この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章は、次の内容で構成されています。
以下に定義する通信サービスを使用してサードパーティ アプリケーションを Cisco UCS に接続できます。
Cisco UCS Manager は、次のサービスに対する IPv4 および IPv6 アドレス アクセスの両方をサポートします。
Cisco UCS Manager は、Web ブラウザから [Cisco UCS KVM Direct] 起動ページへのアウトオブバンド IPv4 アドレス アクセスをサポートします。 このアクセスを提供するには、次のサービスをイネーブルにする必要があります。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Communication Services] タブを選択します。 |
ステップ 4 |
[CIM-XML] 領域で、[Enabled] オプション ボタンをクリックします。 [CIM-XML] 領域が展開されて、デフォルトの [Port] 番号 5988 が表示されます。 このポート番号は変更できません。 |
ステップ 5 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||
ステップ 2 | [Admin] タブで、 を展開します。 | ||
ステップ 3 | [Communication Services] タブをクリックします。 | ||
ステップ 4 |
[HTTP] 領域で、[Enabled] オプション ボタンをクリックします。 [HTTP] 領域が展開され、利用可能な設定オプションが表示されます。 |
||
ステップ 5 |
(任意)[Port] フィールドで、Cisco UCS Manager GUI が HTTP に使用するデフォルトのポートを変更します。 デフォルトのポートは 80 です。 |
||
ステップ 6 |
(任意)[Redirect HTTP to HTTPS] フィールドで、[Enabled] オプション ボタンをクリックします。 また、HTTP ログインを HTTPS ログインにリダイレクトできるようにするには、HTTPS を設定してイネーブルにする必要もあります。 イネーブルにした後は、HTTPS をディセーブルにするまで、リダイレクトをディセーブルにできません。
|
||
ステップ 7 | [Save Changes] をクリックします。 |
HTTPS は、公開キー インフラストラクチャ(PKI)のコンポーネントを使用してクライアントのブラウザと Cisco UCS Manager などの 2 つのデバイス間でセキュアな通信を確立します。
各 PKI デバイスは、内部キー リングに非対称の Rivest-Shamir-Adleman(RSA)暗号キーのペア(1 つはプライベート、もう 1 つはパブリック)を保持します。 いずれかのキーで暗号化されたメッセージは、もう一方のキーで復号化できます。 暗号化されたメッセージを送信する場合、送信者は受信者の公開キーで暗号化し、受信者は独自の秘密キーを使用してメッセージを復号化します。 送信者は、独自の秘密キーで既知のメッセージを暗号化(「署名」とも呼ばれます)して公開キーの所有者を証明することもできます。 受信者が該当する公開キーを使用してメッセージを正常に復号化できる場合は、送信者が対応する秘密キーを所有していることが証明されます。 暗号キーの長さはさまざまであり、通常の長さは 512 ビット ~ 2048 ビットです。 一般的に、短いキーよりも長いキーの方がセキュアになります。 Cisco UCS Manager では、最初に 1024 ビットのキー ペアを含むデフォルトのキー リングが提供されます。そして、追加のキー リングを作成できます。
クラスタ名が変更されたり、証明書が期限切れになったりした場合は、デフォルトのキー リング証明書を手動で再生成する必要があります。
この操作は、UCS Manager CLI のみで使用できます。
セキュアな通信を準備するには、まず 2 つのデバイスがそれぞれのデジタル証明書を交換します。 証明書は、デバイスの ID に関する署名済み情報とともにデバイスの公開キーを含むファイルです。 暗号化された通信をサポートするために、デバイスは独自のキー ペアと独自の自己署名証明書を生成できます。 リモート ユーザが自己署名証明書を提示するデバイスに接続する場合、ユーザはデバイスの ID を簡単に検証することができず、ユーザのブラウザは最初に認証に関する警告を表示します。 デフォルトでは、Cisco UCS Manager にはデフォルトのキー リングからの公開キーを含む組み込みの自己署名証明書が含まれます。
Cisco UCS Manager に強力な認証を提供するために、デバイスの ID を証明する信頼できるソース(つまり、トラスト ポイント)からサードパーティ証明書を取得し、インストールできます。 サードパーティ証明書は、発行元トラスト ポイント(ルート認証局(CA)、中間 CA、またはルート CA につながるトラスト チェーンの一部となるトラスト アンカーのいずれか)によって署名されます。 新しい証明書を取得するには、Cisco UCS Manager で証明書要求を生成し、トラスト ポイントに要求を送信する必要があります。
Cisco UCS Manager は、デフォルト キー リングを含め、最大 8 個のキー リングをサポートします。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Key Management] を右クリックし、[Create Key Ring] を選択します。 |
ステップ 4 |
[Create Key Ring] ダイアログボックスで、次の手順を実行します。
|
このキー リングの証明書要求を作成します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||||||||||||||
ステップ 3 | 証明書要求を作成するキー リングをクリックします。 | ||||||||||||||||||||||
ステップ 4 | [Work] ペインの [General] タブをクリックします。 | ||||||||||||||||||||||
ステップ 5 | [General] タブで [Create Certificate Request] をクリックします。 | ||||||||||||||||||||||
ステップ 6 |
[Create Certificate Request] ダイアログボックスで、次のフィールドに値を入力します。
