- はじめに
- 新機能および変更された機能に関する情報
- Cisco Unified Computing System の概要
- Cisco UCS Manager の概要
- Cisco UCS Manager GUI の概要
- ファブリック インターコネクトの設定
- ポートおよびポート チャネルの設定
- コミュニケーション サービスの設定
- 認証の設定
- 組織の設定
- ロールベース アクセス コントロールの設定
- DNS サーバの設定
- システム関連ポリシーの設定
- ライセンスの管理
- 仮想インターフェイスの管理
- Cisco UCS Central への Cisco UCS ドメインの登録
- LAN アップリンク マネージャ
- VLANs
- LAN ピン グループの設定
- MAC プールの設定
- Quality of Service の設定
- ネットワーク関連ポリシーの設定
- アップストリーム分離レイヤ 2 ネットワークの設定
- ネームド VSAN の設定
- SAN ピン グループの設定
- WWN プールの設定
- ストレージ関連ポリシーの設定
- ファイバ チャネル ゾーン分割の設定
- サーバ関連プールの設定
- 管理 IP アドレスの設定
- サーバ関連ポリシーの設定
- サーバ ブートの設定
- サービス プロファイル更新の遅延展開
- サービス プロファイル
- ストレージ プロファイルの設定
- Cisco UCS での電源管理
- タイム ゾーンの管理
- シャーシの管理
- ブレード サーバの管理
- ラックマウント サーバの管理
- KVM コンソールの起動
- CIMC セッション管理
- I/O モジュールの管理
- 設定のバックアップと復元
- 失われたパスワードの復旧
Cisco UCS Manager リリース 2.2 GUI コンフィギュレーション ガイド
- Updated:
- 2018年2月5日
章のタイトル: コミュニケーション サービスの設定
コミュニケーション サービスの設定
この章は、次の項で構成されています。
- コミュニケーション サービス
- CIM-XML の設定
- HTTP の設定
- HTTPS の設定
- SNMP のイネーブル化
- Telnet のイネーブル化
- CIMC Web サービスのイネーブル化
- 通信サービスのディセーブル化
コミュニケーション サービス
以下に定義する通信サービスを使用してサードパーティ アプリケーションを Cisco UCS に接続できます。
Cisco UCS Manager では、次のサービスに対して IPv4 および IPv6 アドレス アクセスをサポートしています。
Cisco UCS Manager では、Web ブラウザから [Cisco UCS KVM Direct] 起動ページへのアウトオブバンド IPv4 アドレス アクセスをサポートしています。このアクセスを提供するには、次のサービスをイネーブルにする必要があります。
CIM-XML の設定
HTTP の設定
| ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 | ||
| ステップ 2 | の順に展開します。 | ||
| ステップ 3 | [Communication Services] タブをクリックします。 | ||
| ステップ 4 | [HTTP] 領域で、[Enabled] オプション ボタンをクリックします。
[HTTP] 領域が展開され、利用可能な設定オプションが表示されます。 | ||
| ステップ 5 | (任意)
[Port] フィールドで、 Cisco UCS Manager GUI が HTTP に使用するデフォルトのポートを変更します。
デフォルトのポートは 80 です。 | ||
| ステップ 6 | (任意)
[Redirect HTTP to HTTPS] フィールドで、[Enabled] オプション ボタンをクリックします。
HTTP ログインの HTTPS ログインへのリダイレクションをイネーブルにするには、HTTPS も設定して有効にする必要があります。いったんイネーブルにすると、HTTPS をディセーブルにするまではリダイレクションをディセーブルにできません。
| ||
| ステップ 7 | [Save Changes] をクリックします。 |
HTTPS の設定
証明書、キー リング、トラスト ポイント
HTTPS では、公開キー インフラストラクチャ(PKI)のコンポーネントを使用して、クライアントのブラウザと Cisco UCS Manager などの 2 つのデバイス間でセキュアな通信を確立します。
暗号キーとキー リング
各 PKI デバイスは、内部キー リングに非対称の Rivest-Shamir-Adleman(RSA)暗号キーのペア(1 つはプライベート、もう 1 つはパブリック)を保持します。いずれかのキーで暗号化されたメッセージは、もう一方のキーで復号化できます。暗号化されたメッセージを送信する場合、送信者は受信者の公開キーで暗号化し、受信者は独自の秘密キーを使用してメッセージを復号化します。送信者は、独自の秘密キーで既知のメッセージを暗号化(「署名」とも呼ばれます)して公開キーの所有者を証明することもできます。受信者が該当する公開キーを使用してメッセージを正常に復号化できる場合は、送信者が対応する秘密キーを所有していることが証明されます。暗号キーの長さはさまざまであり、通常の長さは 512 ビット ~ 2048 ビットです。一般的に、短いキーよりも長いキーの方がセキュアになります。Cisco UCS Manager では、最初に 1024 ビットのキー ペアを含むデフォルトのキー リングが提供されます。その後、追加のキー リングを作成できるようになります。
