l NC-SI

服务器管理平面与业务平面分离。 BMC 可以通过 NC-SI 边带网口功能与业务平面共享同一个网卡。在物理层，管理平面与业务平面共用接口，在软件层，通过 VLAN 实现二者隔离，互不可见。

l 协议与端口防攻击

BMC 按照最小化原则对外开放网络服务端口：即不使用的网络服务必须关闭，调试使用的网络服务端口在正式使用的时候必须关闭，不安全协议的端口默认处于关闭状态。

l 基于场景的登录限制

基于安全考虑，从时间、地点 (IP/MAC) 、用户三个维度将服务器管理接口访问控制在最小范围；目前该特性只针对 Web 接口进行登录限制。由用户根据需要设置登录规则的白名单，最多支持三条登录规则，登录时只要匹配上任意一条登录规则，即可登录，否则拒绝登录。

l 用户帐号安全管理

BMC 通过密码复杂度、弱口令字典、密码有效期、密码最短使用期、不活动期限、紧急登录用户、禁用历史密码重复次数、登录失败锁定等功能保证帐号安全。

l 证书管理

BMC 支持 SSL 证书加密及证书替换功能。证书替换功能可以通过 Web 界面进行操作。

为提高安全性，建议替换成自己的证书和公私钥对，并及时更新证书，确保证书的有效性。

BMC 还支持 LDAP 证书的导入功能，为数据传输提供鉴权加密功能，提高系统安全性。

l 操作日志管理

记录了 BMC 所有接口的非查询操作。操作日志分两类，一类是 Linux 系统进程的日志，另一类是用户进程日志。用户进程记录的日志包括时间、操作接口、操作源 IP 、操作源用户、执行动作。

l 数据传输加密

BMC 支持电子邮件传输时启用 TLS 加密功能和 SMTP 登录认证功能，保证数据传输的安全性。

在使用远程控制台时， BMC 支持开启 KVM 加密、 VNC 加密功能，实现数据的安全传输。

BMC 支持多种操作接口，其中 IPMI 接口主要用于内部通信、 SNMP 接口主要用于与上层网管的信息交互。单机常用到的操作接口主要包括下述接口。

− 直连用户可在 BMC CLI 修改。修改方法请参考本文档 4.3.2 设置 BMC 网口的 IPv4 信息（ ipaddr ） 和 4.3.6 设置 BMC 网口的 IPv6 信息（ ipaddr6 ） 。

− 直连用户可在 BIOS Setup 中修改。修改方法请参考对应产品的 BIOS 参数参考手册。

− 上层网管可通过对接接口（例如 SNMP 、 Redfish 等）修改下辖服务器的地址。

l 若 BMC 配置了 DHCP ，则 BMC 地址为动态分配。使用前需要首先确认当前地址。

可通过下述方式获取：

− 在 DHCP 服务器上通过 BMC 的 MAC 查询对应的 IP 地址。

− 在上层网管查询下辖服务器的 BMC 地址。

− 通过 CLI 查询当前地址。

登录用户类型

BMC 登录用户包括以下类型：

l BMC 最多支持 16 个本地用户。本地用户登录方式适合小型环境，例如实验室、中小型企业等。

l LDAP 用户登录方式，由于其数量和权限均在 LDAP 服务器侧设置，使得登录 BMC 的用户个数不受常规限制。此方法适用于具有大量用户的环境。

l Kerberos 用户登录方式，支持单点登录，登录 BMC 的用户个数同样不受常规限制，且更具安全性。

客户端环境

BMC 系统提供丰富的管理接口，并对所有接口采用高度安全的加密算法。

本文档为您提供在 BMC 系统中进行服务器告警监测、故障定位、系统管理和数据配置的方法以及参数说明。对于数据单位是 TB 、 GB 、 MB 、 KB 或 B 的数值，统一采用 1024 进制进行单位换算。

单击告警个数或告警级别，可以跳转到“维护诊断 > 告警 & 事件 > 当前告警”页面。

l 如果您有可信任的证书，可以为 BMC 导入信任证书和根证书。

l 如果您没有可信任的证书，且可以保证网络安全的情况下，可以在 Java 的安全列表中将 BMC 添加为例外站点或降低 Java 安全级别。由于该操作可能降低用户的安全性，请谨慎使用。

弹出登录界面，如 图 3-2 所示。

l 如果使用 Internet Explorer 且升级后第一次登录 BMC WebUI ，界面可能会提示用户名或密码错误且无法登录，同时按下“ Ctrl ” + “ Shift ” + “ DEL ”，在弹出的窗口中单击删除，这样可以清除浏览器缓存中的内容。再次尝试登录，可以进入 BMC WebUI 。

l 如果使用 Internet Explorer 无法登录 BMC WebUI ，在 Internet Explorer 中打开“工具 > Internet 选项 > 高级”页面，单击“重置”后，可以正常登录。