|
||||||||||||||||||||||
ステップ 7 |
IP アドレスを割り当てるには、[IPv4] タブまたは [IPv6] タブをクリックします。 Cisco UCS Manager のセットアップ時にファブリック インターコネクトがどのように設定されたかによって、選択は異なります。
|
||||||||||||||||||||||
ステップ 8 | [OK] をクリックします。 | ||||||||||||||||||||||
ステップ 9 | [Request] フィールドから証明書要求のテキストをコピーし、ファイルに保存します。 | ||||||||||||||||||||||
ステップ 10 | 証明書要求を含むファイルをトラスト アンカーまたは認証局に送信します。 |
トラスト ポイントを作成し、トラスト アンカーから受け取ったトラストの証明書の証明書チェーンを設定します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||
ステップ 3 | [Key Management] を右クリックし、[Create Trusted Point] を選択します。 | ||||||
ステップ 4 |
[Create Trusted Point] ダイアログボックスで、次のフィールドに値を入力します。
|
||||||
ステップ 5 | [OK] をクリックします。 |
トラスト アンカーまたは認証局から証明書を受信したら、キー リングにインポートします。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||
ステップ 2 | [Admin] タブで、 を展開します。 | ||
ステップ 3 | 証明書のインポート先となるキー リングをクリックします。 | ||
ステップ 4 | [Work] ペインの [General] タブをクリックします。 | ||
ステップ 5 |
[Certificate] 領域で、次のフィールドに値を入力します。
|
||
ステップ 6 | [Save Changes] をクリックします。 |
キー リングを使用して HTTPS サービスを設定します。
注意 |
HTTPS で使用するポートとキー リングの変更を含め、HTTPS の設定を完了した後、トランザクションを保存またはコミットするとすぐに、現在のすべての HTTP および HTTPS セッションは警告なく閉じられます。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||||||
ステップ 3 | [Communication Services] タブを選択します。 | ||||||||||||||
ステップ 4 |
[HTTPS] 領域で、[Enabled] オプション ボタンをクリックします。 [HTTPS] 領域が展開され、利用可能な設定オプションが表示されます。 |
||||||||||||||
ステップ 5 |
次のフィールドに入力します。
|
||||||||||||||
ステップ 6 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | 削除するキー リングを右クリックし、[Delete] を選択します。 |
ステップ 4 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
トラスト ポイントがキー リングによって使用されていないことを確認してください。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | 削除するトラスト ポイントを右クリックし、[Delete] を選択します。 |
ステップ 4 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
ステップ 5 | [OK] をクリックします。 |
簡易ネットワーク管理プロトコル(SNMP)は、SNMP マネージャとエージェントの間の通信のメッセージ フォーマットを提供するアプリケーション層プロトコルです。 SNMP では、ネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます。
SNMP フレームワークは 3 つの部分で構成されます。
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム。
SNMP エージェント:管理対象デバイスである Cisco UCS 内のソフトウェア コンポーネントで、Cisco UCS のデータを維持し、必要に応じて SNMP にレポートします。 Cisco UCS には、エージェントと MIB 収集が含まれます。 SNMP エージェントをイネーブルにし、マネージャとエージェント間のリレーションシップを作成するには、Cisco UCS Manager で SNMP をイネーブルにし、設定します。
管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。 Cisco UCS リリース 1.4(1)以降は、それ以前よりも多くの MIB をサポートします。
Cisco UCS は SNMPv1、SNMPv2c、および SNMPv3 をサポートします。 SNMPv1 と SNMPv2c は、ともにコミュニティベース形式のセキュリティを使用します。 SNMP は次のように定義されています。
RFC 3410(http://tools.ietf.org/html/rfc3410)
RFC 3411(http://tools.ietf.org/html/rfc3411)
RFC 3412(http://tools.ietf.org/html/rfc3412)
RFC 3413(http://tools.ietf.org/html/rfc3413)
RFC 3414(http://tools.ietf.org/html/rfc3414)
RFC 3415(http://tools.ietf.org/html/rfc3415)
RFC 3416(http://tools.ietf.org/html/rfc3416)
RFC 3417(http://tools.ietf.org/html/rfc3417)
RFC 3418(http://tools.ietf.org/html/rfc3418)
