安全

功能说明

在“安全策略”界面中，您可以查看并修改系统的帐户策略、密码策略以及会话策略。

操作步骤

1. 依次单击“菜单 > 系统设置 > 安全 > 安全策略”，进入安全策略管理界面。

2. 单击“修改”，进入修改页面。
   表7-161 安全策略参数说明

   区域	名称	说明
   帐户策略	系统创建帐户的最大限制	系统支持的最大用户数量。 取值范围：1~100 默认值：100 说明： 系统支持的最大用户数量是指本地人机用户和本地机机用户的数量之和，系统默认本地机机用户包含rootRedfish、eventAccount、ImageRepository、EdgeAccount和FileTransferAccount。
   	用户登录失败后被锁定时长（分钟）	由于用户名、密码错误等原因导致多次登录失败后被锁定的时长，等待该时长后，才能再次登录。 取值范围：5~60 默认值：5
   	帐号最小长度限制	新建用户的用户名的最小长度。 取值范围：6~32 默认值：6
   	帐号最大长度限制	新建用户的用户名的最大长度。不能小于“帐号最小长度限制”。 取值范围：6~32 默认值：32
   密码策略	密码不能与之前N个历史密码重复	用户修改密码时，禁止使用设置次数内的历史密码。 取值范围：1~6 默认值：5
   	允许帐户输错N次后密码锁定帐户次数	用户输入错误密码达到指定次数后，该用户会被系统锁定，在“用户登录失败后被锁定时长”设定的时间内，无法再次登录。 取值范围：3~10 默认值：3
   	密码修改最短时间间隔（分钟）	两次修改密码操作之间间隔的最短时间。 取值范围：5~60 默认值：5
   	密码过期时间（天）	密码设置完成后，在一定时间段内有效；若超过这个时间，密码将会失效。 建议在有效期到达之前，设置新密码。若密码已过期，则需要在登录时先进行密码修改操作。 取值范围：1~180 默认值：180
   会话策略	会话超时时间（分钟）	用户登录后，若在一定时间段内不做任何操作，将会自动退出登录。 取值范围：5~60 默认值：30
   	系统创建会话上限	系统允许创建的最大会话数量。 取值范围：1~100 默认值：100
   证书有效期检查策略	证书检查周期（天）	证书检查周期。 取值范围：1~179 默认值：1 说明： 证书检查周期必须小于逾期告警阈值。
   	逾期告警阈值（天）	证书逾期告警时间。 取值范围：7~180 默认值：30 说明： 逾期告警阈值必须小于证书有效时间。

3. 单击“确定”。

功能说明

在“证书管理”界面中，列出了系统支持的所有根证书、服务证书和服务器证书，并为其提供上传和生效功能。同时，“证书管理”界面列出了证书的吊销列表，并提供上传功能。

上传根证书

• 导入根证书前，需要确保对应的服务端的服务证书匹配，否则将导致系统无法和该服务端进行通信。
• 目前根证书需要形成证书链才可导入。

1. 依次单击“菜单 > 系统设置 > 安全 > 证书管理 > 根证书”，进入证书管理界面。

2. 单击“上传”，进入证书导入界面。
3. 单击，选择本地保存的证书文件，单击“打开”。

   上传证书文件格式为PEM（扩展名为.cer、.crt或.pem），上传文件小于1MB。

4. 单击“确定”。

   弹出操作确认对话框。

5. 勾选“我已阅读上述信息，了解执行此操作带来的后果”。
6. 单击“确定”进行导入，当页面提示导入成功时表示证书导入成功。

证书配置

1. 依次单击“菜单 > 系统设置 > 安全 > 证书管理 > 根证书”，进入证书管理界面。

2. 单击“证书配置”，进入证书配置窗口。
3. 配置设备证书校验功能。
   • 单击“设备证书校验”右侧的使其变为，开启用于服务器、机框和机柜的证书校验。
   • 单击“设备证书校验”右侧的使其变为，关闭用于服务器、机框和机柜的证书校验。