---- 结束

在登录前，请确保以下设置满足要求：

l 网络中存在域控制器，并已在域控制器中创建了用户域、隶属于用户域的 LDAP 用户名及其密码。

BMC 系统仅提供 LDAP 用户的接入功能。

l 在 BMC WebUI 的“用户 & 安全 > LDAP ”中，已启用 LDAP 功能，并设置了用户域、隶属于用户域的 LDAP 用户名及其密码。

Kerberos 运行环境：

l 客户端支持操作系统版本为 Windows 10 64 位，浏览器版本为 Internet Explorer 11 。

l Kerberos 服务器支持操作系统版本为 Windows Server 2012 R2 64 位和 Windows Server 2016 64 位。

Kerberos 用户支持两种方式登录：

l 通过 kerberos 域用户登录。

l 通过 SSO 一键登录。

在登录前，请确保以下设置满足要求：

l 在 BMC WebUI 的“用户 & 安全 > Kerberos ”中，已启用 Kerberos 功能，完成 Kerberos 功能及用户组配置。

l 在 Kerberos 服务器端已创建 Kerberos 用户组及用户名，并将用户加入 Kerberos 用户组。此用户为登录客户端 OS 的用户。

通过 Kerboros 域用户登录。

“首页”界面提供了：

l 服务器的基本信息和节能统计信息。

l 虚拟控制台。

l 服务器关键部件的信息及其快捷入口。

l 系统监控项信息及其快捷入口。

l 其他常用操作的快捷入口。

本页面产品展示图仅供参考，具体以实际配置为准。

在导航栏中选择“首页”，打开如 图 3-3 所示界面。

l BMC 固件版本： BMC 系统的固件版本。

l BIOS 固件版本： BIOS 的固件版本。

l TEE OS 固件版本： TEE （ Trusted Execution Environment ） OS 版本。

l MAC 地址： BMC 管理网口物理地址。

l 全局唯一标识符：全球唯一标识。

单击“更多详情”可以跳转到“系统管理 > 系统信息 > 产品信息”界面。

提供系统监控快捷入口，包括：

l 磁盘 /CPU/ 内存占用率：单击本入口可以直接跳转到“系统管理 > 性能监控”界面。

l 进风口温度：单击本入口可以直接跳转到“系统管理 > 风扇 & 散热”界面。

l 功率：单击本入口可以直接跳转到“系统管理 > 电源 & 功率 > 功率”界面。

l 当磁盘占用率、 CPU 占用率、内存占用率显示的当前值为 0% 时，表示未检测到该检测项的当前值。请在 OS 侧安装并运行 iBMA 2.0 。

l 当磁盘占用率、 CPU 占用率、内存占用率显示为 0%< 当前值 < 门限值时，表示资源使用情况正常。

l 当磁盘占用率、 CPU 占用率、内存占用率显示为门限值 ≤ 当前值 ≤100% 时，表示资源使用情况已超出紧急预警区间，需要立即处理。

l 功率的检测情况，因服务器不同而采用不同的检测区域。

l 当进风口温度显示为当前值 < 一级门限值时，表示服务器温度正常。

l 当进风口温度显示为一级门限值 ≤ 当前值 < 二级门限值时，表示温度已超出正常范围，需要处理。

l 当进风口温度显示为当前值 ≥ 二级门限值时，表示温度已超出紧急预警区间，需要立即处理。

提供资源信息快捷入口，包括：

l 处理器：单击本入口可以直接跳转到“系统管理 > 系统信息 > 处理器”界面。

l 内存：单击本入口可以直接跳转到“系统管理 > 系统信息 > 内存”界面。

l 存储：单击本入口可以直接跳转到“系统管理 > 存储管理”界面。

l 电源：单击本入口可以直接跳转到“系统管理 > 电源 & 功率 > 服务器上下电”界面。

l 风扇：单击本入口可以直接跳转到“系统管理 > 风扇 & 散热”界面。

l 网络适配器：单击本入口可以直接跳转到“系统管理 > 系统信息 > 网络适配器”界面。

从本入口可以进入 HTML5 集成远程控制台或 Java 集成远程控制台。

单击“启动虚拟控制台”，在弹出的列表选择独占或共享模式的 HTML5 集成远程控制台或 Java 集成远程控制台。

单击“设置”，可以直接跳转到“虚拟控制台”界面。

关于虚拟控制台的详细介绍和常见异常帮助请参见：

l 3.9 虚拟控制台

l 3.9.1 HTML5 集成远程控制台

l 3.9.2 Java 集成远程控制台

l 3.10 远程虚拟控制台异常帮助

提供常用操作的快捷入口，通过以下入口可以快速跳转到相关界面，包括：

l 本地用户：单击本入口可以直接跳转到“用户 & 安全 > 本地用户”界面。

l 网络配置：单击本入口可以直接跳转到“ BMC 管理 > 网络配置”界面。

l 电源控制：单击本入口可以直接跳转到“系统管理 > 电源 & 功率 > 服务器上下电”界面。

l 固件升级：单击本入口可以直接跳转到“ BMC 管理 > 固件升级”界面。

l 一键收集：单击本入口可以直接下载收集到的维护相关信息，收集到的具体内容请参见本文档 3.11 一键收集信息说明 。

l 恢复出厂配置：单击本入口可以弹出“恢复默认”窗口，根据需要确定是否恢复出厂设置。

恢复配置操作会恢复所有用户配置的信息，例如以下配置项，但不限于这些：

− 当前串口互联状态

− 功率封顶配置

− 删除用户上传的 LDAP 和 SSL 证书

− 用户名、密码、有效期、组信息、登录锁定信息

− IP 获取模式、 IP 地址、掩码、默认网关

− SNMP 配置

− 告警上报的 SNMP TRAP 配置、 SMTP 配置

l 处理器的名称、厂商、型号、处理器 ID 、主频、序列号。

l 该型号 CPU 支持的核数 / 线程数。

l 缓存：包括 CPU 的一级、二级、三级缓存的容量。

l 状态： CPU 的状态信息。

l 其他参数：该 CPU 支持的其他技术参数。

显示服务器安装的板载网卡或 PCIe 网卡的名称、型号、芯片厂商、单板 ID 、厂商、芯片型号、 PCB 版本、资源归属（归属 CPU 、 PCH 或 PCIe Switch ）、总线信息、 PCIe 槽位号（ PCIe 网卡独有）等信息。

l 单击以太网卡子菜单的网卡名称，可以查看成员端口的详细信息，包括端口、状态、网口类型、介质类型、速率、自动协商和全双工状态。

以太网卡 “ 端口属性 ” 的状态含义包括以下几种：

l -- ：表示服务器未安装 iBMA ，并且无法获取物理连线状态。

l 连接：表示服务器未安装 iBMA ，物理连线状态处于连接状态。

l 断开：表示服务器未安装 iBMA ，物理连线状态处于断开状态。

l NoLink ：表示服务器已安装 iBMA ，端口未连线，但端口状态为 Up 。

l LinkUp ：表示服务器已安装 iBMA ，端口已连线，且端口状态为 Up 。

l LinkDown ：表示服务器已安装 iBMA ，端口状态为 Down 。

RAID 控制器信息：

l 控制器名称、类型、固件版本、是否支持带外管理、健康状态、支持的 RAID 级别、模式、配置版本、内存大小、设备接口、 SAS 地址、支持的条带大小范围、 Cache Pinned 状态、物理盘故障记忆启用状态、回拷启用状态、 SMART 错误时回拷启用状态、 JBOD 模式启用状态。

l BBU 名称、状态、健康状态。

l RAID 控制器不支持带外管理且未安装运行 iBMA 2.0 的情况下，仅显示控制器名称、类型、固件版本以及是否支持带外管理。

l 您可以从 RAID 控制卡用户指南的“技术规格”章节中查询该 RAID 卡是否支持 BMC 带外管理。

l 请不要在 RAID 卡侧将其工作模式设置为 JBOD ， BMC 无法识别该模式下的 RAID 卡。详细信息请参考各服务器的 RAID 控制卡用户指南。

逻辑盘信息：

名称、状态、 RAID 级别、容量、条带大小、 SSCD 功能启用状态、默认读策略、当前读策略、默认写策略、当前写策略、默认 IO 策略、当前 IO 策略、物理盘缓存状态、访问策略、初始化类型、后台初始化启用状态、二级缓存启用状态、一致性校验运行状态、系统盘符、是否为启动盘。