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。 これらの通知では、要求を SNMP マネージャから送信する必要はありません。 通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Cisco UCS Manager は、トラップまたはインフォームとして SNMP 通知を生成します。 SNMP マネージャはトラップ受信時に確認応答を送信せず、Cisco UCS Manager はトラップが受信されたかどうかを確認できないため、トラップの信頼性はインフォームより低くなります。 インフォーム要求を受信する SNMP マネージャは、SNMP 応答プロトコル データ ユニット(PDU)でメッセージの受信を確認します。 Cisco UCS Manager が PDU を受信しない場合、インフォーム要求を再送できます。
SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。 セキュリティ モデルは、選択したセキュリティ レベルと結合され、SNMP メッセージの処理中に適用されるセキュリティ メカニズムを決定します。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な特権を決定します。 権限レベルは、メッセージが開示されないよう保護または認証の必要があるかどうかを決定します。 サポートされるセキュリティ レベルは、セキュリティ モデルが設定されているかによって異なります。 SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。 セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。 セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
次の表に、セキュリティ モデルとレベルの組み合わせの意味を示します。
モデル |
レベル |
認証 |
暗号化 |
結果 |
---|---|---|---|---|
v1 |
noAuthNoPriv |
コミュニティ ストリング |
No |
コミュニティ ストリングの照合を使用して認証します。 |
v2c |
noAuthNoPriv |
コミュニティ ストリング |
No |
コミュニティ ストリングの照合を使用して認証します。 |
v3 |
noAuthNoPriv |
[Username] |
No |
ユーザ名の照合を使用して認証します。 |
v3 |
authNoPriv |
HMAC-MD5 または HMAC-SHA |
No |
Hash-Based Message Authentication Code(HMAC)メッセージ ダイジェスト 5(MD5)アルゴリズムまたは HMAC Secure Hash Algorithm(SHA)アルゴリズムに基づいて認証します。 |
v3 |
authPriv |
HMAC-MD5 または HMAC-SHA |
DES |
HMAC-MD5 アルゴリズムまたは HMAC-SHA アルゴリズムに基づいて認証します。 データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。 |
SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。 SNMPv3 は、設定済みユーザによる管理動作のみを許可し、SNMP メッセージを暗号化します。 SNMPv3 ユーザベース セキュリティ モデル(USM) は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。
Cisco UCS は、SNMP に次のサポートを提供します。
Cisco UCS は、MIB への読み取り専用アクセスをサポートします。
Cisco UCS に使用可能な特定の MIB およびその入手先については、B シリーズ サーバは http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/mib/b-series/b_UCS_MIBRef.html を、C シリーズは http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/mib/c-series/b_UCS_Standalone_C-Series_MIBRef.html を参照してください。
Cisco UCS は、SNMPv3 ユーザに次の認証プロトコルをサポートします。
Cisco UCS は、SNMPv3 メッセージ暗号化用のプライバシー プロトコルの 1 つとして Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠しています。
プライバシー パスワード、または priv オプションは、SNMP セキュリティ暗号化用に DES または 128 ビット AES 暗号化という選択肢を提供します。 AES-128 設定を有効にし、SNMPv3 ユーザのプライバシー パスワードをインクルードした場合、Cisco UCS Manager はプライバシー パスワードを使用して 128 ビット AES キーを生成します。 AES プライバシー パスワードは最小で 8 文字です。 パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
Cisco UCS ドメインからの SNMP メッセージには、システム名ではなくファブリック インターコネクト名が表示されます。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||||
ステップ 3 | [Communication Services] タブを選択します。 | ||||||||||||
ステップ 4 |
[SNMP] 領域で、次のフィールドに値を入力します。
|
||||||||||||
ステップ 5 | [Save Changes] をクリックします。 |
SNMP トラップおよびユーザを作成します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||||||
ステップ 3 | [Communication Services] タブを選択します。 | ||||||||||||||
ステップ 4 | [SNMP Traps] 領域で、[+] をクリックします。 | ||||||||||||||
ステップ 5 |
[Create SNMP Trap] ダイアログボックスで、次のフィールドに値を入力します。
|
||||||||||||||
ステップ 6 | [OK] をクリックします。 | ||||||||||||||
