O iDRAC9 | Protegendo o console virtual com o Transport Layer Security versão 1.2

Summary: Este documento descreverá como habilitar determinadas etapas necessárias para configurar o iDRAC9 e habilitar essa restrição.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Com foco contínuo na segurança de rede no data center, o iDRAC9 agora tem a capacidade de restringir as sessões do console virtual para dar suporte apenas à criptografia TLS versão 1.2. Este documento descreverá como habilitar determinadas etapas necessárias para configurar o iDRAC9 e habilitar essa restrição.

Sumário

  1. Pré-requisitos
  2. Restringir o servidor Web ao protocolo TLS 1.2
  3. Definir as configurações do console virtual

1.Pré-requisitos

 

  • Firmware iDRAC9 4.40.00.00 ou mais recente
  • Habilitando o redirecionamento da Web no console virtual
  • Plug-in do console virtual = HTML5
  • Restringindo o servidor Web do iDRAC ao protocolo TLS 1.2
Para obter uma camada adicional de segurança, os navegadores da Web client também devem estar restritos ao protocolo TLS 1.2.

O firmware 4.00.00.00 do iDRAC9 introduziu um novo recurso chamado Virtual Console Web Redirection. Por padrão, o console virtual do iDRAC utiliza a porta de presença remota 5900. Quando o redirecionamento da Web do console virtual estiver ativado, o visualizador do console virtual aproveitará a porta definida do servidor da Web para o iDRAC9. Por padrão, o servidor da Web do iDRAC utilizará a porta 443 para tráfego https. Ao estabelecer a sessão do console virtual por meio da porta do servidor da Web, o console virtual pode aproveitar as restrições definidas do protocolo TLS na porta do servidor da Web. O tipo de plug-in HTML5 é o único plug-in do Virtual Console compatível com o recurso de redirecionamento. Quando esse recurso foi originalmente introduzido, a porta de presença remota era deixada aberta, ignorando qualquer tráfego para a porta. O iDRAC9 4.40.00.00 introduziu um recurso adicional para fechar essa porta não utilizada quando o redirecionamento de wed está ativado.

O iDRAC9 4.40.00.00 introduziu o plug-in de console virtual eHTML5. O plug-in eHTML5 utilizará a porta do servidor web iDRAC9 sem necessidade de configuração adicional.

Cause

A porta de presença remota para plug-ins de console virtual herdados (JAVA/ActiveX) exigem criptografia de segurança de camada de transporte herdada.

Resolution

2. Restrinja o servidor da Web ao protocolo TLS 1.2

O redirecionamento da Web do console virtual só é configurável por meio da interface de linha de comando RACADM. Todas as etapas descritas podem ser inseridas na sessão do terminal SSH ou no utilitário racadm remoto (DRACTOOLS).
Use o comando set para definir o protocolo iDRAC Webserver TLS. Nesse caso, o valor 2 é igual a TLS 1.2 Only.
 

racadm set iDRAC.Webserver.TLSProtocol 2

racadm racadm>>set iDRAC.Webserver.TLSProtocol 2
[Key=iDRAC.Embedded.1#WebServer.1]
Valor do objeto modificado com sucesso

 
 

Use o comando get para confirmar as configurações do servidor Web do iDRAC.

racadm get iDRAC.Webserver

 

racadm racadm>>get iDRAC.Webserver
[Key=iDRAC.Embedded.1#WebServer.1]
CustomCipherString=
Enable=Enabled
HttpPort=80
HttpsPort=443
HttpsRedirection=Enabled
#MaxNumberOfSessions=8
SSLEncryptionBitLength=Auto-Negotiate
Timeout=1800
TitleBarOption=Auto
TitleBarOptionCustom=
TLSProtocol=TLS 1.2 Only

 

3. Definir as configurações do console virtual

Use o comando set para definir o plug-in do console virtual do iDRAC. Nesse caso, o valor de 2 é igual a HTML5.

 

racadm set iDRAC.VirtualConsole.PluginType 2

 

racadm racadm>>set iDRAC.VirtualConsole.PluginType 2
[Key=iDRAC.Embedded.1#VirtualConsole.1]
Valor do objeto modificado com sucesso

 
 

Use o comando set para ativar o redirecionamento da Web do console virtual do iDRAC.

 
 

racadm set iDRAC.VirtualConsole.WebRedirect Enabled

 

racadm racadm>>set iDRAC.VirtualConsole.WebRedirect Enabled
[Key=iDRAC.Embedded.1#VirtualConsole.1]
Valor do objeto modificado com sucesso

 

Use o comando set para fechar a porta de presença remota não utilizada.

 

racadm set iDRAC.VirtualConsole.CloseUnusedPort Enabled

 

RACADM>>racadm set iDRAC.VirtualConsole.CloseUnusedPort Enabled
[Key=iDRAC.Embedded.1#VirtualConsole.1]
Valor do objeto modificado com sucesso

 


Use o comando get para confirmar as configurações do console virtual do iDRAC.


 

racadm get iDRAC.VirtualConsole

 

RACADM>>racadm get iDRAC.VirtualConsole
[Key=iDRAC.Embedded.1#VirtualConsole.1]
AccessPrivilege=Deny Access
#ActiveSessions=0
AttachState=Auto-attach
CloseUnusedPort=Enabled
Enable=Enabled
EncryptEnable=Enabled
LocalDisable=Disabled
LocalVideo=Enabled
MaxSessions=6
PluginType=2
Porta=5900
Tempo de espera excedido=1800
TimeoutEnable=Disabled
WebRedirect=ativado


 

Com as configurações realçadas, o Console Virtual do iDRAC agora estabelecerá sessões HTML5 por meio de uma porta do servidor da Web com a restrição do protocolo TLS 1.2. A barra de endereços do visualizador do console exibirá a porta em uso.

SLN321049_en_US__2image (19208)

Affected Products

iDRAC9
Article Properties
Article Number: 000129738
Article Type: Solution
Last Modified: 09 Dec 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.