Article Number: 000189996

Échecs de connexion HTTP/HTTPS FQDN sur la version du micrologiciel iDRAC8 2.81.81.81

Summary: La version micrologicielle Dell EMC Integrated Dell Remote Access Controller 8 (iDRAC8) bloque l’accès HTTP/HTTPS par le biais du nom de domaine complet (FQDN) lorsque le FQDN n’est pas défini en tant que nom du RAC iDRAC. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

La version de micrologiciel Dell EMC Integrated Dell Remote Access Controller 8 (iDRAC8) a introduit des modifications de connexion HTTP/HTTPS qui peuvent avoir un impact sur les connexions utilisateur lors de la spécification de l’adresse de nom de domaine complet (FQDN). En effet, les utilisateurs iDRAC8 peuvent rencontrer des erreurs de connexion, des redirections ou des erreurs de « 400-Bad Request ». Ces conseils de connexion se produisent lorsque le FQDN spécifié ne correspond pas aux valeurs iDRAC’DNSRacName’ou’nom_domaine_dns'.

Exemple d’erreur de navigateur :

Exemple d’erreur de boucle :

root@rhel7-vm:~$ curl -k https://iR630-A.dell.com/ <!DOCTYPE html><head><title>Bad Request</title><link rel="shortcut icon" href="data:image/x-icon;," type="image/x-icon"></head><body><h2>Access Error: 400 -- Bad Request</h2><pre></pre></body></html>

Cause

Le serveur WebServer dans la version du micrologiciel iDRAC8 2.81.81.81.81 applique une vérification de l’en-tête hôte HTTP/HTTPS par défaut. Des informations supplémentaires sont disponibles dans la Dell Conseil de sécurité :DSA-2021-041 : Dell iDRAC 8 mise à jour de sécurité pour une vulnérabilité d’injection d’en-tête d’hôte.

Resolution

Par défaut, iDRAC8 vérifie l’en-tête HTTP/HTTPS hôte et est comparé aux valeurs « DNSRacName » et « nom_domaine_dns » définies. Lorsque les valeurs ne correspondent pas, la iDRAC refuse la connexion HTTP/HTTPS. Dans iDRAC8 2.81.81.81, cette mise en œuvre de l’en-tête d’hôte peut être désactivée à l’aide de la commande RACADM suivante.

#Disable host header check
racadm set idrac.webserver.HostHeaderCheck 0

Remarque : Définissez uniquement la valeur HostHeaderCheck sur « 0 » lorsque l’enregistrement d’hôte manuel existe dans DNS environnement.

Lorsque la vérification de l’en-tête HTTP/HTTPS hôte est activée (plus sécurisée), iDRAC est accessible à l’aide de l’adresse IPv4/IPv6, du nom RAC et/ou de la iDRAC FQDN définie (DNSRacName. nom_domaine_dns). Si l’utilisateur final accède à des noms d’hôte dont iDRAC peut ne pas être conscient (par exemple, les entrées de DNS manuel ajoutées dans DNS enregistrements), le micrologiciel 2.81.81.81 version du micrologiciel iDRAC8 a introduit un nouvel attribut'ManualDNSEntry'. Ce nouveau paramètre peut être mis à jour avec jusqu’à 4 adresses IP/noms d’hôte/FQDN pour fournir une liste de l’en-tête de l’hôte. Cela garantit que les demandes entrantes ne sont pas abandonnées lorsque l’en-tête de l’hôte HTTP/HTTPS transmet l’une des entrées dans le paramètre « ManualDNSEntry ».

# Add manual entry to allow list
racadm set idrac.webserver.ManualDNSEntry 192.168.20.30
racadm set idrac.webserver.ManualDNSentry 192.168.20.30,idrac.mydomain.com

Cette configuration supplémentaire est nécessaire dans les cas suivants :

L’utilisateur final utilise la configuration manuelle de l’DNS pour accéder à iDRAC (l’enregistrement d’hôte DNS manuel
Le nom alternatif de l’objet/le certificat générique est utilisé pour accéder au iDRAC
Accès à iDRAC à l’aide de l’adresse IP de l’hôte directement (via ISM)

Article Properties

Affected Product

iDRAC8 with Lifecycle Controller version 2.81.81.81

Last Published Date

11 Jan 2022

Version

Article Type

Solution

Welcome

Welcome to Dell