ステップ 7 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Communication Services] タブを選択します。 |
ステップ 4 | [SNMP Traps] 領域で、削除するユーザに対応するテーブルの行をクリックします。 |
ステップ 5 | テーブルの右側の [Delete] アイコンをクリックします。 |
ステップ 6 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
ステップ 7 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||||||||||
ステップ 3 | [Communication Services] タブを選択します。 | ||||||||||||||||||
ステップ 4 | [SNMP Users] 領域で、[+] をクリックします。 | ||||||||||||||||||
ステップ 5 |
[Create SNMP User] ダイアログボックスで、次のフィールドに値を入力します。
|
||||||||||||||||||
ステップ 6 | [OK] をクリックします。 | ||||||||||||||||||
ステップ 7 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Communication Services] タブを選択します。 |
ステップ 4 | [SNMP Users] 領域で、削除するユーザに対応するテーブルの行をクリックします。 |
ステップ 5 | テーブルの右側の [Delete] アイコンをクリックします。 |
ステップ 6 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
ステップ 7 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Communication Services] タブをクリックします。 |
ステップ 4 | [Telnet] 領域で、[Enabled] オプション ボタンをクリックします。 |
ステップ 5 | [Save Changes] をクリックします。 |
CIMC Web サービスはデフォルトでイネーブルとなっています。 これをディセーブルにしていた場合は、次の手順に従ってサービスをイネーブルにします。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Communication Services] タブを選択します。 |
ステップ 4 | [CIMC Web Service] 領域で、[Enabled] オプション ボタンをクリックします。 |
ステップ 5 | [Save Changes] をクリックします。 |
(注) |
他のネットワーク アプリケーションとのインターフェイスに必要ない通信サービスは、すべてディセーブルにすることを推奨します。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Communication Services] タブで、ディセーブルにする各サービスの [disable] オプション ボタンをクリックします。 |
ステップ 4 | [Save Changes] をクリックします。 |
目次
- コミュニケーション サービスの設定
- Communication Services
- CIM-XML の設定
- HTTP の設定
- HTTPS の設定
- 証明書、キー リング、トラスト ポイント
- キー リングの作成
- キー リングの証明書要求の作成
- トラスト ポイントの作成
- キー リングへの証明書のインポート
- HTTPS の設定
- キーリングの削除
- トラスト ポイントの削除
- SNMP の設定
- SNMP に関する情報
- SNMP 機能の概要
- SNMP 通知
- SNMP セキュリティ レベルおよび権限
- SNMP セキュリティ モデルおよびレベルのサポートされている組み合わせ
- SNMPv3 セキュリティ機能
- SNMP サポート: Cisco UCS
- SNMP のイネーブル化および SNMP プロパティの設定
- SNMP トラップの作成
- SNMP トラップの削除
- SNMPv3 ユーザの作成
- SNMPv3 ユーザの削除
- Telnet のイネーブル化
- CIMC Web サービスのイネーブル化
- 通信サービスのディセーブル化
この章は、次の内容で構成されています。
- Communication Services
- CIM-XML の設定
- HTTP の設定
- HTTPS の設定
- SNMP の設定
- Telnet のイネーブル化
- CIMC Web サービスのイネーブル化
- 通信サービスのディセーブル化
Communication Services
以下に定義する通信サービスを使用してサードパーティ アプリケーションを Cisco UCS に接続できます。
Cisco UCS Manager は、次のサービスに対する IPv4 および IPv6 アドレス アクセスの両方をサポートします。
Cisco UCS Manager は、Web ブラウザから [Cisco UCS KVM Direct] 起動ページへのアウトオブバンド IPv4 アドレス アクセスをサポートします。 このアクセスを提供するには、次のサービスをイネーブルにする必要があります。
通信サービス
説明
CIM XML
このサービスはデフォルトでディセーブルになり、読み取り専用モードでだけ利用できます。 デフォルトのポートは 5988 です。
この共通の情報モデルは、Distributed Management Task Force によって定義された標準の 1 つです。
CIMC Web サービス
このサービスは、デフォルトでディセーブルになります。
このサービスをイネーブルにすると、ユーザは直接サーバに割り当てられるか、またはサービス プロファイルを介しサーバに関連付けられたアウトオブバンドの管理 IP アドレスの 1 を使用して直接サーバ CIMC にアクセスできます。
(注) CIMC Web サービスはイネーブルであるか、全体的にディセーブルにできます。 個別の CIMC IP アドレスに対し KVM ダイレクト アクセスを設定できません。
HTTP
このサービスは、デフォルトでポート 80 でイネーブルになります。
