Modifications de l’authentification de base HTTP iDRAC

Accès à une ressource Redfish à partir d’un client générique et que l’authentification n’est pas fournie sur la demande d’origine (par exemple, les navigateurs Web) L’erreur suivante est renvoyée et il n’y a pas d’invites automatiques pour les informations d’identification. 

  {
    "error": {
        "code": "Base.1.8.GeneralError",
        "message": "A general error has occurred. See ExtendedInfo for more information.",
        "@Message.ExtendedInfo": [
        {
            "@odata.type": "#Message.v1_1_0.Message",
            "MessageId": "Base.1.8.AccessDenied",
            "Message": "The authentication credentials included with this request are missing or invalid.",
            "MessageArgs": [],
            "MessageArgs@odata.count": 0,
            "RelatedProperties":[],
            "RelatedProperties@odata.count": 0,
            "Severity": "Critical",
            "Resolution": "Attempt to ensure that the URI is correct and that the service has the appropriate credentials."
        }
        ]
    }
}

Nouveau comportement 

HTTPBasicAuth La valeur par défaut est définie sur Non annoncé. Si la demande HTTP initiale est envoyée sans en-tête d’authentification, le service n’annonce pas l’authentification de base dans l’en-tête de réponse WWW-Authenticate. Cela empêche les invites automatiques ou l’accès par des clients génériques (par exemple, des navigateurs).

< HTTP/1.1 401 Unauthorized
< Date: Mon, 09 Mar 2026 17:21:26 GMT
< Server: Apache

Comportement hérité 

La commande HTTPBasicAuth La valeur par défaut est définie sur Activé. Si la demande HTTP initiale est envoyée sans en-tête d’authentification, le service annonce l’authentification de base dans l’en-tête de réponse WWW-Authenticate. Cela permet des invites automatiques ou un accès par des clients génériques (par exemple, des navigateurs).

< HTTP/1.1 401 Unauthorized
< Date: Mon, 09 Mar 2026 17:21:57 GMT
< Server: Apache
< WWW-Authenticate: Basic realm="RedfishService"

À partir de l’iDRAC9 7.30.10.50 et de l’iDRAC10 1.30.10.50 , le paramètre par défaut d’authentification de base HTTP est passé à non annoncé (paramètre par défaut précédent activé). Ces modifications ont été apportées pour améliorer la sécurité des informations d’identification et réduire l’exposition involontaire de l’authentification HTTP de base dans les services Redfish.

Un nouveau contrôle configurable pour la gestion de l’authentification de base HTTP a été introduit dans Redfish AccountService, nom de propriété DMTF HTTPBasicAuth. Cette nouvelle propriété prend en charge trois valeurs possibles :

Non annoncé (nouveau paramètre par défaut) :

- Le service n’annonce pas de base dans l’en-tête de réponse WWW-Authenticate, ce qui empêche les invites automatiques ou l’accès par des clients génériques (par exemple, les navigateurs).

Activé : 

- L’authentification de base HTTP est activée et explicitement annoncée à l’aide de l’en-tête de base WWW-Authenticate : sur les réponses non autorisées 401.

Désactivé :

- L’authentification de base HTTP est complètement désactivée pour le service Redfish, d’autres méthodes telles que la session de jeton X-auth (recommandée) sont nécessaires pour effectuer des opérations Redfish. 

Les paramètres d’authentification HTTP de base peuvent être configurés à partir des interfaces Redfish, Web UI et RACADM iDRAC. 

Redfish: 

-	PATCH DMTF property HTTPBasicAuth under AccountService
-	PATCH OEM attribute Redfish.BasicAuthState under DellAttributes

RACADM:

-	Set OEM attribute iDRAC.Redfish.BasicAuthState

GUI:

-	iDRAC Settings -> Services -> Redfish -> HTTP Basic Authentication 

Lorsque BasicAuthState est défini sur Non annoncé, les clients doivent être explicites dans l’envoi des en-têtes d’authentification sur la demande initiale. Par exemple, le module ansible.builtin.uri doit spécifier l’attribut force_basic_auth: true afin d’envoyer un en-tête d’authentification de base à la première demande.