l RAID 控制器不支持带外管理且未安装运行 iBMA 2.0 的情况下，无法显示 RAID 控制器下的逻辑盘信息。

l 您可以从 RAID 控制卡用户指南的“技术规格”章节中查询该 RAID 卡是否支持 BMC 带外管理。

物理盘信息：

厂商、容量、型号、序列号、固件版本、固件状态、介质类型、接口类型、支持的速率、协商速率、 SAS 地址 (0) 、 SAS 地址 (1) 、电源状态、温度、热备状态、重构状态、巡检状态、健康状态、剩余磨损率、定位状态和累计通电时间。

l RAID 控制器不支持带外管理且未安装运行 iBMA 2.0 的情况下， RAID 控制器下挂载的物理盘仅显示接口类型。

l 直通硬盘仅支持显示健康状态、定位状态和接口类型，且接口类型显示为“ SAS/SATA ”。

l 您可以从 RAID 控制卡用户指南的“技术规格”章节中查询该 RAID 卡是否支持 BMC 带外管理。

l 仅 SATA 硬盘及希捷 SAS 硬盘支持累计通电时间的查询。

l 对于 NVMe 硬盘，如果服务器 OS 为 Windows 或 VMware ，由于其不支持 NVMe 硬盘接口的速率协商特性，此处 “ 协商速率 ” 显示为 “NA” 。

l 剩余磨损率表示 SSD 硬盘的使用寿命。剩余磨损率越大，表示硬盘的损耗越小，使用寿命越长；剩余磨损率越小，表示硬盘的损耗越大，使用寿命越短。例如剩余磨损率为 100% ，表示硬盘没有损耗。

l M.2 硬盘不支持显示定位状态信息。

执行此操作需满足以下条件：

l RAID 卡支持 BMC 带外管理或已在 OS 侧安装并运行 iBMA 2.0 。您可以从 RAID 控制卡用户指南的“技术规格”章节中查询该 RAID 卡是否支持 BMC 带外管理。

l BIOS 启动完成。

右侧区域显示 RAID 控制器的基本属性，如 图 3-12 所示。

执行此操作需满足以下条件：

l RAID 卡支持 BMC 带外管理或已在 OS 侧安装并运行 iBMA 2.0 。您可以从 RAID 控制卡用户指南的“技术规格”章节中查询该 RAID 卡是否支持 BMC 带外管理。

l BIOS 启动完成。

右侧区域显示 RAID 组的基本属性，如 图 3-13 所示。

l 必须为 RAID 卡管理的硬盘。

l RAID 卡支持 BMC 带外管理或已在 OS 侧安装并运行 iBMA 2.0 。您可以从 RAID 控制卡用户指南的“技术规格”章节中查询该 RAID 卡是否支持 BMC 带外管理。

l BIOS 启动完成。

执行此操作需满足以下条件：

l RAID 卡支持 BMC 带外管理。您可以从 RAID 控制卡用户指南的“技术规格”章节中查询该 RAID 卡是否支持 BMC 带外管理。

l BIOS 启动完成。

l 加入逻辑盘的物理盘固件状态为 UNCONFIGURED GOOD 。

l RAID 卡支持 BMC 带外管理。您可以从 RAID 控制卡用户指南的“技术规格”章节中查询该 RAID 卡是否支持 BMC 带外管理。

l 当前 RAID 控制卡下的逻辑盘数量未达到 RAID 控制卡所支持的最大数量。

l BIOS 启动完成。

逻辑盘的数据写策略，包括：

l Write Through ：当磁盘子系统接受到所有传输数据后，控制器将给主机返回数据传输完成信号。

l Write Back with BBU ：在控制器无 BBU 或 BBU 损坏的情况下，控制器将自动切换到 Write Through 模式。

l Write Back ：当控制器 Cache 收到所有的传输数据后，将给主机返回数据传输完成信号。

应用于特殊的逻辑盘读取，不影响预读取 Cache 。包括：

l Cached IO ：所有读和写均经过 RAID 控制器 Cache 处理。仅在配置 CacheCade 1.1 时需要设置为此参数值，其他场景不推荐。

l Direct IO ：在读、写场景中的定义不同：

− 在读场景中，直接从物理盘读取数据。（如果“读策略”被设置为“ Read Ahead ”，此时读数据经过 RAID 控制器的 Cache 处理。）

− 在写场景中，写数据经过 RAID 控制器的 Cache 处理。（如果“写策略”被设置为“ Write Through ”，此时写数据不经过 RAID 控制器的 Cache 处理，直接写入物理盘。）

物理盘 Cache 策略，包括：

l Enable ：读写过程中数据经过物理盘写 Cache ，使写性能提升，但当系统意外掉电时，如果没有保护机制，数据会丢失。

l Disable ：读写过程中数据不经过物理盘写 Cache ，当系统意外掉电时，数据不会丢失。

l Disk's default ：保持默认的缓存策略。

创建逻辑盘后，对其采用的初始化方式，包括：

l No Init ：不进行初始化。

l Quick Init ：只把逻辑盘的前 100MByte 空间进行全写 0 操作，随后此逻辑盘的状态就变为“ Optimal ”。

l Full Init ：需要把整个逻辑盘都初始化为 0 ，才会结束初始化过程，在此之前逻辑盘状态为“ initialization ”。

l 必须为 RAID 卡管理的硬盘。

l RAID 卡支持 BMC 带外管理。您可以从 RAID 控制卡用户指南的“技术规格”章节中查询该 RAID 卡是否支持 BMC 带外管理。

l BIOS 启动完成。

逻辑盘的数据写策略，包括：

l Write Through ：当磁盘子系统接受到所有传输数据后，控制器将给主机返回数据传输完成信号。

l Write Back with BBU ：在控制器无 BBU 或 BBU 损坏的情况下，控制器将自动切换到 Write Through 模式。

l Write Back ：当控制器 Cache 收到所有的传输数据后，将给主机返回数据传输完成信号。

应用于特殊的逻辑盘读取，不影响预读取 Cache 。包括：

l Cached IO ：所有读和写均经过 RAID 控制器 Cache 处理。仅在配置 CacheCade 1.1 时需要设置为此参数值，其他场景不推荐。

l Direct IO ：在读、写场景中的定义不同：

− 在读场景中，直接从物理盘读取数据。（“读策略”设置为“ Read Ahead ”时除外，此时读数据经过 RAID 控制器的 Cache 处理。）

− 在写场景中，写数据经过 RAID 控制器的 Cache 处理。（“写策略”设置为“ Write Through ”时除外，此时写数据不经过 RAID 控制器的 Cache 处理，直接写入物理盘。）