Cisco UCS Manager GUI を実行するには HTTP または HTTPS のいずれかをイネーブルにする必要があります。 HTTP を選択した場合、すべてのデータはクリア テキスト モードで交換されます。
セキュリティ上の理由により、HTTPS をイネーブルにし、HTTP をディセーブルにすることを推奨します。
デフォルトでは、Cisco UCS は HTTP 経由の通信の試行をすべて同等の HTTPS にリダイレクトします。 この動作を変更しないことを推奨します。
(注) Cisco UCS バージョン 1.4(1)にアップグレードする場合、これはデフォルトでは発生しません。 HTTP 経由の通信の試行を同等の HTTPS にリダイレクトする場合、[Redirect HTTP to HTTPS] を Cisco UCS Manager でイネーブルにする必要があります。
HTTPS
このサービスは、デフォルトでポート 443 でイネーブルになります。
HTTPS を使用すると、すべてのデータはセキュアなサーバを介して暗号化モードで交換されます。
セキュリティ上の目的から、HTTPS だけを使用するようにし、HTTP 通信はディセーブルにするか、リダイレクトすることを推奨します。
SMASH CLP
このサービスは読み取り専用アクセスに対してイネーブルとなり、show コマンドなどプロトコルのうち限られたサブセットをサポートします。 これをディセーブルにすることはできません。
このシェル サービスは、Distributed Management Task Force によって定義された標準の 1 つです。
SNMP
このサービスは、デフォルトでディセーブルになります。 イネーブルの場合、デフォルトのポートは 161 です。 コミュニティと少なくとも 1 つの SNMP トラップを設定する必要があります。
SSH
このサービスは、ポート 22 でイネーブルになります。 これはディセーブルにできず、デフォルトのポートを変更することもできません。
Telnet
HTTP の設定
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Communication Services] タブをクリックします。 ステップ 4 [HTTP] 領域で、[Enabled] オプション ボタンをクリックします。 [HTTP] 領域が展開され、利用可能な設定オプションが表示されます。
ステップ 5 (任意)[Port] フィールドで、Cisco UCS Manager GUI が HTTP に使用するデフォルトのポートを変更します。 デフォルトのポートは 80 です。
ステップ 6 (任意)[Redirect HTTP to HTTPS] フィールドで、[Enabled] オプション ボタンをクリックします。 また、HTTP ログインを HTTPS ログインにリダイレクトできるようにするには、HTTPS を設定してイネーブルにする必要もあります。 イネーブルにした後は、HTTPS をディセーブルにするまで、リダイレクトをディセーブルにできません。
(注) HTTP を HTTPS にリダイレクトする場合、HTTP を使用しても Cisco UCS Manager GUI にアクセスできません。 HTTPS に自動的にリダイレクトされると、リダイレクトは HTTP をディセーブルにします。
ステップ 7 [Save Changes] をクリックします。
証明書、キー リング、トラスト ポイント
HTTPS は、公開キー インフラストラクチャ(PKI)のコンポーネントを使用してクライアントのブラウザと Cisco UCS Manager などの 2 つのデバイス間でセキュアな通信を確立します。
暗号キーとキー リング
各 PKI デバイスは、内部キー リングに非対称の Rivest-Shamir-Adleman(RSA)暗号キーのペア(1 つはプライベート、もう 1 つはパブリック)を保持します。 いずれかのキーで暗号化されたメッセージは、もう一方のキーで復号化できます。 暗号化されたメッセージを送信する場合、送信者は受信者の公開キーで暗号化し、受信者は独自の秘密キーを使用してメッセージを復号化します。 送信者は、独自の秘密キーで既知のメッセージを暗号化(「署名」とも呼ばれます)して公開キーの所有者を証明することもできます。 受信者が該当する公開キーを使用してメッセージを正常に復号化できる場合は、送信者が対応する秘密キーを所有していることが証明されます。 暗号キーの長さはさまざまであり、通常の長さは 512 ビット ~ 2048 ビットです。 一般的に、短いキーよりも長いキーの方がセキュアになります。 Cisco UCS Manager では、最初に 1024 ビットのキー ペアを含むデフォルトのキー リングが提供されます。そして、追加のキー リングを作成できます。
クラスタ名が変更されたり、証明書が期限切れになったりした場合は、デフォルトのキー リング証明書を手動で再生成する必要があります。
この操作は、UCS Manager CLI のみで使用できます。
証明書
セキュアな通信を準備するには、まず 2 つのデバイスがそれぞれのデジタル証明書を交換します。 証明書は、デバイスの ID に関する署名済み情報とともにデバイスの公開キーを含むファイルです。 暗号化された通信をサポートするために、デバイスは独自のキー ペアと独自の自己署名証明書を生成できます。 リモート ユーザが自己署名証明書を提示するデバイスに接続する場合、ユーザはデバイスの ID を簡単に検証することができず、ユーザのブラウザは最初に認証に関する警告を表示します。 デフォルトでは、Cisco UCS Manager にはデフォルトのキー リングからの公開キーを含む組み込みの自己署名証明書が含まれます。
キー リングの証明書要求の作成
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 証明書要求を作成するキー リングをクリックします。 ステップ 4 [Work] ペインの [General] タブをクリックします。 ステップ 5 [General] タブで [Create Certificate Request] をクリックします。 ステップ 6 [Create Certificate Request] ダイアログボックスで、次のフィールドに値を入力します。
名前 説明 [DNS] フィールド
すべてのホスト名に共通なネットワークに割り当てられたドメイン名。
[Locality] フィールド
証明書を要求している会社の本社が存在する市または町。