クラスタ名が変更されたり、証明書が期限切れになったりした場合は、デフォルトのキー リング証明書を手動で再生成する必要があります。
この操作は、UCS Manager CLI のみで使用できます。
証明書
セキュアな通信を準備するには、まず 2 つのデバイスがそれぞれのデジタル証明書を交換します。証明書は、デバイスの ID に関する署名済み情報とともにデバイスの公開キーを含むファイルです。暗号化された通信をサポートするために、デバイスは独自のキー ペアと独自の自己署名証明書を生成できます。リモート ユーザが自己署名証明書を提示するデバイスに接続する場合、ユーザはデバイスの ID を簡単に検証することができず、ユーザのブラウザは最初に認証に関する警告を表示します。デフォルトでは、Cisco UCS Manager にはデフォルトのキー リングからの公開キーを含む組み込み用自己署名証明書が含まれます。
トラスト ポイント
Cisco UCS Manager に強力な認証を提供するために、デバイスの ID を証明する信頼できるソース(つまり、トラスト ポイント)からサードパーティ証明書を取得し、インストールできます。サードパーティ証明書は、発行元トラスト ポイント(ルート認証局(CA)、中間 CA、またはルート CA につながるトラスト チェーンの一部となるトラスト アンカーのいずれか)によって署名されます。新しい証明書を取得するには、Cisco UCS Manager で証明書要求を生成し、トラスト ポイントに要求を送信する必要があります。
キー リングの作成
Cisco UCS Manager は、デフォルト キー リングを含め、最大 8 個のキー リングをサポートします。
次の作業
このキー リングの証明書要求を作成します。
キー リングの証明書要求の作成
| ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 | ||||||||||||||||||||||
| ステップ 2 | の順に展開します。 | ||||||||||||||||||||||
| ステップ 3 | 証明書要求を作成するキー リングをクリックします。 | ||||||||||||||||||||||
| ステップ 4 | [Work] ペインで、[General] タブをクリックします。 | ||||||||||||||||||||||
| ステップ 5 | [General] タブで [Create Certificate Request] をクリックします。 | ||||||||||||||||||||||
| ステップ 6 | [Create Certificate Request] ダイアログボックスで、次のフィールドに値を入力します。
| ||||||||||||||||||||||
| ステップ 7 | IP アドレスを割り当てるには、[IPv4] または [IPv6] のタブをクリックします。この選択は、Cisco UCS Manager をセットアップするときのファブリック インターコネクトの設定に応じて行います。
| ||||||||||||||||||||||
| ステップ 8 | [OK] をクリックします。 | ||||||||||||||||||||||
| ステップ 9 | [Request] フィールドから証明書要求のテキストをコピーし、ファイルに保存します。 | ||||||||||||||||||||||
| ステップ 10 | 証明書要求を含むファイルをトラスト アンカーまたは認証局に送信します。 |
次の作業
トラスト ポイントを作成し、トラスト アンカーから受け取ったトラストの証明書の証明書チェーンを設定します。
トラスト ポイントの作成
| ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 | ||||||
| ステップ 2 | の順に展開します。 | ||||||
| ステップ 3 | [Key Management] を右クリックし、[Create Trusted Point] を選択します。 | ||||||
| ステップ 4 | [Create Trusted Point] ダイアログボックスで、次のフィールドに値を入力します。
| ||||||
| ステップ 5 | [OK] をクリックします。 |
次の作業
トラスト アンカーまたは認証局から証明書を受信したら、キー リングにインポートします。
キー リングへの証明書のインポート
次の作業
キー リングを使用して HTTPS サービスを設定します。
HTTPS の設定
 注意 | HTTPS で使用するポートとキー リングの変更を含め、HTTPS の設定を完了した後、トランザクションを保存またはコミットするとすぐに、現在のすべての HTTP および HTTPS セッションは警告なく閉じられます。 |
| ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 | ||||||||||||||
| ステップ 2 | の順に展開します。 | ||||||||||||||
| ステップ 3 | [Communication Services] タブを選択します。 | ||||||||||||||
| ステップ 4 | [HTTPS] 領域で、[Enabled] オプション ボタンをクリックします。
[HTTPS] 領域が展開され、利用可能な設定オプションが表示されます。 | ||||||||||||||
| ステップ 5 | 次のフィールドに入力します。
| ||||||||||||||
| ステップ 6 | [Save Changes] をクリックします。 |
キーリングの削除
トラスト ポイントの削除
トラスト ポイントがキー リングによって使用されていないことを確認してください。