物理盘 Cache 策略，包括：

l Enabled ：读写过程中数据经过物理盘写 Cache ，使写性能提升，但当系统意外掉电时，如果没有保护机制，数据会丢失。

l Disabled ：读写过程中数据不经过物理盘写 Cache ，当系统意外掉电时，数据不会丢失。

l Disk's default ：保持默认的缓存策略。

l 必须为 RAID 卡管理的硬盘。

l RAID 卡支持 BMC 带外管理。您可以从 RAID 控制卡用户指南的“技术规格”章节中查询该 RAID 卡是否支持 BMC 带外管理。

l BIOS 启动完成。

l 设置是否开启功率封顶功能，限制服务器的封顶功率。

l 查看系统近一周或近一天的历史平均功率和峰值功率曲线，以及每个采样时间点获取的服务器功率，也可以重新统计功率。

系统的采样时间间隔为 10 分钟。

l 对服务器操作系统进行上电、下电或重启操作。

l 设置服务器面板电源按钮。

l 设置服务器操作系统的通电开机策略。

显示电源模块当前的工作模式，包括：

l 负载均衡：多个电源模块同时为系统供电，均摊系统所需功耗。

此种工作模式整体供电能力高，单路供电故障时，对备用电源模块的冲击较小，但是电源模块供电效率低，耗电量大。

l 主备供电：其中一个或多个电源模块为主供电模块，为系统供电，其他电源模块作为备份。

此种工作模式能够提高电源模块供电效率，延长电源模块使用寿命。

默认取值：负载均衡

l 在系统功耗较小的情况下，主备供电模式更为节能。

l 主备供电模式下且 Redfish 未开启 N+R 时，若系统功耗大于等于主用电源模块额定功率的 75% 时，会自动切换为负载均衡模式。

l 开启主备供电功能，主用电源个数必须大于或等于备用电源个数。

l 若已通过 Redfish 接口开启 N+R ，则不支持设置电源的工作模式。

开启深度休眠模式，系统下电后，如果所有主用电源被拔掉或者发生故障导致输出关闭，整机会掉电 10 秒左右，然后处于深度休眠模式的电源会自动打开输出。

开启深度休眠，系统下电后，进入深度休眠模式的电源会关闭输出；关闭深度休眠或系统上电后，进入深度休眠模式的电源会恢复输出。

提供自定义接口，用户可自行设置 CPU 目标温度以及进风口各温度区域对应的风扇转速。

l “ CPU 目标调速温度值”及“温度区间对应转速值”为“用户自定义模式”下的可配置参数，其他模式下无法查看和配置此参数。

l 设置“ CPU 目标调速温度值”及“温度区间对应转速值”时，服务器会根据当前负载及散热情况，提示可设置的取值范围。请根据提示信息设置。

l 较高温度区间对应的转速值必须大于较低温度区间对应的转速值。

l 用户自定义模式下，不同服务器支持的参数不同，请以界面实际显示情况为准。

l 如果实际温度值高于设置的目标调速温度值， BMC 将提高风扇转速以降低温度；如果实际温度值低于设置的目标调速温度值， BMC 将根据 “ 温度区间对应转速值 ” 调节风扇转速。

l 在 CPU 更换场景下，如果新 CPU 所允许设置的最高目标调速温度值低于当前设置的“ CPU 目标调速温度值”时， BMC 自动将“ CPU 目标调速温度值”修改为新 CPU 允许设置的最大温度值。

l 硬盘：表示强制从硬盘启动系统。

l 光驱：表示强制从 CD/DVD 启动系统。

l 软驱 / 可拔插移动设备：表示强制从软驱或可拔插移动设备启动系统。

l PXE ：表示强制从预启动执行环境（ PXE ， Pre-boot Execution Environment ）启动系统。

l BIOS 设置：表示服务器启动后直接进入 BIOS 菜单中。

l 未配置：表示不设置第一启动设备，按 BIOS 中设置的方式启动操作系统。

l 单次有效：优先引导介质的设置仅在下一次重启时生效，重启完成后，优先引导介质自动恢复为“未配置”。

l 永久有效：优先引导介质的设置永久有效。

事件的级别。

选择 Syslog 报文上报信息的格式。

l 自定义： Syslog 报文上报的信息包括 Syslog 消息的优先级、产品名称、 Syslog 主机标识、设备位置以及日志类型。

l RFC3164 ： Syslog 报文消息的格式遵循 RFC3164 规范，上报的信息包括 Syslog 消息的优先级、时间戳、主机名称、进程名称以及日志类型。

