iDRAC9 | Sécurisation de la console virtuelle à l’aide du protocole TLS version 1.2

Summary: Ce document explique comment activer certaines étapes requises pour configurer l’iDRAC9 et activer cette restriction.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

En se concentrant toujours sur la sécurité du réseau au sein du datacenter, iDRAC9 peut désormais restreindre les sessions de console virtuelle pour prendre en charge le chiffrement TLS (Transport Layer Security) version 1.2 uniquement. Ce document explique comment activer certaines étapes requises pour configurer l’iDRAC9 et activer cette restriction.

Sommaire

  1. Configuration requise
  2. Limiter Webserver au protocole TLS 1.2
  3. Configurer les paramètres de la console virtuelle

1. Conditions préalables

 

  • Firmware iDRAC9 4.40.00.00 ou version ultérieure
  • Activation de la redirection Web sur la console virtuelle
  • Plugin de console virtuelle = HTML5
  • Limitation du serveur Web iDRAC au protocole TLS 1.2
Pour une couche de sécurité supplémentaire, les navigateurs Web clients doivent également être limités au protocole TLS 1.2.

La version 4.00.00.00 du firmware iDRAC9 a introduit une nouvelle fonctionnalité appelée redirection Web de console virtuelle. Par défaut, la console virtuelle iDRAC utilise le port de présence à distance 5900. Lorsque la redirection Web de la console virtuelle est activée, la visionneuse de console virtuelle utilise le port de serveur Web défini pour l’iDRAC9. Par défaut, le serveur Web iDRAC utilise le port 443 pour le trafic https. En établissant la session de console virtuelle via le port du serveur Web, la console virtuelle peut tirer parti des restrictions du protocole TLS définies sur le port du serveur Web. Le type de plug-in HTML5 est le seul plug-in de console virtuelle à prendre en charge la fonctionnalité de redirection. Lorsque cette fonctionnalité a été initialement introduite, le port de présence à distance était laissé ouvert tout en ignorant tout le trafic vers le port. iDRAC9 4.40.00.00 a introduit une fonctionnalité supplémentaire pour fermer ce port inutilisé lorsque la redirection WED est activée.

iDRAC9 4.40.00.00 a introduit le plugin de console virtuelle eHTML5. Le plugin eHTML5 utilise le port de serveur Web iDRAC9 sans aucune configuration supplémentaire requise.

Cause

Le port de présence à distance pour les plug-ins de console virtuelle hérités (JAVA/ActiveX) nécessite un chiffrement Transport Layer Security hérité.

Resolution

2. Limiter Webserver au protocole TLS 1.2

La redirection Web de console virtuelle est configurable uniquement via l’interface de ligne de commande racadm. Toutes les étapes décrites peuvent être saisies à partir d’une session de terminal SSH ou à partir de l’utilitaire RACADM distant (DRACTOOLS).
Utilisez la commande set pour définir le protocole TLS du serveur Web de l’iDRAC. Dans ce cas, la valeur 2 est égale à TLS 1.2 uniquement.
 

racadm set iDRAC.Webserver.TLSProtocol 2

racadm>>racadm set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Object value modified successfully

 
 

Utilisez la commande get pour confirmer les paramètres du serveur Web de l’iDRAC.

racadm get iDRAC.Webserver

 

racadm>>racadm get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=Auto-negotiate
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.2 uniquement

 

3. Configurer les paramètres de la console virtuelle

Utilisez la commande set pour définir le plugin de console virtuelle iDRAC. Dans ce cas, la valeur 2 est égale à HTML5.

 

racadm set iDRAC.VirtualConsole.PluginType 2

 

racadm>>racadm set iDRAC.VirtualConsole.PluginType 2
[Key=iDRAC.Embedded.1#VirtualConsole.1]
Object value modified successfully

 
 

Utilisez la commande set pour activer la redirection Web de console virtuelle iDRAC.

 
 

racadm set iDRAC.VirtualConsole.WebRedirect Enabled

 

racadm>>racadm set iDRAC.VirtualConsole.WebRedirect Enabled
[Key=iDRAC.Embedded.1#VirtualConsole.1]
Object value modified successfully

 

Utilisez la commande set pour fermer le port de présence à distance inutilisé.

 

racadm set iDRAC.VirtualConsole.CloseUnusedPort Enabled

 

Racadm>>racadm set iDRAC.VirtualConsole.CloseUnusedPort Enabled
[Key=iDRAC.Embedded.1#VirtualConsole.1]
Object value modified successfully

 


Utilisez la commande get pour confirmer les paramètres de la console virtuelle iDRAC.


 

racadm get iDRAC.VirtualConsole

 

Racadm>>racadm get iDRAC.VirtualConsole
[Key=iDRAC.Embedded.1#VirtualConsole.1]
AccessPrivilege=Deny Access
#ActiveSessions=0
AttachState=Auto-attach
CloseUnusedPort=EnabledEnable=Enabled

EncryptEnable=Enabled
LocalDisable=Disabled
LocalVideo=Enabled
MaxSessions=6
PluginType=2
Port = 5900
Délai d’expiration = 1 800
TimeoutEnable=Désactivé
WebRedirect=Activé


 

Une fois les paramètres mis en surbrillance en place, la console virtuelle iDRAC va désormais établir des sessions HTML5 via un port de serveur Web avec la restriction de protocole TLS 1.2. La barre d’adresse du visualiseur de console affiche le port en cours d’utilisation.

SLN321049_en_US__2image(19208)

Affected Products

iDRAC9
Article Properties
Article Number: 000129738
Article Type: Solution
Last Modified: 09 Dec 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.