4. 勾选“我已阅读上述内容，并了解其中的风险”。
5. 单击“确定”。

删除根证书

1. 依次单击“菜单 > 系统设置 > 安全 > 证书管理 > 根证书”，进入证书管理界面。

2. 单击目标根证书后的“删除”。

   弹出操作确认对话框。

3. 单击“确定”。

查看根证书

1. 依次单击“菜单 > 系统设置 > 安全 > 证书管理 > 根证书”，进入证书管理界面。

2. 单击目标根证书前的，查看根证书详细信息。

上传服务证书

目前服务证书导入只支持导入采用SHA256WithRSA签名算法的服务证书，且公钥长度不小于2048位，建议最大不超过10240位，公钥算法限制为RSA算法。

1. 依次单击“菜单 > 系统设置 > 安全 > 证书管理 > 服务证书”，进入证书管理界面。

2. 单击证书右侧的，进入服务证书上传界面。
3. 单击，选择本地保存的证书文件，单击“打开”。

   上传证书文件格式为PFX（扩展名为.pfx或.P12），上传文件小于1M。

4. 输入服务证书密码。
5. 单击“确定”进行导入，当页面提示导入成功时表示证书导入成功。

生效服务证书

服务证书上传后，必须将其生效，系统才可以提供对应的服务。

1. 依次单击“菜单 > 系统设置 > 安全 > 证书管理 > 服务证书”，进入证书管理界面。

2. 单击目标证书类型右侧的。

   弹出操作确认对话框。

3. 单击“确定”。

上传服务器证书

1. 依次单击“菜单 > 系统设置 > 安全 > 证书管理 > 服务器证书”，进入证书管理界面。

2. 单击目标服务器后的“上传证书”。

   弹出“服务器证书上传”窗口。

   如需批量上传证书，请在服务器列表中选择需要上传证书的服务器，然后单击右上方的“上传证书”。

3. 上传服务器证书。

   根据服务器实际使用场景，参考表7-162上传服务器证书。

   请确保上传正确的证书，上传错误的证书可能会导致iBMC与所对接的Syslog服务器断开连接，导致无法通信。

   表7-162 证书类型

   证书类型	证书说明	相关操作
   Syslog根证书	在建立数据连接时，使用上传的根证书对Syslog服务器发送来的报文进行验证。	单击，选择本地保存的证书文件，单击“打开”。 说明： 上传证书文件格式为PEM（扩展名为.cer、.crt或.pem），上传文件小于1M。 勾选“我已阅读上述信息，了解执行此操作带来的后果”，单击“确定”。
   Syslog本地证书	在建立数据连接时，iBMC向Syslog服务器发送报文时会携带本地证书信息，用于Syslog服务器对Syslog客户端（即iBMC系统）的验证。	单击，选择本地保存的证书文件，单击“打开”。 说明： 上传证书文件格式为PFX（扩展名为.pfx或.P12），上传文件小于1M。 输入证书密码。 勾选“我已阅读上述信息，了解执行此操作带来的后果”，单击“确定”。
   SSL自定义证书	SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道（访问方式为HTTPS），实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。SSL保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否真实可靠。产品支持SSL证书替换功能，为提高安全性，建议替换成自己的证书和公私钥对，并及时更新证书，保证证书的有效性。	单击，选择本地保存的证书文件，单击“打开”。 说明： 上传证书文件格式为PFX（扩展名为.pfx或.P12），上传文件小于1M。 输入证书密码。 勾选“我已阅读上述信息，了解执行此操作带来的后果”，单击“确定”。
   双因素根证书	双因素认证是使用客户端证书密码以及证书来进行认证，登录时需要同时拥有客户端证书及证书密码才能认证通过，解决了传统的帐号口令认证中口令泄露导致的入侵问题。 您可以通过“双因素认证”界面将从正式的CA认证机构申请的根证书和客户端证书上传到iBMC，实现客户端与iBMC Web的安全对接。	单击，选择本地保存的证书文件，单击“打开”。 说明： 上传证书文件格式为PEM（扩展名为.cer、.crt或.pem），上传文件小于1M。 勾选“我已阅读上述信息，了解执行此操作带来的后果”，单击“确定”。
   双因素客户端证书		单击，选择本地保存的证书文件，单击“打开”。 说明： 上传证书文件格式为PEM（扩展名为.cer、.crt或.pem），上传文件小于1M。 在下拉列表中选择用户。 勾选“我已阅读上述信息，了解执行此操作带来的后果”，单击“确定”。
   LDAP证书	在建立数据连接时，使用上传的根证书对LDAP服务器发送来的报文进行验证。	单击，选择本地保存的证书文件，单击“打开”。 说明： 上传证书文件格式为PEM（扩展名为.cer、.crt或.pem），上传文件小于1M。 在下拉列表中选择域控制器。 勾选“我已阅读上述信息，了解执行此操作带来的后果”，单击“确定”。

