Authentification du module onboard administrator – HP Onboard Administrator Manuel d'utilisation
Page 16
Authentification du module Onboard Administrator
La sécurité est assurée pour toutes les interfaces utilisateur de module Onboard Administrator via
authentification utilisateur. Les comptes utilisateurs créés dans le module Onboard Administrator se
voient affecter l'un des trois niveaux de privilège et octroyer l'accès aux baies de composants au
niveau de privilège spécifié. Le module Onboard Administrator enregistre les mots de passe pour les
comptes d'utilisateurs locaux et peut être configuré pour utiliser l'authentification LDAP pour les
comptes de groupes d'utilisateurs. Le module Insight Display peut être protégé par un numéro
d'identification personnelle LCD ou être complètement désactivé. Un code PIN LCD protège contre
l'accès non autorisé à Insight Display et Enclosure KVM. L'utilisation du module KVM pour accéder
aux consoles de serveur est protégée à l'aide du nom d'utilisateur/mot de passe sur le système
d'exploitation du serveur.
REMARQUE :
Le module Onboard Administrator ne prend pas en charge OpenLDAP.
Comptes utilisateur basés sur les rôles
Le module Onboard Administrator fournit des comptes utilisateur configurables permettant de définir
clairement plusieurs rôles d'administrateur de type serveur, réseau local et réseau SAN. Les comptes
utilisateur sont configurés avec des autorisations spécifiques aux baies de périphériques ou
d'interconnexion et avec un de trois niveaux de privilège : administrateur, opérateur ou utilisateur. Un
compte avec des privilèges d'administrateur comprenant l'autorisation de baie du module Onboard
Administrator peut créer ou modifier tous les comptes utilisateur sur un boîtier. Les privilèges
d'opérateur permettent d'accéder et de contrôler l'intégralité des informations relatives aux baies
autorisées. Les privilèges utilisateur n'autorisent que l'accès aux informations (aucune possibilité de
contrôle).
Le module Onboard Administrator impose à l'utilisateur une connexion à l'interface utilisateur Web
ou CLI avec un compte et un mot de passe. Le compte peut être un compte local où le mot de passe
est enregistré sur le module Onboard Administrator, ou un compte LDAP, où le module Onboard
Administrator contacte le serveur LDAP défini pour vérifier les informations d'identification de
l'utilisateur. L'authentification à deux facteurs permet un niveau de sécurité encore plus élevé pour la
session de supervision de l'utilisateur sur le module Onboard Administrator.
Au lieu d'imposer des connexions séparées pour accéder à plusieurs ressources (une fois à chaque
boîtier et/ou une fois à chaque processeur de gestion de serveur), le module Onboard Administrator
permet la connexion avec un point d'accès unique pour les boîtiers liés dans un rack. L'administrateur
peut ainsi utiliser l'authentification unique pour se connecter à un module Onboard Administrator
unique et utiliser l'interface utilisateur Web pour consulter et superviser les composants
HP BladeSystem c-Class sur un maximum de sept boîtiers liés. (L'authentification unique exige que
tous les administrateurs du module Onboard actif du boîtier disposent du même mot de passe.) Par
exemple, un administrateur peut propager automatiquement les commandes de gestion, telles que la
modification du mode d'alimentation du boîtier, dans tous les boîtiers liés. Un compte valide doit être
présent sur chaque boîtier lié pour obtenir un accès. Pour plus d'informations, reportez-vous à la
section « Connexion à l'interface graphique utilisateur Onboard Administrator » (
l'interface du module Onboard Administrator à la page 9
).
Sécurité de la connexion
Le module Onboard Administrator propose plusieurs fonctions pour assurer la sécurité de la
connexion. Aucune pénalité n'est imposée après un échec de tentative de connexion initiale. Avec
tous les échecs de tentatives ultérieures, le module Onboard Administrator impose un délai de 10 à
20 secondes. Une page d'information s'affiche pendant chaque délai d'attente. Cette action se
poursuit jusqu'à l'ouverture d'une session valide. Cette fonction aide à se défendre contre les
éventuelles attaques par dictionnaire.
Le module Onboard Administrator enregistre une entrée de journal détaillée de tous les échecs de
tentative de connexion.
FRWW
Interfaces
7