Версія мікропрограми iDRAC8 2.81.81.81: Збої з'єднання HTTP або HTTPS FQDN
Summary: Мікропрограма Dell Remote Access Controller 8 (iDRAC9) версії 2.81.81.81 блокує доступ HTTP або HTTPS через повністю кваліфіковане доменне ім'я (FQDN), якщо FQDN не визначено як ім'я iDRAC RAC. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Мікропрограма Dell Remote Access Controller 8 (iDRAC8) версії 2.81.81.81 з інтегрованою в Dell EMC внесла зміни в підключення HTTP або HTTPS, які можуть вплинути на з'єднання користувача під час визначення адреси повного кваліфікованого доменного імені (FQDN). У зв'язку з цими змінами користувачі iDRAC9 можуть зіткнутися з помилками підключення, перенаправленням або '400 - Bad Request' помилок. Ці спостереження з'єднання виникають, коли вказаний FQDN не відповідає iDRAC 'DNSRacName' або 'DNSDomainName' Значення.
Приклад помилки браузера:
Приклад помилки скручування:
root@rhel7-vm:~$ curl -k https://iR630-A.dell.com/
<!DOCTYPE html>
<head>
<title>Bad Request</title>
<link rel="shortcut icon" href="data:image/x-icon;," type="image/x-icon">
</head>
<body>
<h2>Access Error: 400 -- Bad Request</h2>
<pre></pre>
</body>
</html>Cause
Веб-сервер у версії мікропрограми iDRAC8 2.81.81.81 за замовчуванням виконує перевірку заголовка хоста HTTP або HTTPS. Додаткову інформацію можна знайти в Консультативному посібнику з безпеки Dell: ДСА-2021-041: Оновлення безпеки Dell iDRAC8 для вразливості до впровадження заголовка хоста
Resolution
За замовчуванням iDRAC8 перевіряє заголовок хоста HTTP або HTTPS і порівнює його з визначеним 'DNSRacName' і 'DNSDomainName'. Якщо значення не збігаються, iDRAC відмовляється від з'єднання HTTP або HTTPS. У iDRAC8 2.81.81.81 це примусове виконання заголовка хоста можна вимкнути за допомогою такої команди RACADM:
#Disable host header check
Racadm set idrac.webserver.HostHeaderCheck 0
Racadm set idrac.webserver.HostHeaderCheck 0
Примітка: Лише встановіть параметр
Коли ввімкнено перевірку заголовків хоста HTTP або HTTPS (більш безпечна), доступ до iDRAC можна отримати за допомогою адреси IPv4 або IPv6, імені RAC або визначеного ідентифікатора iDRAC FQDN
HostHeaderCheck значення '0', якщо запис хоста, виконаний вручну, існує в середовищі DNS.
Коли ввімкнено перевірку заголовків хоста HTTP або HTTPS (більш безпечна), доступ до iDRAC можна отримати за допомогою адреси IPv4 або IPv6, імені RAC або визначеного ідентифікатора iDRAC FQDN
(DNSRacName.DNSDomainName). Якщо кінцевий користувач отримує доступ за допомогою імен хостів, про які iDRAC може бути невідомо (наприклад, запис DNS вручну, доданий до записів DNS), у версії мікропрограми iDRAC8 2.81.81.81 введено новий атрибут 'ManualDNSEntry'. Цей новий параметр можна оновити за допомогою до чотирьох IP-адрес, імен хостів або FQDN, щоб надати білий список заголовків хостів. Це гарантує, що вхідні запити не відкидаються, коли заголовок хоста HTTP або HTTPS містить один із записів у файлі 'ManualDNSEntry' обстановка.
# Add manual entry to allow list
racadm set idrac.webserver.ManualDNSEntry 192.168.20.30
racadm set idrac.webserver.ManualDNSentry 192.168.20.30,idrac.mydomain.com
Така додаткова настройка потрібна в тих випадках, коли:
- Кінцевий користувач використовує ручну конфігурацію DNS для доступу до iDRAC (Manual DNS Host Record.
- Для доступу до iDRAC використовується альтернативне ім'я суб'єкта або сертифікат підстановки.
- Доступ до iDRAC за допомогою IP-адреси хоста безпосередньо (за допомогою ISM).
Примітка: Щоб вирішити проблеми з підключенням ISM, вимкнення функції перевірки заголовків хоста є єдиним пом'якшенням. Записи DNS вручну не вирішують з'єднання ISM.
Affected Products
iDRAC8 with Lifecycle Controller version 2.81.81.81Article Properties
Article Number: 000189996
Article Type: Solution
Last Modified: 09 Dec 2024
Version: 12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.