查看服务器证书

1. 依次单击“菜单 > 系统设置 > 安全 > 证书管理 > 服务器证书”，进入证书管理界面。

2. 单击指定服务器证书前的，查看服务器证书详细信息。

上传服务器吊销列表

1. 依次单击“菜单 > 系统设置 > 安全 > 证书管理 > 服务器证书”，进入证书管理界面。

2. 单击目标服务器后的“上传吊销列表”。

   弹出“服务器吊销列表上传”窗口。

   如需批量上传吊销列表，请在服务器列表中选择需要上传吊销列表的服务器，然后单击右上方的“上传吊销列表”。

3. 上传服务器吊销列表。

   根据服务器实际使用场景，参考表7-163上传服务器吊销列表。

   表7-163 证书类型

   证书类型	证书说明	相关操作
   Syslog根证书	吊销证书列表（CRL）由证书机构（CA）颁发和维护。一个CRL是指已被吊销的证书的一个列表。	单击，选择本地保存的证书文件，单击“打开”。 说明： 仅支持扩展名为.crl的证书文件，上传文件小于1M。 单击“确定”。
   双因素根证书		单击，选择本地保存的证书文件，单击“打开”。 说明： 仅支持扩展名为.crl的证书文件，上传文件小于1M。 在“根证书”下拉框中选择根证书。 单击“确定”。
   LDAP证书		单击，选择本地保存的证书文件，单击“打开”。 说明： 仅支持扩展名为.crl的证书文件，上传文件小于1M。 在下拉列表中选择域控制器。 单击“确定”。

查看吊销列表

1. 依次单击“菜单 > 系统设置 > 安全 > 证书管理 > 吊销列表”，进入证书管理界面。

2. 查看吊销列表。可查看证书别名、颁发者、生效时间、下次更新时间、证书导入时间、备注信息。

上传吊销列表

1. 依次单击“菜单 > 系统设置 > 安全 > 证书管理 > 吊销列表”，进入证书管理界面。

2. 单击右上方的“上传”。

   弹出“上传”对话框。

3. 上传吊销证书列表。
   1. 在“证书别名”文本框中输入证书名称。

      长度为1~32个字符，只能包含中文、字母、数字、“_”、“-”和“.”。

   2. 单击，选择本地保存的证书文件，单击“打开”。

      仅支持扩展名为.crl的证书文件，上传文件小于1M。

   3. 在备注文本框中输入备注信息。

      长度为0~256个任意字符。

4. 单击“确定”。
   • 有风险的情况下，是否导入证书由用户自行决定；证书导入后风险不会消除。

   • 无风险的情况下，则不会出现风险提示。

删除吊销列表

1. 依次单击“菜单 > 系统设置 > 安全 > 证书管理 > 吊销列表”，进入证书管理界面。

2. 单击目标证书后的“删除”。

   弹出操作确认对话框。

3. 单击“确定”。

功能说明

双因素认证功能是一种出于安全考虑，在登录时需要二次认证的功能。启用后，用户在登录系统的Web界面时，除了需要输入对应的密码外，还需要输入验证码，增强了系统的安全性。验证码由系统随机生成，发送到指定的邮箱中。

在“双因素认证”界面中，显示双因素认证功能的启用状态，以及使用的邮箱信息，并提供设置接口。

• 双因素认证功能的开启，需要SMTP功能支持。在配置之前，请确认SMTP功能是使能状态。
• “只读用户”和“LDAP用户”不能开启该功能。

操作步骤

1. 依次单击“菜单 > 系统设置 > 安全 > 双因素认证”，进入双因素认证管理界面。

2. 单击“配置”。

   打开“配置”窗口。

3. 设置相关参数。
   表7-164 双因素认证参数说明

   参数	说明
   是否启用双因素认证	单击使其变为，表示开启双因素认证。 单击使其变为，表示关闭双因素认证。
   邮箱	接收验证码的邮箱地址。
   验证码	长度为6个字符，仅支持输入数字。 单击“获取验证码”后，系统发送该验证码到目标邮箱，用于验证系统与邮箱的连通性。