SNMP のイネーブル化
SNMP の概要
簡易ネットワーク管理プロトコル(SNMP)は、SNMP マネージャとエージェント間の通信用メッセージ フォーマットを提供する、アプリケーションレイヤ プロトコルです。SNMP はネットワーク デバイスのモニタリングや管理のための標準化されたフレームワークと共通言語を提供します。
SNMP 機能の概要
SNMP フレームワークは 3 つの部分で構成されます。
-
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム
-
SNMP エージェント:管理対象デバイスである Cisco UCS 内のソフトウェア コンポーネント。Cisco UCS のデータを保守し、必要に応じてそのデータを SNMP マネージャに報告します。Cisco UCS には、エージェントと一連の MIB が含まれています。SNMP エージェントをイネーブルにしてマネージャとエージェント間のリレーションシップを作成するには、Cisco UCS Manager で SNMP をイネーブルにして設定します。
-
管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。Cisco UCS リリース 1.4(1) 以降では、以前よりも多くの MIB をサポートしています。
Cisco UCS は、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。SNMPv1 および SNMPv2c はどちらも、コミュニティベース形式のセキュリティを使用します。SNMP は次のように定義されています。
-
RFC 3410(http://tools.ietf.org/html/rfc3410)
-
RFC 3411(http://tools.ietf.org/html/rfc3411)
-
RFC 3412(http://tools.ietf.org/html/rfc3412)
-
RFC 3413(http://tools.ietf.org/html/rfc3413)
-
RFC 3414(http://tools.ietf.org/html/rfc3414)
-
RFC 3415(http://tools.ietf.org/html/rfc3415)
-
RFC 3416(http://tools.ietf.org/html/rfc3416)
-
RFC 3417(http://tools.ietf.org/html/rfc3417)
-
RFC 3418(http://tools.ietf.org/html/rfc3418)
-
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP 通知
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。これらの通知では、要求を SNMP マネージャから送信する必要はありません。通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Cisco UCS Managerは、トラップまたはインフォームとして SNMP 通知を生成します。SNMP マネージャはトラップ受信時に確認応答を送信せず、Cisco UCS Manager はトラップが受信されたかどうかを確認できないため、トラップの信頼性はインフォームよりも低くなります。インフォーム要求を受信する SNMP マネージャは、SNMP 応答プロトコル データ ユニット(PDU)でメッセージの受信を確認します。Cisco UCS Manager が PDU を受信しない場合、インフォーム要求を再送できます。
SNMP セキュリティ レベルおよび権限
SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。セキュリティ モデルは、選択したセキュリティ レベルと結合され、SNMP メッセージの処理中に適用されるセキュリティ メカニズムを決定します。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な特権を決定します。権限のレベルによって、メッセージが情報開示の保護を必要とするか、またはメッセージが認証されるかが決定されます。サポートされるセキュリティ レベルは、実装されているセキュリティ モデルによって異なります。SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
SNMP セキュリティ モデルとレベルのサポートされている組み合わせ
次の表に、セキュリティ モデルとレベルの組み合わせを示します。
|
モデル |
レベル |
認証 |
暗号化 |
結果 |
|---|---|---|---|---|
|
v1 |
noAuthNoPriv |
コミュニティ ストリング |
未対応 |
コミュニティ ストリングの照合を使用して認証します。 |
|
v2c |
noAuthNoPriv |
コミュニティ ストリング |
未対応 |
コミュニティ ストリングの照合を使用して認証します。 |
|
v3 |
noAuthNoPriv |
ユーザ名 |
未対応 |
ユーザ名の照合を使用して認証します。 |
|
v3 |
authNoPriv |
HMAC-MD5 または HMAC-SHA |
非対応 |
Hash-Based Message Authentication Code(HMAC)メッセージ ダイジェスト 5(MD5)アルゴリズムまたは HMAC Secure Hash Algorithm(SHA)アルゴリズムに基づいて認証します。 |
|
v3 |
authPriv |
HMAC-MD5 または HMAC-SHA |
DES |
