Basiswijzigingen in iDRAC HTTP-verificatie

Bij toegang tot een Redfish-resource vanaf een generieke client en geen verificatie is geboden bij de oorspronkelijke aanvraag (bijvoorbeeld webbrowsers), wordt de volgende fout geretourneerd en zijn er geen automatische prompts voor referenties. 

  {
    "error": {
        "code": "Base.1.8.GeneralError",
        "message": "A general error has occurred. See ExtendedInfo for more information.",
        "@Message.ExtendedInfo": [
        {
            "@odata.type": "#Message.v1_1_0.Message",
            "MessageId": "Base.1.8.AccessDenied",
            "Message": "The authentication credentials included with this request are missing or invalid.",
            "MessageArgs": [],
            "MessageArgs@odata.count": 0,
            "RelatedProperties":[],
            "RelatedProperties@odata.count": 0,
            "Severity": "Critical",
            "Resolution": "Attempt to ensure that the URI is correct and that the service has the appropriate credentials."
        }
        ]
    }
}

Nieuw gedrag 

HTTPBasicAuth standaardwaarde ingesteld op Ongeadverteerd. Als de eerste HTTP-aanvraag wordt verzonden zonder een verificatieheader, adverteert de service geen basisverificatie in de antwoordheader WWW-Authenticate. Dit voorkomt automatische prompts of toegang door generieke clients (bijvoorbeeld browsers).

< HTTP/1.1 401 Unauthorized
< Date: Mon, 09 Mar 2026 17:21:26 GMT
< Server: Apache

Legacy-gedrag 

De HTTPBasicAuth standaardwaarde ingesteld op Ingeschakeld. Als de eerste HTTP-aanvraag wordt verzonden zonder een verificatieheader, adverteert de service met basisverificatie in de antwoordheader WWW-Authenticate. Dit maakt automatische prompts of toegang door generieke clients (bijvoorbeeld browsers) mogelijk.

< HTTP/1.1 401 Unauthorized
< Date: Mon, 09 Mar 2026 17:21:57 GMT
< Server: Apache
< WWW-Authenticate: Basic realm="RedfishService"

Vanaf iDRAC9 7.30.10.50 en iDRAC10 1.30.10.50 is de standaardinstelling voor HTTP-basisverificatie gewijzigd in niet-geadverteerd (vorige standaardinstelling ingeschakeld). Deze wijzigingen zijn aangebracht om de beveiliging van referenties te verbeteren en onbedoelde blootstelling van HTTP-basisverificatie in Redfish-services te verminderen.

Er is een nieuw configureerbaar besturingselement voor de verwerking van HTTP-basisverificatie geïntroduceerd in de Redfish AccountService, DMTF-eigenschapsnaam HTTPBasicAuth. Deze nieuwe eigenschap ondersteunt drie mogelijke waarden:

Niet-geadverteerd (nieuwe standaardinstelling):

- De dienst adverteert niet basic in de WWW-Authenticate response header, dit voorkomt automatische prompts of toegang door generieke clients (bijvoorbeeld browsers).

Ingeschakeld: 

- HTTP-basisauthenticatie is ingeschakeld en wordt expliciet geadverteerd met behulp van de WWW-Authenticate: basic-header op 401 ongeautoriseerde reacties.

Uitgeschakeld:

- HTTP-basisverificatie is volledig uitgeschakeld voor de Redfish-service, andere methoden zoals X-auth-tokensessie (aanbevolen) zijn vereist om Redfish-bewerkingen uit te voeren. 

De HTTP-basisverificatie-instellingen kunnen worden geconfigureerd vanuit Redfish-, Web-UI- en RACADM iDRAC-interfaces. 

Redfish: 

-	PATCH DMTF property HTTPBasicAuth under AccountService
-	PATCH OEM attribute Redfish.BasicAuthState under DellAttributes

RACADM:

-	Set OEM attribute iDRAC.Redfish.BasicAuthState

GUI:

-	iDRAC Settings -> Services -> Redfish -> HTTP Basic Authentication 

Wanneer BasicAuthState is ingesteld op Niet geadverteerd, moeten clients expliciet zijn in het verzenden van verificatieheaders bij de eerste aanvraag. De ansible.builtin.uri-module moet bijvoorbeeld het volgende specificeren: force_basic_auth: true om bij het eerste verzoek een Basic Authentication header te verzenden.