l 证书吊销列表表示证书吊销的状态：

l 已配置：表示该证书的吊销文件已上传，在 TLS 连接时，会进行证书吊销校验。

l 未配置：表示该证书的吊销文件未上传。

l 证书吊销文件的格式为 “*.crl” ，编码格式为 Base64 ，最大不超过 100KB 。

l 吊销列表过期会导致相应的认证功能失败。

l 通过“操作日志”区域框，您可以查看系统启动过程中的信息记录，包括启动信息和状态转移，还可以查看用户对 BMC 执行的设置类操作日志，并可下载操作日志。

BMC 为操作日志提供 200KB 的存储空间，可记录约 2000 条操作日志。

操作日志达到 200KB 时会自动压缩成 1 个压缩包，当有新的压缩包生成，会自动删除旧的压缩包。

上下电及重启记录的成功操作日志，只表示软件触发动作成功，不代表硬件真正成功。

l 通过“运行日志”区域框，您可以查看服务器 RAS 相关日志。

BMC 为运行日志提供 200KB 的存储空间，可记录约 2000 条运行日志。

运行日志达到 200KB 时会自动压缩成 1 个压缩包，当有新的压缩包生成，会自动删除旧的压缩包。

l 通过“安全日志”区域框，您可以：

− 查看用户通过串口、 SSH 接口登录、退出 BMC 系统以及设置类操作的日志。

− 查看用户通过 SNMP 接口执行的查询类和设置类操作的日志。

− 下载安全日志。

BMC 为安全日志提供 200KB 的存储空间，可记录约 2000 条安全日志。

安全日志达到 200KB 时会自动压缩成 1 个压缩包，当有新的压缩包生成时，会自动删除旧的压缩包。

l 定位按钮或电源按钮被按下。

l 接口为 SNMP 且版本为 v1 或 v2c 。

l 接口为 IPMI 且 IP 地址为 HOST （此条日志记录了业务侧发来的 IPMI 消息）或管理板。

l 跳帽重置 IP 和默认用户密码。

l 部件热插拔。

l “ IP 地址”显示为“ HMM ”表示操作由管理板执行。

l “ IP 地址”显示为“ HOST ”表示操作由业务侧执行。

l “ IP 地址”显示为“ X.X.X.X ”表示由登录设备的客户端执行。

以下情况中，“ IP 地址”显示为“ 127.0.0.1 ”表示本操作由本机执行。

l 定位按钮或电源按钮被按下。

l 接口为本地串口。

l 跳帽重置 IP 和默认用户密码。

l 部件热插拔。

l 工作记录单条最大允许输入 255 个字符， BMC 最多支持 20 条工作记录。记录满 20 条后，若需新增记录，需删除旧的记录以释放空间。

l 工作记录的内容是所有用户可见、所有用户可编辑的。

在导航栏中选择“维护诊断 > 工作记录”，打开如 图 3-35 所示界面。

用户所属的权限分组。

l 管理员：该权限组的用户，拥有所有功能模块的操作权限，其支持的功能模块不可更改。

l 操作员：该权限组的用户，拥有“常规设置”、“远程控制”、“远程媒体”、“电源控制”、“查询功能”和“配置自身”模块的操作权限，其支持的功能模块不可更改。

l 普通用户：该权限组的用户，拥有与自身相关的“查询功能”和“配置自身”模块的操作权限，其支持的功能模块不可更改。

l 自定义用户：管理员可为自定义用户指定可操作的功能模块。

l 无权限用户：该权限组的用户，不拥有任何权限，常用于定义搁置的用户。

用户登录 BMC 的接口，用户可通过已使能的接口登录 BMC 系统。

l SNMP ：使能该接口后，用户可使用符合 SNMP 协议的终端工具（例如 MIB Browser ）登录 BMC 系统。

l SSH ：使能该接口后，用户可使用符合 SSH 协议的终端工具（例如 PuTTY ）登录 BMC 命令行。

l IPMI ：使能该接口后，用户可使用符合 IPMI 协议的终端工具（例如 IPMI Tool ）登录 BMC 命令行。

l Local ：使能该接口后，用户可通过服务器的串口登录 BMC 命令行。

l SFTP ：使能该接口后，用户可使用符合 SFTP 协议的终端工具（例如 Xftp ）登录 BMC 文件系统。

l Web ：使能该接口后，用户可使用浏览器登录 BMC Web 界面。

l Redfish ：使能该接口后，用户可使用符合 Redfish 协议的终端工具登录 BMC 系统。

l 包括管理员、操作员、普通用户、自定义用户在内的所有本地用户均可删除。

l 当 BMC 中存在多个启用的管理员时，可以修改默认用户的权限。当仅有一个启用的管理员用户时，该管理员用户不能被修改权限、禁用或删除。

l 若已在“用户 & 安全 > 安全增强”页面开启了“业务侧用户管理使能”，可在 OS 侧通过发送标准的 IPMI 命令为 BMC 添加本地用户。

l 禁用密码检查功能会降低系统安全性，请尽量启用此功能。

取值范围：

l 关闭密码检查功能后，密码不能为空，可以是数字、英文字母和特殊字符组成的长度不大于 20 的字符串。如果密码长度小于 8 个字符，该用户将无法使用 SNMPv3 接口。

l 启用密码检查功能后，密码复杂度要求：

− 长度为 8 ～ 20 个字符。

− 至少包含一个空格或者以下特殊字符：

`~!@#$%^&*()-_=+\|[{}];:'",<.>/?

− 至少包含以下字符中的两种：

− 小写字母： a ～ z

− 大写字母： A ～ Z

− 数字： 0 ～ 9

− 密码不能是用户名或用户名的倒序。

− 新旧口令至少在 2 个字符位上不同（ BMC V3.01.12.01 及以上版本无此要求）。

l 弱口令字典认证功能使能的情况下，密码不能在弱口令字典中。（弱口令可通过导出弱口令字典命令 ipmcset -t user -d weakpwddic -v export 获取。）

l 默认密码 “Password@_” 在弱口令字典中。

l 使用完全由重复子串构成的口令可能会有安全风险，例如 aa 、 abababab 或 abcdabcd 等，请尽量避免。

用户所属的权限分组。

l 管理员：该权限组的用户，拥有所有功能模块的操作权限，其支持的功能模块不可更改。

l 操作员：该权限组的用户，拥有“常规设置”、“远程控制”、“远程媒体”、“电源控制”、“查询功能”和“配置自身”模块的操作权限，其支持的功能模块不可更改。

l 普通用户：该权限组的用户，拥有与自身相关的“查询功能”和“配置自身”模块的操作权限，其支持的功能模块不可更改。

l 自定义用户：管理员可为自定义用户指定可操作的功能模块。

l 无权限用户：该权限组的用户，不拥有任何权限，常用于定义搁置的用户。

新建用户默认权限为“无权限用户”。

用户可用于登录的接口，用户可通过已启用的接口登录 BMC 系统。

l SNMP ：使能该接口后，用户可使用符合 SNMP 协议的终端工具（例如 MIB Browser ）登录 BMC 系统。

l SSH ：使能该接口后，用户可使用符合 SSH 协议的终端工具（例如 PuTTY ）登录 BMC 命令行。

l IPMI ：使能该接口后，用户可使用符合 IPMI 协议的终端工具（例如 IPMI Tool ）登录 BMC 命令行。

l Local ：使能该接口后，用户可通过服务器的串口登录 BMC 命令行。

l SFTP ：使能该接口后，用户可使用符合 SFTP 协议的终端工具（例如 Xftp ）登录 BMC 文件系统。

l Web ：使能该接口后，用户可使用浏览器登录 BMC Web 界面。

l Redfish ：使能该接口后，用户可使用符合 Redfish 协议的终端工具登录 BMC 系统。

新建用户默认支持所有登录接口。

待修改用户的新密码。

取值范围：

l 关闭密码检查功能后，密码不能为空，可以是数字、英文字母和特殊字符组成的长度不大于 20 的字符串。如果密码长度小于 8 个字符，该用户将无法使用 SNMPv3 接口。

l 启用密码检查功能后，密码复杂度要求：

− 长度为 8 ～ 20 个字符。

− 至少包含一个空格或者以下特殊字符：

`~!@#$%^&*()-_=+\|[{}];:'",<.>/?

