Article Number: 000189996

HTTP/HTTPS FQDN verbindingsfouten op iDRAC8 firmwareversie 2.81.81.81

Summary: De Dell EMC geïntegreerde Dell Remote Access Controller 8 (iDRAC8)-firmwareversie 2.81.81.81 blokkeert HTTP/HTTPS-toegang via de volledig gekwalificeerde domeinnaam (FQDN) wanneer de FQDN niet is gedefinieerd als de iDRAC RAC-naam. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

De Dell EMC geïntegreerde Dell Remote Access Controller 8 (iDRAC8)-firmwareversie 2.81.81.81 introduceerde HTTP/HTTPS-verbindings wijzigingen die van invloed kunnen zijn op gebruikers verbindingen bij het opgeven van een volledig gekwalificeerd domeinnaam (FQDN)-adres. Vanwege deze wijzigingen kunnen iDRAC8-gebruikers problemen met de verbinding, omleiding of ' 400-ongeldige aanvraag tegenkomen. Deze aansluitingen worden weergegeven wanneer de opgegeven FQDN niet overeenkomt met de iDRAC ' DNSRacName ' of ' DNS '-waarden.

Voorbeeld van browser fout:

Voorbeeld van de krul fout:

root@rhel7-vm:~$ curl -k https://iR630-A.dell.com/ <!DOCTYPE html><head><title>Bad Request</title><link rel="shortcut icon" href="data:image/x-icon;," type="image/x-icon"></head><body><h2>Access Error: 400 -- Bad Request</h2><pre></pre></body></html>

Cause

De webserver in iDRAC8 firmwareversie 2.81.81.81.81 dwingt standaard een HTTP/HTTPS host-header controle af. Aanvullende informatie is beschikbaar in het Dell beveiligingsadvies:dsa-2021-041: Dell iDRAC 8 beveiligings update voor een beveiligingslek met betrekking tot de host-header-injectie.

Resolution

Standaard zal iDRAC8 de HTTP/HTTPS host-header controleren en vergelijken met de gedefinieerde ' DNSRacName ' en ' DNS-namen '. Wanneer de waarden niet overeenkomen, weigert de iDRAC de HTTP/HTTPS-verbinding te weigeren. In iDRAC8 2.81.81.81 kan de handhaving van deze host-header worden uitgeschakeld met de volgende RACADM opdracht.

#Disable host header check
racadm set idrac.webserver.HostHeaderCheck 0

Opmerking: Stel de HostHeaderCheck-waarde alleen in op ' 0 ' als er een handmatige host-record in DNS omgeving bestaat.

Wanneer de HTTP/HTTPS host-header controle is ingeschakeld (veiliger), kunt u iDRAC openen via het IPv4/IPv6-adres, de RAC-naam en/of de gedefinieerde iDRAC FQDN (DNSRacName. DNS domeinnaam). Als eindgebruiker toegang probeert te krijgen tot hostnamen die iDRAC mogelijk niet op de hoogte zijn (zoals een handmatige DNS vermeldingen die zijn toegevoegd in DNS records), heeft iDRAC8 firmware 2.81.81.81 firmwareversie een nieuw kenmerk "ManualDNSEntry" geïntroduceerd. Deze nieuwe instelling kan worden bijgewerkt met maximaal 4 IP-adressen/hostnamen/FQDN-namen om een lijst met host-headers te kunnen leveren. Dit zorgt ervoor dat inkomende verzoeken niet worden verwijderd wanneer de header HTTP/HTTPS host een van de vermeldingen in de ' ManualDNSEntry-instelling bevat.

# Add manual entry to allow list
racadm set idrac.webserver.ManualDNSEntry 192.168.20.30
racadm set idrac.webserver.ManualDNSentry 192.168.20.30,idrac.mydomain.com

Deze aanvullende configuratie is vereist in gevallen zoals:

De eindgebruiker gebruikt handmatige DNS configuratie om toegang te krijgen tot iDRAC (handmatige DNS host-record
Alternatieve naam/certificaathouder-certificaat wordt gebruikt om toegang te krijgen tot het iDRAC
Direct toegang krijgen tot iDRAC met behulp van een host-IP-adres (via ISM)

Article Properties

Affected Product

iDRAC8 with Lifecycle Controller version 2.81.81.81

Last Published Date

11 Jan 2022

Version

Article Type

Solution

Welcome

Welcome to Dell