最大 64 文字まで入力できます。 英数字またはスペースのほかに、次の特殊文字を使用できます。 ,(コンマ)、.(ピリオド)、@(アットマーク)、^(キャラット)、((左括弧)、)(右括弧)、-(ダッシュ)、_(アンダースコア)、+(プラス記号)、:(コロン)、/(スラッシュ)。
[State] フィールド
証明書を要求している会社の本社が存在する州または行政区分。
最大 64 文字まで入力できます。 英数字またはスペースのほかに、次の特殊文字を使用できます。 ,(コンマ)、.(ピリオド)、@(アットマーク)、^(キャラット)、((左括弧)、)(右括弧)、-(ダッシュ)、_(アンダースコア)、+(プラス記号)、:(コロン)、/(スラッシュ)。
[Country] フィールド
会社が存在している国に対応する国コード。
2 文字の英文字を入力します。
[Organization Name] フィールド
証明書を要求している組織。
最大 64 文字まで入力できます。 英数字またはスペースのほかに、次の特殊文字を使用できます。 ,(コンマ)、.(ピリオド)、@(アットマーク)、^(キャラット)、((左括弧)、)(右括弧)、-(ダッシュ)、_(アンダースコア)、+(プラス記号)、:(コロン)、/(スラッシュ)。
[Organization Unit Name] フィールド
組織ユニット
最大 64 文字まで入力できます。 英数字またはスペースのほかに、次の特殊文字を使用できます。 ,(コンマ)、.(ピリオド)、@(アットマーク)、^(キャラット)、((左括弧)、)(右括弧)、-(ダッシュ)、_(アンダースコア)、+(プラス記号)、:(コロン)、/(スラッシュ)。
[Email] フィールド
要求に関連付けられた電子メール アドレス。
[Password] フィールド
この要求に対するオプションのパスワード。
[Confirm Password] フィールド
パスワードを指定した場合は、確認のためにそのパスワードを再入力します。
[Subject] フィールド
ステップ 7 IP アドレスを割り当てるには、[IPv4] タブまたは [IPv6] タブをクリックします。 Cisco UCS Manager のセットアップ時にファブリック インターコネクトがどのように設定されたかによって、選択は異なります。 ステップ 8 [OK] をクリックします。 ステップ 9 [Request] フィールドから証明書要求のテキストをコピーし、ファイルに保存します。 ステップ 10 証明書要求を含むファイルをトラスト アンカーまたは認証局に送信します。
次の作業
トラスト ポイントを作成し、トラスト アンカーから受け取ったトラストの証明書の証明書チェーンを設定します。
トラスト ポイントの作成
キー リングへの証明書のインポート
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 証明書のインポート先となるキー リングをクリックします。 ステップ 4 [Work] ペインの [General] タブをクリックします。 ステップ 5 [Certificate] 領域で、次のフィールドに値を入力します。
ヒント 領域のフィールドが表示されない場合は、見出しの右側の [Expand] アイコンをクリックします。
ステップ 6 [Save Changes] をクリックします。
次の作業
キー リングを使用して HTTPS サービスを設定します。
HTTPS の設定
手順
注意
HTTPS で使用するポートとキー リングの変更を含め、HTTPS の設定を完了した後、トランザクションを保存またはコミットするとすぐに、現在のすべての HTTP および HTTPS セッションは警告なく閉じられます。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Communication Services] タブを選択します。 ステップ 4 [HTTPS] 領域で、[Enabled] オプション ボタンをクリックします。 [HTTPS] 領域が展開され、利用可能な設定オプションが表示されます。
ステップ 5 次のフィールドに入力します。
名前 説明 [管理状態] フィールド
次のいずれかになります。
[管理状態] が有効の場合は、Cisco UCS Manager GUI に、このセクションの残りのフィールドが表示されます。
[Port] フィールド
HTTPS 接続に使用するポート。
[Operational Port] フィールド
ポート Cisco UCS Manager は、システム レベルの HTTPS 通信を必要とします。
このポートは変更できません。
[Key Ring] ドロップダウン リスト
HTTPS 接続のキー リング。
[Cipher Suite Mode] フィールド
[Cipher Suite] フィールド
[Cipher Suite Mode] フィールドで [Custom] を選択した場合、このフィールドにユーザ定義の暗号スイート仕様の文字列を指定します。
暗号スイート仕様の文字列は 最大 256 文字まで使用できますが、OpenSSL 暗号スイート仕様に準拠する必要があります。 以下を除くスペースや特殊文字は使用できません。 !(感嘆符)、+(プラス記号)、-(ハイフン)、および :(コロン)。 詳細については、http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslciphersuite を参照してください。
たとえば、デフォルトとして Cisco UCS Manager が使用する中強度仕様の文字列は以下となります。ALL:!ADH:!EXPORT56:!LOW:RC4+RSA:+HIGH:+MEDIUM:+EXP:+eNULL
ステップ 6 [Save Changes] をクリックします。
SNMP の設定
SNMP に関する情報
SNMP 機能の概要
SNMP フレームワークは 3 つの部分で構成されます。
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム。
SNMP エージェント:管理対象デバイスである Cisco UCS 内のソフトウェア コンポーネントで、Cisco UCS のデータを維持し、必要に応じて SNMP にレポートします。 Cisco UCS には、エージェントと MIB 収集が含まれます。 SNMP エージェントをイネーブルにし、マネージャとエージェント間のリレーションシップを作成するには、Cisco UCS Manager で SNMP をイネーブルにし、設定します。
管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。 Cisco UCS リリース 1.4(1)以降は、それ以前よりも多くの MIB をサポートします。