− 至少包含以下字符中的两种：

− 小写字母： a ～ z

− 大写字母： A ～ Z

− 数字： 0 ～ 9

− 密码不能是用户名或用户名的倒序。

− 新旧口令至少在 2 个字符位上不同（ BMC V3.01.12.01 及以上版本无此要求）。

l 弱口令字典认证功能使能的情况下，密码不能在弱口令字典中。（弱口令可通过导出弱口令字典命令 ipmcset -t user -d weakpwddic -v export 获取。）

l 默认密码 “Password@_” 在弱口令字典中。

l 使用完全由重复子串构成的口令可能会有安全风险，例如 aa 、 abababab 或 abcdabcd 等，请尽量避免。

用户所属的权限分组。

l 管理员：该权限组的用户，拥有所有功能模块的操作权限，其支持的功能模块不可更改。

l 操作员：该权限组的用户，拥有“常规设置”、“远程控制”、“远程媒体”、“电源控制”、“查询功能”和“配置自身”模块的操作权限，其支持的功能模块不可更改。

l 普通用户：该权限组的用户，拥有与自身相关的“查询功能”和“配置自身”模块的操作权限，其支持的功能模块不可更改。

l 自定义用户：管理员可为自定义用户指定可操作的功能模块。

l 无权限用户：该权限组的用户，不拥有任何权限，常用于定义搁置的用户。

用户可用于登录的接口，用户可通过已启用的接口登录 BMC 系统。

l SNMP ：使能该接口后，用户可使用符合 SNMP 协议的终端工具（例如 MIB Browser ）登录 BMC 系统。

l SSH ：使能该接口后，用户可使用符合 SSH 协议的终端工具（例如 PuTTY ）登录 BMC 命令行。

l IPMI ：使能该接口后，用户可使用符合 IPMI 协议的终端工具（例如 IPMI Tool ）登录 BMC 命令行。

l Local ：使能该接口后，用户可通过服务器的串口登录 BMC 命令行。

l SFTP ：使能该接口后，用户可使用符合 SFTP 协议的终端工具（例如 Xftp ）登录 BMC 文件系统。

l Web ：使能该接口后，用户可使用浏览器登录 BMC Web 界面。

l Redfish ：使能该接口后，用户可使用符合 Redfish 协议的终端工具登录 BMC 系统。

l 开启某个用户的 IPMI 登录接口，需要重置该用户的登录密码。

l 更改某个用户的 SNMP 鉴权算法，需要重置该用户的登录密码和 SNMPv3 加密密码。

当登录接口勾选“ SNMP ”时，需要同时设置此参数。

使用指定用户进行 SNMP 通信时，可为其设置独立的加密密码来保障通信的安全性。其密码规则与本地用户的密码规则一致。

默认取值：与该用户的登录密码一致。

l 未独立设置 SNMPv3 加密密码时，该密码与用户登录密码同步，存在安全隐患，建议尽快修改并妥善保存。独立设置 SNMPv3 加密密码后，该密码不再与用户登录密码同步。

l 使用完全由重复子串构成的口令可能会有安全风险，例如 aa 、 abababab 或 abcdabcd 等，请尽量避免。

l 该设置对“ SNMPv3 ”和“ SNMP Trap V3 ”都有效。

l MD5 算法和 SHA 算法存在安全隐患，建议使用 SHA256 、 SHA384 或 SHA512 算法。

l 鲲鹏服务器主板 S920X02 和 S920X03 默认取值为 SHA ，其他型号主板默认取值为 SHA256 。

l 当与上层网管对接时，当前鉴权算法类型需要与网管侧保持一致。

l 在客户端生成私钥后，需要在 BMC 侧导入对应的公钥，保证用户通过 SSH 登录 BMC 系统的安全性和唯一性。

l 每个用户只能导入一个公钥，若需要变更公钥，需要删除已导入的公钥后再导入新的公钥。

l 支持 RFC 4716 和 OpenSSH 格式的公钥，公钥类型为 RSA 或 DSA 。当公钥类型为 RSA 时，支持长度为 2048 位和 4096 位。当公钥类型为 DSA 时，支持长度为 2048 位。

控制器 1

BMC 可同时配置 6 个域服务器。用户使用 LDAP 方式登录 BMC 的 WebUI 时，可指定任意一个控制器，或自动适配任意一个控制器。

控制器 2 ～控制器 6 的配置与控制器 1 类似，均需配置如下参数。

带 “*” 的项目为必配参数。

LDAP 服务器的地址。

输入格式： IPv4 地址、 IPv6 地址或域名。

启用证书验证功能后，该处需要配置为 LDAP 服务器的 FQDN （主机名 . 域名），且需要在网络配置部分配置 DNS 。

域名的取值原则：

l 最大长度为 255 个字符。

l 可由数字、大小写英文字母和连接号（ - ），点号（ . ）组成。

l 连接号不能作为域名的开头或结尾，点号不能作为域名的开头。

l 任意两个点号之间的字符长度不允许超过 63 。

l 最大长度为 255 个字符。

l 可由数字、大小写英文字母和连接号（ - ），点号（ . ）组成。

l 连接号不能作为域名的开头或结尾，点号不能作为域名的开头。

l 任意两个点号之间的字符长度不允许超过 63 。

能够登录 BMC 的 LDAP 用户在 LDAP 服务器上所属的目录。

输入节点的格式为：“ CN=xxx ”或“ OU=xxx ”，当存在多层级节点时，下级节点在前，上级节点在后，依次排列，用半角逗号隔开。

例如，可登录 BMC 的用户“ infotest ”在 LDAP 服务器上所属的路径为“ \testusers\part1 ”，则此处需要输入的内容为“ OU=part1,OU=testusers ”。

节点属性 “CN” 和 “OU” 的区别，请参考 LDAP 协议的详细介绍。

例如，在 Windows AD 中：

l 节点的 “Type” 参数为 “Container” 时，节点属性为 “CN” 。

l 节点的 “Type” 参数为 “Organizational Unit” 时，节点属性为 “OU” 。

取值范围： BMC 为此参数分配了 255 字节的空间。由于不同编码格式下字符所占字节数不同，此处支持的最大字符串长度为 64 ～ 255 。

是否对远端域控制器进行证书验证。

从安全性考虑，请尽量开启证书验证。开启证书验证后需要导入 LDAP CA 证书； LDAP 服务器端需要安装 AD 、 DNS 、 CA 证书颁发机构，将 CA 证书导入 LDAP 服务器和 BMC 系统。

默认值：关闭

对 LDAP 证书进行校验的级别。

l “ Demand ”：证书校验过程中，当检查到客户端证书错误或没有证书时，不允许登录 BMC 。从安全性考虑，请尽量保持默认值“ Demand ”。

l “ Allow ”：证书校验过程中，当检查到客户端证书错误或没有证书时，仍允许登录 BMC 。

默认值：“ Demand ”

