Article Number: 000189996

HTTP/HTTPS FQDN połączenia w wersji oprogramowania sprzętowego iDRAC8 2.81.81.81

Summary: Dell EMC zintegrowany kontroler zdalnego dostępu Dell (iDRAC8) wersja oprogramowania sprzętowego 2.81.81.81 blokuje dostęp do protokołu HTTP/HTTPS poprzez w pełni kwalifikowaną nazwę domeny (FQDN), jeśli FQDN nie jest zdefiniowana jako nazwa certyfikatu RAC. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Dell EMC zintegrowanego Dell kontrolera zdalnego dostępu 8 (iDRAC8) wersja oprogramowania sprzętowego 2.81.81.81 wprowadziła zmiany połączenia HTTP/HTTPS, które mogą wpłynąć na połączenia użytkowników, określając w pełni kwalifikowaną nazwę domeny (FQDN). Ze względu na te zmiany użytkownicy iDRAC8 mogą napotkać błędy połączenia, przekierowanie lub "400" błędami nieprawidłowymi żądań. Te informacje dotyczą połączeń, jeśli określony FQDN nie odpowiada wartościom iDRAC "DNSRacName" ani "NazwaDomenyDNS".

Błąd przeglądarki przykład:

Przykład zablade zwinięcie:

root@rhel7-vm:~$ curl -k https://iR630-A.dell.com/ <!DOCTYPE html><head><title>Bad Request</title><link rel="shortcut icon" href="data:image/x-icon;," type="image/x-icon"></head><body><h2>Access Error: 400 -- Bad Request</h2><pre></pre></body></html>

Cause

Serwer WebServer w wersji sprzętowej iDRAC8 Version 2.81.81.81.81 domyślnie wymusza sprawdzanie nagłówka hosta HTTP/HTTPS. Dodatkowe informacje są dostępne w poradniku bezpieczeństwa Dell:DSA-2021-041: Dell iDRAC 8 aktualizacja zabezpieczeń w przypadku usterki dotyczącej iniekcji nagłówka hosta.

Resolution

Domyślnie narzędzie iDRAC8 sprawdza nagłówek hosta HTTP/HTTPS i porównuje do zdefiniowanych wartości "DNSRacName" i "NazwaDomenyDNS". Jeśli wartości te nie są zgodne, iDRAC odmawia połączenia HTTP/HTTPS. W iDRAC8 2.81.81.81 wymuszanie nagłówka hosta można wyłączyć przy użyciu następującego polecenia RACADM.

#Disable host header check
racadm set idrac.webserver.HostHeaderCheck 0

Uwaga: Wartość HostHeaderCheck należy ustawić na "0", jeśli w środowisku DNS istnieje instrukcja Manual Record host.

Po włączeniu sprawdzania, czy w nagłówku hosta HTTP/HTTPS (bezpieczniejsze), dostęp do iDRAC jest możliwy przy użyciu adresu IPv4/IPv6, nazwy certyfikatu RAC i/lub zdefiniowanego iDRAC FQDN (DNSRacName. NazwaDomenyDNS). Jeśli użytkownik końcowy uzyska dostęp do nazw hostów, które iDRAC mogą być nieznane (takie jak ręczne wpisy DNS dodane w DNS zapisach), oprogramowanie układowe iDRAC8 oprogramowania układowego 2.81.81.81 wersji oprogramowania sprzętowego wprowadziło nowy atrybut "ManualDNSEntry". To nowe ustawienie można zaktualizować przy użyciu maksymalnie 4 adresów IP/nazw hostów/FQDN, aby udostępnić listę dozwolonych nagłówków hosta. Daje to pewność, że przychodzące żądania nie zostaną usunięte, kiedy nagłówek hosta HTTP/HTTPS będzie zawierać jeden z wpisów w ustawieniu ManualDNSEntry '.

# Add manual entry to allow list
racadm set idrac.webserver.ManualDNSEntry 192.168.20.30
racadm set idrac.webserver.ManualDNSentry 192.168.20.30,idrac.mydomain.com

Dodatkowa konfiguracja jest wymagana w takich sytuacjach, jak:

Użytkownik końcowy korzysta z ręcznego DNS konfiguracji, aby uzyskać dostęp do iDRAC (ręczne nagrywanie DNS hosta
Alternatywna nazwa podmiotu/certyfikat wieloznaczny służy do uzyskiwania dostępu do iDRAC
Uzyskiwanie dostępu do iDRAC przy użyciu adresu IP hosta bezpośrednio (przez ISM)

Article Properties

Affected Product

iDRAC8 with Lifecycle Controller version 2.81.81.81

Last Published Date

11 Jan 2022

Version

Article Type

Solution

Welcome

Welcome to Dell