Cisco UCS は SNMPv1、SNMPv2c、および SNMPv3 をサポートします。 SNMPv1 と SNMPv2c は、ともにコミュニティベース形式のセキュリティを使用します。 SNMP は次のように定義されています。
RFC 3410(http://tools.ietf.org/html/rfc3410)
RFC 3411(http://tools.ietf.org/html/rfc3411)
RFC 3412(http://tools.ietf.org/html/rfc3412)
RFC 3413(http://tools.ietf.org/html/rfc3413)
RFC 3414(http://tools.ietf.org/html/rfc3414)
RFC 3415(http://tools.ietf.org/html/rfc3415)
RFC 3416(http://tools.ietf.org/html/rfc3416)
RFC 3417(http://tools.ietf.org/html/rfc3417)
RFC 3418(http://tools.ietf.org/html/rfc3418)
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP 通知
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。 これらの通知では、要求を SNMP マネージャから送信する必要はありません。 通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Cisco UCS Manager は、トラップまたはインフォームとして SNMP 通知を生成します。 SNMP マネージャはトラップ受信時に確認応答を送信せず、Cisco UCS Manager はトラップが受信されたかどうかを確認できないため、トラップの信頼性はインフォームより低くなります。 インフォーム要求を受信する SNMP マネージャは、SNMP 応答プロトコル データ ユニット(PDU)でメッセージの受信を確認します。 Cisco UCS Manager が PDU を受信しない場合、インフォーム要求を再送できます。
SNMP セキュリティ レベルおよび権限
SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。 セキュリティ モデルは、選択したセキュリティ レベルと結合され、SNMP メッセージの処理中に適用されるセキュリティ メカニズムを決定します。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な特権を決定します。 権限レベルは、メッセージが開示されないよう保護または認証の必要があるかどうかを決定します。 サポートされるセキュリティ レベルは、セキュリティ モデルが設定されているかによって異なります。 SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。 セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。 セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
SNMP セキュリティ モデルおよびレベルのサポートされている組み合わせ
次の表に、セキュリティ モデルとレベルの組み合わせの意味を示します。
表 1 SNMP セキュリティ モデルおよびセキュリティ レベル モデル
レベル
認証
暗号化
結果
v1
noAuthNoPriv
コミュニティ ストリング
No
コミュニティ ストリングの照合を使用して認証します。
v2c
noAuthNoPriv
コミュニティ ストリング
No
コミュニティ ストリングの照合を使用して認証します。
v3
noAuthNoPriv
[Username]
No
ユーザ名の照合を使用して認証します。
v3
authNoPriv
HMAC-MD5 または HMAC-SHA
No
Hash-Based Message Authentication Code(HMAC)メッセージ ダイジェスト 5(MD5)アルゴリズムまたは HMAC Secure Hash Algorithm(SHA)アルゴリズムに基づいて認証します。
v3
authPriv
HMAC-MD5 または HMAC-SHA
DES
HMAC-MD5 アルゴリズムまたは HMAC-SHA アルゴリズムに基づいて認証します。 データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。
SNMP サポート: Cisco UCS
Cisco UCS は、SNMP に次のサポートを提供します。
MIB のサポート
Cisco UCS は、MIB への読み取り専用アクセスをサポートします。
Cisco UCS に使用可能な特定の MIB およびその入手先については、B シリーズ サーバは http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/mib/b-series/b_UCS_MIBRef.html を、C シリーズは http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/mib/c-series/b_UCS_Standalone_C-Series_MIBRef.html を参照してください。
SNMPv3 ユーザの AES プライバシー プロトコル
Cisco UCS は、SNMPv3 メッセージ暗号化用のプライバシー プロトコルの 1 つとして Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠しています。
プライバシー パスワード、または priv オプションは、SNMP セキュリティ暗号化用に DES または 128 ビット AES 暗号化という選択肢を提供します。 AES-128 設定を有効にし、SNMPv3 ユーザのプライバシー パスワードをインクルードした場合、Cisco UCS Manager はプライバシー パスワードを使用して 128 ビット AES キーを生成します。 AES プライバシー パスワードは最小で 8 文字です。 パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
SNMP のイネーブル化および SNMP プロパティの設定
