PowerEdge : Échecs de connexion FQDN HTTP et HTTPS sur le firmware iDRAC9 version 5.10.00.00

La version 5.10.00.00 du firmware iDRAC9 (Integrated Remote Access Controller 9) a introduit des modifications au niveau des connexions HTTP et HTTPS. Ces modifications peuvent avoir un impact sur les connexions utilisateur lors de la spécification d’une adresse de nom de domaine complet (FQDN). En raison de ces modifications, les utilisateurs iDRAC9 peuvent rencontrer des erreurs de connexion, de redirection ou des erreurs « 400 - Bad Request ». Ces observations de connexion se produisent lorsque le FQDN spécifié ne correspond pas aux valeurs « DNSRacName » ou « DNSDomainName » de l’iDRAC.

Exemple d’erreur de navigateur :

Figure 1 : Exemple d’erreur d’en-tête HTTPS Mozilla Curl Error :

	root@rhel7-vm:~$ curl -k https://iR640-A.dell.com/
	<!DOCTYPE html>
	<head>
	    <title>Bad Request</title>
	    <link rel="shortcut icon" href="data:image/x-icon;," type="image/x-icon">
	</head>
	<body>
	    <h2>Access Error: 400 -- Bad Request</h2>
	    <pre></pre>
	</body>
	</html>

Le serveur Web dans le firmware iDRAC9 version 5.10.00.00 applique une vérification de l’en-tête d’hôte HTTP et HTTPS par défaut.

Par défaut, l’iDRAC9 vérifie l’en-tête d’hôte HTTP et HTTPS et le compare aux paramètres « DNSRacName » et « DNSDomainName » définis. Lorsque les valeurs ne correspondent pas, l’iDRAC refuse la connexion HTTP et HTTPS. Dans iDRAC9 5.10.00.00, cette application de l’en-tête d’hôte peut être désactivée à l’aide de la commande RACADM suivante.

#Disable host header check

racadm set idrac.webserver.HostHeaderCheck 0

Lorsque la vérification de l’en-tête d’hôte HTTP et HTTPS est activée (plus sécurisée), l’iDRAC est accessible à l’aide de l’adresse IPv4/IPv6, du nom RAC et du FQDN iDRAC défini (DNSRacName, DNSDomainName). Si l’utilisateur final se connecte avec des noms d’hôte dont l’iDRAC peut ne pas avoir connaissance (tels que les entrées DNS manuelles ajoutées dans les enregistrements DNS), la version du firmware iDRAC9 5.10.00.00 a introduit un nouvel attribut « ManualDNSEntry ». Ce nouveau paramètre peut être mis à jour avec un maximum de quatre adresses IP et noms d’hôte/FQDN pour fournir une liste verte d’en-têtes d’hôte. Cela garantit que les demandes entrantes ne sont pas supprimées lorsque l’en-tête d’hôte HTTP et HTTPS prend en charge l’une des entrées du paramètre « ManualDNSEntry ».

# Add manual entry to allow list

racadm set idrac.webserver.ManualDNSEntry 192.168.20.30

racadm set idrac.webserver.ManualDNSentry 192.168.20.30,idrac.mydomain.com

Cette configuration supplémentaire est requise dans les cas suivants :

• L’utilisateur final utilise la configuration DNS manuelle pour accéder à iDRAC (enregistrement d’hôte DNS manuel)
• L’autre nom de l’objet et le certificat générique sont utilisés pour accéder à l’iDRAC
• Accès à l’iDRAC à l’aide de l’adresse IP de l’hôte directement (à l’aide d’ISM)