HMAC-MD5 アルゴリズムまたは HMAC-SHA アルゴリズムに基づいて認証します。データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。 |
SNMPv3 セキュリティ機能
SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。SNMPv3 は、管理操作および暗号化 SNMP メッセージを実行するために、設定されているユーザのみを承認します。SNMPv3 ユーザベース セキュリティ モデル(USM)は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。
Cisco UCS での SNMP サポート
Cisco UCS は、SNMP に対して以下のサポートを提供します。
MIB のサポート
Cisco UCS は、MIB への読み取り専用アクセスをサポートします。
Cisco UCS で使用可能な特定の MIB およびその入手先については、B シリーズ サーバは http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/mib/b-series/b_UCS_MIBRef.html を、C シリーズは http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/mib/c-series/b_UCS_Standalone_C-Series_MIBRef.html を参照してください。
SNMPv3 ユーザの認証プロトコル
Cisco UCS は、SNMPv3 ユーザに次の認証プロトコルをサポートします。
SNMPv3 ユーザの AES プライバシー プロトコル
Cisco UCS は、SNMPv3 メッセージ暗号化用のプライバシー プロトコルの 1 つとして Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠しています。
プライバシー パスワード(priv オプション)では、SNMP セキュリティ暗号化方式として DES または 128 ビット AES を選択できます。AES-128 の設定を有効にして、SNMPv3 ユーザ用のプライバシー パスワードを含めると、Cisco UCS Manager はそのプライバシー パスワードを使用して 128 ビット AES キーを生成します。AES プライバシー パスワードは最小で 8 文字です。パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
SNMP のイネーブル化および SNMP プロパティの設定
Cisco UCS ドメインからの SNMP メッセージには、システム名ではなくファブリック インターコネクト名が表示されます。
| ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 | ||||
| ステップ 2 | の順に展開します。 | ||||
| ステップ 3 | [Communication Services] タブを選択します。 | ||||
| ステップ 4 | [SNMP] 領域で、次のフィールドに入力します。
| ||||
| ステップ 5 | [Save Changes] をクリックします。 |
次の作業
SNMP トラップおよびユーザを作成します。
SNMP トラップの作成
| ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 | ||||||||||||||
| ステップ 2 | の順に展開します。 | ||||||||||||||
| ステップ 3 | [Communication Services] タブを選択します。 | ||||||||||||||
| ステップ 4 | [SNMP Traps] 領域で、[+] をクリックします。 | ||||||||||||||
| ステップ 5 | [Create SNMP Trap] ダイアログボックスで、次のフィールドに値を入力します。
| ||||||||||||||
| ステップ 6 | [OK] をクリックします。 | ||||||||||||||
| ステップ 7 | [Save Changes] をクリックします。 |
SNMP トラップの削除
SNMPv3 ユーザの作成
| ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 | ||||||||||||||||||
| ステップ 2 | の順に展開します。 | ||||||||||||||||||
| ステップ 3 | [Communication Services] タブを選択します。 | ||||||||||||||||||
| ステップ 4 | [SNMP Users] 領域で、[+] をクリックします。 | ||||||||||||||||||
| ステップ 5 | [Create SNMP User] ダイアログボックスで、次のフィールドに値を入力します。
| ||||||||||||||||||
| ステップ 6 | [OK] をクリックします。 | ||||||||||||||||||
| ステップ 7 | [Save Changes] をクリックします。 |
SNMPv3 ユーザの削除
Telnet のイネーブル化
CIMC Web サービスのイネーブル化
CIMC Web サービスはデフォルトでイネーブルとなっています。ディセーブルにしている場合は、次の手順を行ってサービスをイネーブルにします。
通信サービスのディセーブル化
 (注) | 他のネットワーク アプリケーションとのインターフェイスに必要ない通信サービスは、すべてディセーブルにすることを推奨します。 |
フィードバック