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Communication Services] タブを選択します。 ステップ 4 [SNMP] 領域で、次のフィールドに値を入力します。
名前 説明 [管理状態] フィールド
次のいずれかになります。
システムに SNMP サーバとの統合が含まれる場合にだけこのサービスをイネーブルにします。
[管理状態] が有効の場合は、Cisco UCS Manager GUI に、このセクションの残りのフィールドが表示されます。
[Port] フィールド
Cisco UCS Manager が SNMP ホストと通信するポート。 デフォルト ポートは変更できません。
[Community/Username] フィールド
Cisco UCS Manager が SNMP ホストに送信するトラップ メッセージに含まれるデフォルトの SNMP v1 または v2c コミュニティ名あるいは SNMP v3 ユーザ名。
1 ~ 32 文字の英数字文字列を入力します。 @(アット マーク)、\(バックスラッシュ)、"(二重引用符)、?(疑問符)または空欄スペース は使用しないでください。 デフォルトは public です。
[System Contact] フィールド
SNMP の実装を担当するシステムの連絡先。
電子メール アドレス、名前、電話番号など、255 文字までの文字列を入力します。
[System Location] フィールド
SNMP エージェント(サーバ)が実行するホストの場所。
最大 510 文字の英数字文字列を入力します。
ステップ 5 [Save Changes] をクリックします。
次の作業
SNMP トラップおよびユーザを作成します。
SNMP トラップの作成
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Communication Services] タブを選択します。 ステップ 4 [SNMP Traps] 領域で、[+] をクリックします。 ステップ 5 [Create SNMP Trap] ダイアログボックスで、次のフィールドに値を入力します。
名前 説明 [IP Address] フィールド
Cisco UCS Manager がトラップを送信する必要のある SNMP ホストの IP アドレス。
SNMP ホストに IPv4 または IPv6 アドレスを使用できます。
[Community/Username] フィールド
Cisco UCS Manager がトラップを SNMP ホストに送信するときに含める SNMP v1 または v2c コミュニティ名または SNMP v3 ユーザ名。 これは、SNMP サービスに設定されたコミュニティまたはユーザ名と同じである必要があります。
1 ~ 32 文字の英数字文字列を入力します。 @(アット マーク)、\(バックスラッシュ)、"(二重引用符)、?(疑問符)または空欄スペース は使用しないでください。
[Port] フィールド
Cisco UCS Manager がトラップの SNMP ホストと通信するポート。
1 ~ 65535 の整数を入力します。 デフォルト ポートは 162 です。
[Version] フィールド
トラップに使用される SNMP バージョンおよびモデル。 次のいずれかになります。
[Type] フィールド
[Version] に [V2c] または [V3] を選んだ場合、送信するトラップのタイプ。 次のいずれかになります。
[v3 Privilege] フィールド
[Version] に [V3] を選択した場合、トラップに関連付けられた権限。 次のいずれかになります。
ステップ 6 [OK] をクリックします。 ステップ 7 [Save Changes] をクリックします。
SNMP トラップの削除
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Communication Services] タブを選択します。 ステップ 4 [SNMP Traps] 領域で、削除するユーザに対応するテーブルの行をクリックします。 ステップ 5 テーブルの右側の [Delete] アイコンをクリックします。 ステップ 6 Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 ステップ 7 [Save Changes] をクリックします。
SNMPv3 ユーザの作成
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Communication Services] タブを選択します。 ステップ 4 [SNMP Users] 領域で、[+] をクリックします。 ステップ 5 [Create SNMP User] ダイアログボックスで、次のフィールドに値を入力します。
名前 説明 [Name] フィールド
SNMP ユーザに割り当てられるユーザ名。
32 文字までの文字または数字を入力します。 名前は文字で始める必要があり、_(アンダースコア)、 .(ピリオド)、@(アット マーク)、-(ハイフン)も指定できます。
(注) ローカル側で認証されたユーザ名と同一の SNMP ユーザ名を作成することはできません。
[Auth Type] フィールド
許可タイプ。 次のいずれかになります。
[Use AES-128] チェックボックス
オンにすると、このユーザに AES-128 暗号化が使用されます。
[Password] フィールド
このユーザのパスワード。
[Confirm Password] フィールド
確認のためのパスワードの再入力。
[Privacy Password] フィールド
このユーザのプライバシー パスワード。
[Confirm Privacy Password] フィールド
確認のためのプライバシー パスワードの再入力。
ステップ 6 [OK] をクリックします。 ステップ 7 [Save Changes] をクリックします。
SNMPv3 ユーザの削除
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Communication Services] タブを選択します。 ステップ 4 [SNMP Users] 領域で、削除するユーザに対応するテーブルの行をクリックします。 ステップ 5 テーブルの右側の [Delete] アイコンをクリックします。 ステップ 6 Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 ステップ 7 [Save Changes] をクリックします。