安全性模式
本主題是安全性模式的概觀。
XCC 標準授權可讓使用者在下列其中一種安全性模式下配置其伺服器:標準模式和相容模式。所有 V4 伺服器皆提供這些模式。
Lenovo XClarity Controller 3 Premier 升級授權亦提供第三種安全性模式:企業嚴格模式。此模式最適合高級安全性需要。
企業嚴格安全性模式是最安全的模式。
BMC 使用的所有加密演算法均符合 CNSA 1.0 標準。
BMC 在 FIPS 140-3 驗證模式下運作。
需要企業嚴格等級憑證。
只能啟用支援 CNSA 1.0 加密的服務。
需要 Feature on Demand 金錀才能啟用。
標準模式是預設的安全性模式。
BMC 使用的所有加密演算法均符合 FIPS 140-3 標準。
當所有啟用的服務都使用 FIPS 140-3 相容的加密時,BMC 在 FIPS 140-3 驗證模式下運作。
需要標準等級憑證。
服務所需的加密如果不支援 FIPS 140-3 相容的加密,則預設為停用。
相容模式是在服務和用戶端所需的加密不符合企業嚴格/標準時使用的模式。
支援更廣泛的加密演算法。
啟用此模式後,BMC 不是在標準驗證模式下運作。
允許啟用所有服務。
支援的 TLS 密碼組合
| TLS 密碼組合 | 安全性模式 | TLS 版本 |
|---|---|---|
| TLS_AES_256_GCM_SHA384 |
| TLS 1.3 |
| TLS_CHACHA20_POLY1305_SHA256 |
| TLS 1.3 |
| TLS_AES_128_GCM_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_8_SHA256 |
| TLS 1.3 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_LATH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA3U |
| TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
功能/服務 | 使用加密 | 立即可用的預設狀態 | 在嚴格模式下支援 | 在標準模式下支援 | 在相容模式下支援 |
|---|---|---|---|---|---|
IPMI-over-KCS | 否 | 已啟用 | 是 | 是 | 是 |
IPMI-over-LAN | 是 | 已停用 | 否 | 是 | 是 |
SNMPv1 設陷 | 否 | 未配置 | 否 | 是 | 是 |
SNMPv3 設陷 | 是 | 未配置 | 否 | 是 如果啟用,將於使用非 FIPS 加密時警示 | 是 |
SNMPv3 代理程式 | 是 | 未配置 | 否 | 是 如果啟用,將於使用非 FIPS 加密時警示 | 是 |
電子郵件警示 | 是 | 未配置 | 是 不能啟用 CRAM-MD5 鑑別 | 是 如果需要 CRAM-MD5,將於使用非 FIPS 加密時警示。 | 是 |
Syslog 警示 | 否 | 未配置 | 否 | 是 | 是 |
TLS 1.2 | 是 | 已啟用 | 是 | 是 | 是 |
TLS 1.3 | 是 | 已啟用 | 是 | 是 | 是 |
Web over HTTPS | 是 | 已啟用 | 是 | 是 | 是 |
Redfish over HTTPS | 是 | 已啟用 | 是 | 是 | 是 |
SSDP | 否 | 已啟用 | 是 | 是 | 是 |
SSH-CLI | 是 | 已啟用 | 是 | 是 | 是 |
SFTP | 是 | 已停用 | 是 | 是 | 是 |
LDAP | 否 | 未配置 | 否 | 是 | 是 |
安全 LDAP | 是 | 未配置 | 是 | 是 | 是 |
安全鑰匙管理 | 是 | 未配置 | 是 | 是 | 是 |
遠端主控台 | 是 | 已啟用 | 是 | 是 | 是 |
虛擬媒體 - CIFS | 是 | 未配置 | 否 | 是 | 是 |
虛擬媒體 - NFS | 否 | 未配置 | 否 | 是 | 是 |
虛擬媒體 - HTTPFS | 是 | 未配置 | 是 | 是 | 是 |
RDOC - 本端 | 是 | 未配置 | 是 | 是 | 是 |
RDOC - CIFS | 是 | 未配置 | 否 | 是 | 是 |
RDOC - HTTP | 否 | 未配置 | 否 | 是 | 是 |
RDOC - HTTPS | 是 | 未配置 | 是 | 是 | 是 |
RDOC - FTP | 否 | 未配置 | 否 | 是 | 是 |
RDOC - SFTP | 是 | 未配置 | 是 | 是 | 是 |
FFDC 上傳 (SFTP) | 是 | 已啟用 | 是 | 是 | 是 |
FFDC 上傳 (TFTP) | 否 | 已啟用 | 否 | 是 | 是 |
從儲存庫更新 – CIFS | 是 | 未配置 | 否 | 是 | 是 |
從儲存庫更新 - NFS | 否 | 未配置 | 否 | 是 | 是 |
從儲存庫更新 – HTTP | 否 | 未配置 | 否 | 是 | 是 |
從儲存庫更新 – HTTPS | 是 | 未配置 | 是 | 是 | 是 |
Call Home | 是 | 已停用 | 是 | 是 | 是 |
協力廠商密碼 | 是 | 未配置 | 否 | 是 | 是 |
埠轉遞 | 不適用 | 已停用 | 是 | 是 | 是 |