LDAP 用户组的权限角色。

l 管理员：该权限组的用户，拥有所有功能模块的操作权限，其支持的功能模块不可更改。

l 操作员：该权限组的用户，拥有“常规设置”、“远程控制”、“远程媒体”、“电源控制”、“查询功能”和“配置自身”模块的操作权限，其支持的功能模块不可更改。

l 普通用户：该权限组的用户，拥有与自身相关的“查询功能”和“配置自身”模块的操作权限，其支持的功能模块不可更改。

l 自定义用户：管理员可为自定义用户指定可操作的功能模块。

LDAP 组使能的登录接口，通过该接口， LDAP 组的成员可登录 BMC 系统。

取值范围：

l SSH ：使能该接口后，用户可使用符合 SSH 协议的终端工具（例如 PuTTY ）登录 BMC 命令行。

l Web ：使能该接口后，用户可使用浏览器登录 BMC WebUI 。

l Redfish ：使能该接口后，用户可使用符合 Redfish 协议的终端工具登录 BMC 系统。

能够登录 BMC 的 LDAP 组在 LDAP 服务器上所属的目录。

输入节点的格式为：“ CN=xxx ”或“ OU=xxx ”，当存在多层级节点时，下级节点在前，上级节点在后，依次排列，用半角逗号隔开。

例如，可登录 BMC 的用户“ infotest ”在 LDAP 服务器上所属的路径为“ \testusers\part1 ”，则此处需要输入的内容为“ OU=part1,OU=testusers ”。

节点属性 “CN” 和 “OU” 的区别，请参考 LDAP 协议的详细介绍。

例如，在 Windows AD 中：

l 节点的 “Type” 参数为 “Container” 时，节点属性为 “CN” 。

l 节点的 “Type” 参数为 “Organizational Unit” 时，节点属性为 “OU” 。

取值范围： BMC 为此参数分配了 255 字节的空间。由于不同编码格式下字符所占字节数不同，此处支持的最大字符串长度为 64 ～ 255 。

能够登录 BMC 的 LDAP 组在 LDAP 服务器上所属的目录。

输入节点的格式为：“ CN=xxx ”或“ OU=xxx ”，当存在多层级节点时，下级节点在前，上级节点在后，依次排列，用半角逗号隔开。

例如，可登录 BMC 的用户“ infotest ”在 LDAP 服务器上所属的路径为“ \testusers\part1 ”，则此处需要输入的内容为“ OU=part1,OU=testusers ”。

节点属性 “CN” 和 “OU” 的区别，请参考 LDAP 协议的详细介绍。

例如，在 Windows AD 中：

l 节点的 “Type” 参数为 “Container” 时，节点属性为 “CN” 。

l 节点的 “Type” 参数为 “Organizational Unit” 时，节点属性为 “OU” 。

取值范围： BMC 为此参数分配了 255 字节的空间。由于不同编码格式下字符所占字节数不同，此处支持的最大字符串长度为 64 ～ 255 。

LDAP 组使能的登录接口，通过该接口， LDAP 组的成员可登录 BMC 系统。

取值范围：

l SSH ：使能该接口后，用户可使用符合 SSH 协议的终端工具（例如 PuTTY ）登录 BMC 命令行。

l Web ：使能该接口后，用户可使用浏览器登录 BMC WebUI 。

l Redfish ：使能该接口后，用户可使用符合 Redfish 协议的终端工具登录 BMC 系统。

通过使用“ Kerberos ”界面的功能，您可以查看和设置 Kerberos 基本属性和 Kerberos 用户组的信息。

BMC 系统提供 Kerberos 用户的接入功能。使用 Kerberos 登录 BMC 系统可以提高系统安全性。 Kerberos 用户可登录 BMC WebUI 。

在导航栏中选择“用户 & 安全 > Kerberos ”，打开如 图 3-39 所示界面。

Kerberos 服务器的地址。

启用 Kerberos 功能后，该处需要配置为 Kerberos 服务器的 FQDN （主机名 . 域名），且需要在网络配置部分配置 DNS 。

输入格式： IPv4 地址、 IPv6 地址或域名。

域名的取值原则：

l 最大长度为 255 个字符。

l 可由数字、大小写英文字母和连接号（ - ），点号（ . ）组成。

l 连接号不能作为域名的开头或结尾，点号不能作为域名的开头。

l 任意两个点号之间的字符长度不允许超过 63 。

安全标识符（ Security Identifiers ）。用于 Kerberos 和用户组授权。例如，“ S-1-5-21-310440588-250036847-580389505-500 ”。

取值范围： BMC 为此参数分配了 255 字节的空间。由于不同编码格式下字符所占字节数不同，此处支持的最大字符串长度为 64 ～ 255 。

Kerberos 用户组的权限角色。

l 管理员：该权限组的用户，拥有所有功能模块的操作权限，其支持的功能模块不可更改。

l 操作员：该权限组的用户，拥有“常规设置”、“远程控制”、“远程媒体”、“电源控制”、“查询功能”和“配置自身”模块的操作权限，其支持的功能模块不可更改。

l 普通用户：该权限组的用户，拥有与自身相关的“查询功能”和“配置自身”模块的操作权限，其支持的功能模块不可更改。

l 自定义用户：管理员可为自定义用户指定可操作的功能模块。

能够登录 BMC 的 Kerberos 用户组在 Kerberos 服务器上所属的目录。

输入节点的格式为：“ CN=xxx ”或“ OU=xxx ”，当存在多层级节点时，下级节点在前，上级节点在后，依次排列，用半角逗号隔开。

例如，可登录 BMC 的 Kerberos 用户组“ grouptest ”在 Kerberos 服务器上所属的路径为“ \testgroups\part1 ”，则此处需要输入的内容为“ OU=part1,OU=testgroups ”。

节点属性 “CN” 和 “OU” 的区别，请参考 Kerberos 协议的详细介绍。

例如，在 Windows AD 中：

l 节点的 “Type” 参数为 “Container” 时，节点属性为 “CN” 。

l 节点的 “Type” 参数为 “Organizational Unit” 时，节点属性为 “OU” 。

取值范围： BMC 为此参数分配了 255 字节的空间。由于不同编码格式下字符所占字节数不同，此处支持的最大字符串长度为 64 ～ 255 。

能够登录 BMC 的 Kerberos 用户组在 Kerberos 服务器上所属的目录。

输入节点的格式为：“ CN=xxx ”或“ OU=xxx ”，当存在多层级节点时，下级节点在前，上级节点在后，依次排列，用半角逗号隔开。

例如，可登录 BMC 的 Kerberos 用户组“ grouptest ”在 Kerberos 服务器上所属的路径为“ \testgroups\part1 ”，则此处需要输入的内容为“ OU=part1,OU=testgroups ”。

