Article Number: 000189996

HTTP/https FQDN Verbindungsfehler bei der iDRAC8-Firmware-Version 2.81.81.81

Summary: Die Dell EMC Integrated Dell Remote Access Controller 8 (iDRAC8)-Firmwareversion 2.81.81.81 blockiert den HTTP/HTTPS-Zugriff über einen vollständig qualifizierten Domain Namen (FQDN), wenn der FQDN nicht als Idrac RAC-Name definiert ist. ...

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Die Dell EMC Integrated Dell Remote Access Controller 8 (iDRAC8)-Firmwareversion 2.81.81.81 hat http/https-Verbindungsänderungen eingeführt, die bei der Angabe der Adresse des vollständig qualifizierten Domain Namens (FQDN) Auswirkungen auf die Benutzer Verbindungen haben könnten. Aufgrund dieser Änderungen können iDRAC8-Benutzer auf Verbindungsfehler, Umleitung oder "400-Bad Request"-Fehler stoßen. Diese Verbindungs Beobachtungen treten auf, wenn der angegebene FQDN nicht mit den Werten Idrac "DNSRacName" oder "DNSDomänenname" übereinstimmt.

Browser Fehler Beispiel:

Curl-Fehler Beispiel:

root@rhel7-vm:~$ curl -k https://iR630-A.dell.com/ <!DOCTYPE html><head><title>Bad Request</title><link rel="shortcut icon" href="data:image/x-icon;," type="image/x-icon"></head><body><h2>Access Error: 400 -- Bad Request</h2><pre></pre></body></html>

Cause

Der Webserver in der iDRAC8-Firmware-Version 2.81.81.81.81 erzwingt standardmäßig eine HTTP/HTTPS Host-Header Überprüfung. Weitere Informationen finden Sie im Dell Sicherheitshinweis:DSA-2021-041: Dell Idrac 8 Sicherheitsaktualisierung für eine Hostheader Injection-Schwachstelle.

Resolution

Standardmäßig überprüft iDRAC8 die HTTP/HTTPS-Host Kopfzeile und vergleicht sie mit den definierten "DNSRacName" und "DNSDomänenname". Wenn die Werte nicht übereinstimmen, lehnt der Idrac die HTTP/HTTPS-Verbindung ab. In iDRAC8 2.81.81.81 kann diese Host Header Durchsetzung mit dem folgenden RACADM-Befehl deaktiviert werden.

#Disable host header check
racadm set idrac.webserver.HostHeaderCheck 0

Hinweis: Legen Sie den HostHeaderCheck-Wert nur auf ' 0 ' fest, wenn ein manueller Host-Datensatz in DNS Umgebung vorhanden ist.

Wenn die HTTP/HTTPS Host-Header Überprüfung aktiviert (sicherer) ist, kann auf Idrac über die IPv4/IPv6 Adresse, den RAC-Namen und/oder die definierte Idrac FQDN (DNSRacName. DNSDomänenname) zugegriffen werden. Wenn der Endbenutzer mit Hostnamen zugreift, die Idrac möglicherweise nicht kennt (z. b. ein manuelles DNS von Einträgen, die in DNS Datensätzen hinzugefügt wurden), hat die Firmwareversion der iDRAC8-Firmware 2.81.81.81 ein neues Attribut "ManualDNSEntry" eingeführt. Diese neue Einstellung kann mit bis zu 4 IP-Adressen/Hostnamen/FQDNs aktualisiert werden, um eine Allow-List von Hostheadern bereitzustellen. Dadurch wird sichergestellt, dass eingehende Anfragen nicht verworfen werden, wenn der HTTP/HTTPS Host-Header einen der Einträge in der Einstellung "ManualDNSEntry" enthält.

# Add manual entry to allow list
racadm set idrac.webserver.ManualDNSEntry 192.168.20.30
racadm set idrac.webserver.ManualDNSentry 192.168.20.30,idrac.mydomain.com

Diese zusätzliche Konfiguration ist in folgenden Fällen erforderlich:

Endbenutzer verwendet manuell DNS Konfiguration für den Zugriff auf iDRAC (manuell DNS Host-Daten Satz
Alternativer Antragsteller Name/Platzhalterzertifikat wird verwendet, um auf die Idrac
Zugriff auf Idrac unter Verwendung der Host-IP-Adresse direkt (über ISM)

Article Properties

Affected Product

iDRAC8 with Lifecycle Controller version 2.81.81.81

Last Published Date

11 Jan 2022

Version

Article Type

Solution

Welcome

Welcome to Dell