Endringer i grunnleggende iDRAC HTTP-godkjenning
Summary: Fra og med iDRAC9 7.30.10.50 og iDRAC10 1.30.10.50 er standardinnstillingen for enkel HTTP-godkjenning endret til uannonsert (tidligere standardinnstilling aktivert). Disse endringene ble gjort for å forbedre legitimasjonssikkerheten og redusere utilsiktet eksponering av grunnleggende HTTP-godkjenning i Redfish-tjenester. ...
Symptoms
Tilgang til en Redfish-ressurs fra en generisk klient og godkjenning er ikke gitt på den opprinnelige forespørselen (f.eks. nettlesere) Følgende feil returneres, og det er ingen automatiske forespørsler om legitimasjon.
{
"error": {
"code": "Base.1.8.GeneralError",
"message": "A general error has occurred. See ExtendedInfo for more information.",
"@Message.ExtendedInfo": [
{
"@odata.type": "#Message.v1_1_0.Message",
"MessageId": "Base.1.8.AccessDenied",
"Message": "The authentication credentials included with this request are missing or invalid.",
"MessageArgs": [],
"MessageArgs@odata.count": 0,
"RelatedProperties":[],
"RelatedProperties@odata.count": 0,
"Severity": "Critical",
"Resolution": "Attempt to ensure that the URI is correct and that the service has the appropriate credentials."
}
]
}
}
Cause
Ny virkemåte
HTTPBasicAuth standardverdien satt til Uannonsert. Hvis den første HTTP-forespørselen sendes uten et godkjenningshoder, annonserer ikke tjenesten grunnleggende autorisering i WWW-Authenticate-svarhodet. Dette forhindrer automatiske meldinger eller tilgang av generiske klienter (for eksempel nettlesere).
< HTTP/1.1 401 Unauthorized < Date: Mon, 09 Mar 2026 17:21:26 GMT < Server: Apache
Eldre atferd
Informasjonen i HTTPBasicAuth standardverdien satt til Aktivert. Hvis den første HTTP-forespørselen sendes uten et godkjenningshoder, annonserer tjenesten grunnleggende autorisering i WWW-Authenticate-svarhodet. Dette tillater automatiske meldinger eller tilgang av generiske klienter (for eksempel nettlesere).
< HTTP/1.1 401 Unauthorized < Date: Mon, 09 Mar 2026 17:21:57 GMT < Server: Apache < WWW-Authenticate: Basic realm="RedfishService"
Resolution
Fra og med iDRAC9 7.30.10.50 og iDRAC10 1.30.10.50 er standardinnstillingen for HTTP endret til uannonsert (tidligere standardinnstilling aktivert). Disse endringene ble gjort for å forbedre legitimasjonssikkerheten og redusere utilsiktet eksponering av grunnleggende HTTP-godkjenning i Redfish-tjenester.
En ny konfigurerbar kontroll for enkel HTTP-godkjenningshåndtering er innført i Redfish AccountService, DMTF-egenskapsnavnet HTTPBasicAuth. Denne nye egenskapen støtter tre mulige verdier:
Ikke annonsert (ny standardinnstilling):
- Tjenesten annonserer ikke grunnleggende i WWW-Authenticate-svarhodet, dette forhindrer automatiske meldinger eller tilgang av generiske klienter (for eksempel nettlesere).
Aktivert:
- HTTP grunnleggende autentisering er aktivert og eksplisitt annonsert ved hjelp av WWW-Authenticate: grunnleggende header på 401 uautoriserte svar.
Deaktivert:
- HTTP grunnleggende godkjenning er fullstendig deaktivert for Redfish-tjenesten, andre metoder som X-auth token session (anbefales) er nødvendig for å utføre Redfish-operasjoner.
De grunnleggende HTTP-autentiseringsinnstillingene kan konfigureres fra Redfish-, webgrensesnitt- og RACADM iDRAC-grensesnitt.
Redfish: - PATCH DMTF property HTTPBasicAuth under AccountService - PATCH OEM attribute Redfish.BasicAuthState under DellAttributes RACADM: - Set OEM attribute iDRAC.Redfish.BasicAuthState GUI: - iDRAC Settings -> Services -> Redfish -> HTTP Basic Authentication
Additional Information
Når BasicAuthState er satt til Uannonsert, må klienter være eksplisitte i sending av godkjenningshoder på den første forespørselen. Modulen ansible.builtin.uri 
force_basic_auth: true for å sende et Enkel godkjenning-hode ved den første forespørselen.