/snmp-trap #次の例は、SNMP をイネーブルにし、IPv6 アドレスを使用して SNMP トラップを作成し、トラップがポート 2 で SnmpCommSystem3 コミュニティを使用するよう指定し、バージョンを v3 に設定し、通知タイプを traps に設定し、v3 権限を priv に設定し、トランザクションをコミットします。
UCS-A# scope monitoring UCS-A /monitoring # enable snmp UCS-A /monitoring* # create snmp-trap 2001::1 UCS-A /monitoring/snmp-trap* # set community SnmpCommSystem3 UCS-A /monitoring/snmp-trap* # set port 2 UCS-A /monitoring/snmp-trap* # set version v3 UCS-A /monitoring/snmp-trap* # set notificationtype traps UCS-A /monitoring/snmp-trap* # set v3 privilege priv UCS-A /monitoring/snmp-trap* # commit-buffer UCS-A /monitoring/snmp-trap #SNMP トラップの削除
SNMPv3 ユーザの作成
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope monitoring モニタリング モードを開始します。
ステップ 2 UCS-A /monitoring # enable snmp SNMP をイネーブルにします。
ステップ 3 UCS-A /monitoring # create snmp-user user-name 指定された SNMPv3 ユーザを作成します。
SNMP ユーザ名は、ローカル ユーザ名と同じにはできません。 ローカル ユーザ名と一致しない SNMP ユーザ名を選択します。
ステップ 4 UCS-A /monitoring/snmp-user # set aes-128 {no | yes} AES-128 暗号化の使用をイネーブルまたはディセーブルにします。
ステップ 5 UCS-A /monitoring/snmp-user # set auth {md5 | sha} MD5 または DHA 認証の使用を指定します。
ステップ 6 UCS-A /monitoring/snmp-user # set password ユーザ パスワードを指定します。 set password コマンドを入力すると、パスワードの入力と確認を促すプロンプトが表示されます。
ステップ 7 UCS-A /monitoring/snmp-user # set priv-password ユーザ プライバシー パスワードを指定します。 set priv-password コマンドを入力すると、プライバシー パスワードの入力と確認を促すプロンプトが表示されます。
ステップ 8 UCS-A /monitoring/snmp-user # commit-buffer トランザクションをシステムの設定にコミットします。
次の例は、SNMP をイネーブルにし、snmp-user14 という名前の SNMPv3 ユーザを作成し、AES-128 暗号化をディセーブルにし、MD5 認証の使用を指定し、パスワードおよびプライバシー パスワードを設定し、トランザクションをコミットします。
UCS-A# scope monitoring UCS-A /monitoring # enable snmp UCS-A /monitoring* # create snmp-user snmp-user14 UCS-A /monitoring/snmp-user* # set aes-128 no UCS-A /monitoring/snmp-user* # set auth md5 UCS-A /monitoring/snmp-user* # set password Enter a password: Confirm the password: UCS-A /monitoring/snmp-user* # set priv-password Enter a password: Confirm the password: UCS-A /monitoring/snmp-user* # commit-buffer UCS-A /monitoring/snmp-user #Telnet のイネーブル化
CIMC Web サービスのイネーブル化
CIMC Web サービスのディセーブル化
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope system / システム モードを開始します。 ステップ 2 UCS-A /system #scope services/ システムのサービス モードを開始します。 ステップ 3 UCS-A/system/services #disable cimcwebsvc/ CIMC Web サービスをディセーブルにします。 ステップ 4 UCS-A/system/services *# commit-buffer/ トランザクションをシステムの設定にコミットします。 通信サービスのディセーブル化
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope system システム モードを開始します。
ステップ 2 UCS-A /system # scope services システム サービス モードを開始します。
ステップ 3 UCS-A /system/services # disable service-name 指定したサービスをディセーブルにします。ここで service-name 引数は次のいずれかのキーワードです。
ステップ 4 UCS-A /system/services # commit-buffer トランザクションをシステムの設定にコミットします。