4. 单击“确定”。

   弹出操作确认对话框。

5. 单击“确定”。

功能描述

系统作为客户端通过HTTPS、LDAPS、SMTP协议访问服务端时，可通过此功能设置TLS版本和加密算法套件。系统默认开启安全的TLS协议和安全的加密算法套件，默认关闭不安全的TLS协议和不安全的加密算法套件。当用户需要系统对接仅支持非安全的TLS版本或加密算法套件的服务端时，可通过此功能开启非安全的TLS版本或非安全的加密算法套件，以满足用户需求。

配置TLS版本

安全TLS协议默认开启，非安全TLS协议默认关闭。为避免安全风险，建议使用安全的TLS协议。

1. 依次单击“菜单 > 系统设置 > 安全 > 客户端TLS配置”，进入客户端TLS配置管理界面。

2. 单击TLS版本下的。

   弹出修改窗口。

3. 选择需要配置的TLS版本。
4. 单击“确定”。

   弹出操作确认对话框。

5. 勾选“我已阅读上述信息，了解执行该操作的风险”。
6. 单击“确定”。

开启HTTPS协议

安全加密算法套件永久开启，非安全加密算法套件默认关闭。为避免安全风险，建议使用安全的加密算法套件。

1. 依次单击“菜单 > 系统设置 > 安全 > 客户端TLS配置”，进入客户端TLS配置管理界面。

2. 选择“HTTPS协议”页签。
3. 单击目标加密算法套件后的“开启”。

   弹出操作确认对话框。

   如需开启全部非安全的HTTPS加密算法套件，请单击右上方的“全部开启”。

4. 勾选“我已阅读上述信息，了解执行该操作的风险”。
5. 单击“确定”。

关闭HTTPS协议

1. 依次单击“菜单 > 系统设置 > 安全 > 客户端TLS配置”，进入客户端TLS配置管理界面。

2. 选择“HTTPS协议”页签。
3. 单击目标加密算法套件后的“关闭”。

   弹出操作确认对话框。

   如需关闭全部非安全的HTTPS加密算法套件，请单击右上方的“全部关闭”。

4. 勾选“我已阅读上述信息，了解执行该操作的风险”。
5. 单击“确定”。

开启LDAPS协议

安全加密算法套件永久开启，非安全加密算法套件默认关闭。为避免安全风险，建议使用安全的加密算法套件。

1. 依次单击“菜单 > 系统设置 > 安全 > 客户端TLS配置”，进入客户端TLS配置管理界面。

2. 选择“LDAPS协议”页签。
3. 单击目标加密算法套件后的“开启”。

   弹出操作确认对话框。

   如需开启全部非安全的LDAPS加密算法套件，请单击右上方的“全部开启”。

4. 勾选“我已阅读上述信息，了解执行该操作的风险”。
5. 单击“确定”。

关闭LDAPS协议

1. 依次单击“菜单 > 系统设置 > 安全 > 客户端TLS配置”，进入客户端TLS配置管理界面。

2. 选择“LDAPS协议”页签。
3. 单击目标加密算法套件后的“关闭”。

   弹出操作确认对话框。

   如需关闭全部非安全的LDAPS加密算法套件，请单击右上方的“全部关闭”。

4. 勾选“我已阅读上述信息，了解执行该操作的风险”。
5. 单击“确定”。

开启SMTP协议

安全加密算法套件永久开启，非安全加密算法套件默认关闭。为避免安全风险，建议使用安全的加密算法套件。

1. 依次单击“菜单 > 系统设置 > 安全 > 客户端TLS配置”，进入客户端TLS配置管理界面。

2. 选择“SMTP协议”页签。
3. 单击目标加密算法套件后的“开启”。

   弹出操作确认对话框。

   如需开启全部非安全的SMTP加密算法套件，请单击右上方的“全部开启”。

4. 勾选“我已阅读上述信息，了解执行该操作的风险”。
5. 单击“确定”。

关闭SMTP协议

1. 依次单击“菜单 > 系统设置 > 安全 > 客户端TLS配置”，进入客户端TLS配置管理界面。

2. 选择“SMTP协议”页签。
3. 单击目标加密算法套件后的“关闭”。

   弹出操作确认对话框。

   如需关闭全部非安全的SMTP加密算法套件，请单击右上方的“全部关闭”。

4. 勾选“我已阅读上述信息，了解执行该操作的风险”。
5. 单击“确定”。