节点属性 “CN” 和 “OU” 的区别，请参考 Kerberos 协议的详细介绍。

例如，在 Windows AD 中：

l 节点的 “Type” 参数为 “Container” 时，节点属性为 “CN” 。

l 节点的 “Type” 参数为 “Organizational Unit” 时，节点属性为 “OU” 。

取值范围： BMC 为此参数分配了 255 字节的空间。由于不同编码格式下字符所占字节数不同，此处支持的最大字符串长度为 64 ～ 255 。

双因素认证是使用客户端证书密码以及证书来进行认证，登录时需要同时拥有客户端证书及证书密码才能认证通过，解决了传统的帐号口令认证中口令泄露导致的入侵问题。

您可以通过“双因素认证”界面将从正式的 CA 认证机构申请的根证书和客户端证书上传到 BMC ，实现客户端与 BMC WebUI 的安全对接。

在导航栏中选择“用户 & 安全 > 双因素认证”，打开如 图 3-40 所示界面。

是否使能双因素认证功能。使能该功能后，在客户端登录 BMC WebUI 时，将使用证书认证登录，而不是需要输入用户名和密码的登录界面登录。

取值范围：

l “ GUI(SSO) ”表示用户通过单点登录方式登录 BMC WebUI 。

l “ GUI ”表示用户通过非单点登录方式登录 BMC WebUI 。

l “ CLI ”表示用户通过命令行视图登录 BMC 系统。

l “ KVM ”表示用户通过远程虚拟控制台登录服务器操作系统。

l “ Redfish ”表示用户通过 Redfish 接口登录 BMC 系统。

l “ VNC ”表示用户通过 VNC 客户端登录服务器操作系统。

若开启此功能，可以确保系统在根据实际需要配置后，除以下操作允许执行外，其他更改系统配置的尝试都将被阻止：

l 服务器系统上下电

l UID 指示灯和硬盘指示灯的点亮、闪烁与关闭

l HTML5 集成远程控制台、 Java 集成远程控制台的使用

l 虚拟媒体的使用

l Syslog 、 SNMP 和 SMTP 功能的测试和告警模拟

仅当许可证级别为高级版时，才能显示此功能。只有拥有管理员权限的用户有权限设置。

开启或关闭业务侧对用户的管理功能。

关闭业务侧用户管理功能时，业务侧发送过来的用户管理相关的 IPMI 命令无效，例如用户添加 / 删除、权限设置、密码设置等 IPMI 命令。

默认为开启状态。

l “开启”表示业务侧可以对用户进行管理。

l “关闭”表示业务侧不能对用户进行管理。

建议关闭业务侧用户管理功能，否则业务侧可以对 BMC 用户进行管理，产生安全隐患。

针对每个用户的密码进行复杂度检查。

系统默认启用密码检查功能。该选项同时适用于：

l 本地用户密码、 Trap 团体名、 SNMPv1/v2c 团体名、 SNMPv3 加密密码、 VNC 密码的复杂度检查。

l 本地用户密码和 SNMPv3 加密密码的最小长度检查。

l 禁用密码检查功能会降低系统安全性，请尽量启用此功能。

l 弱口令字典认证功能使能的情况下，密码不能在弱口令字典中。（弱口令可通过导出弱口令字典命令 ipmcset -t user -d weakpwddic -v export 获取。）

启用或关闭 SSH 密码认证功能。

l 关闭：表示通过 SSH 登录 BMC 时，只能使用公钥认证。

l 启用：表示通过 SSH 登录 BMC 时，可使用密码认证，也可以使用公钥认证。

默认为开启状态。

浏览器与 Web 服务器通讯时，需要建立安全链接。

l TLS 1.2 及更高版本：表示支持使用 TLS 1.2 协议或 TLS 1.3 协议。

l 仅限 TLS 1.3 ：表示仅支持使用 TLS 1.3 协议。

l 如果安全配置项中仅开启 TLS 1.3 协议，则无法开启双因素认证。

l 仅开启 TLS 1.3 时，访问 Java 集成控制台需要的 JRE 版本为 AdoptOpenJDK 11 JRE 。

可设置用户触发登录失败锁定的登录失败次数以及锁定的时长。

l 登录失败次数取值范围为 1 ～ 6 以及不限制（即关闭登录失败锁定功能），默认值为 5 。

l 登录失败锁定时长取值范围为 1 ～ 30 ，单位为分钟，默认值为 5 。

用户被锁定后，在锁定时长内不能继续登录。

l 关闭登录失败锁定功能会降低系统安全性，请尽量启用此功能。

l 紧急情况下需要解锁时，可在命令行下执行 unlock 命令。

BMC 证书过期提前上报告警的时间，单位为天。例如证书过期提前告警时间设置为 7 ，表示当 BMC 中有证书距离过期时间还有小于或等于 7 天时，上报告警。

取值范围为 7 ～ 180 。

默认值： 90

规则允许用户登录服务器的时间段。支持如下三种格式：

l YYYY-MM-DD ：规则允许用户登录的起始日期和结束日期，例如起始日期为 2013-08-30 ，结束日期为 2013-12-30 。

l HH:MM ：规则允许用户每日登录的时间段，例如起始时间为 08:30 ，结束时间为 20:30 。

l YYYY-MM-DD HH:MM ：规则允许用户登录的具体时间段，例如起始时间为 2013-08-30 08:30 ，结束时间为 2013-12-30 20:30 。

l 起始年份和结束年份只能在 1970 到 2050 之间。

l 同一条规则的起始时间和结束时间的格式必须保持一致。

l 通过 HTML5 集成远程控制台、 Java 集成远程控制台、独立远程控制台和 VNC 客户端访问服务器实时桌面

l 设置 KVM 超时时长、通信加密、本地 KVM 、虚拟键鼠持续连接、最大会话、活跃会话

l 设置 VNC 超时时长、键盘布局、 VNC 密码、登录规则、 SSL 加密

l 配置串口重定向

l Web 服务（设置 HTTP 及端口、 HTTPS 及端口、服务器证书信息）

l KVM （可以设置 KVM 使能、端口）

l VMM （可以设置 VMM 使能、端口）

l VNC （可以设置 VNC 使能、端口）

l SNMP （设置 SNMP 使能、端口）

l 告警上报（ syslog 配置）

l 一键收集