Fallas de conexión de HTTP/HTTPS FQDN en la versión de firmware de iDRAC8 2.81.81.81

摘要: La versión de firmware de la controladora de acceso remoto 8 (iDRAC8) de Dell integrada Dell EMC bloquea el acceso HTTP/HTTPS a través del nombre de dominio calificado (FQDN) cuando el FQDN no se define como el nombre de iDRAC RAC. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

La versión Dell EMC de firmware de la controladora de acceso remoto 8 (iDRAC8) de Dell integrada introdujo los cambios de conexión HTTP/HTTPS que pueden afectar las conexiones de usuario cuando se especifica la dirección de nombre de dominio calificado (FQDN). Debido a estos cambios, es posible que los usuarios de iDRAC8 encuentren errores de conexión, redirección o "400: solicitud incorrecta". Estas perspectivas de conexión se producirán cuando el FQDN especificado no coincida con los valores iDRAC ' DNSRacName ' o ' NombreDominioDns '.

Ejemplo de error del navegador:

iDRAC8-Mozilla-Unable2Connect. png

Ejemplo de error de rizo: 
root@rhel7-vm:~$ curl -k https://iR630-A.dell.com/ <!DOCTYPE html><head><title>Bad Request</title><link rel="shortcut icon" href="data:image/x-icon;," type="image/x-icon"></head><body><h2>Access Error: 400 -- Bad Request</h2><pre></pre></body></html>

原因

El servidor Weben la versión de firmware de iDRAC8 2.81.81.81.81 aplica una comprobación de encabezado de host de HTTP/HTTPS de manera predeterminada. Hay información adicional disponible en la Dell asesoría de seguridad:DSA-2021-041: Dell iDRAC 8 actualización de seguridad para una vulnerabilidad de inyección de encabezados de host.

解决方案

De forma predeterminada, iDRAC8 comprobará el encabezado del host de HTTP/HTTPS y se comparará con los "DNSRacName" y "NombreDominioDns" definidos. Cuando los valores no coinciden, el iDRAC rechazará la conexión HTTP/HTTPS. En iDRAC8 2.81.81.81, esta aplicación de encabezado de host se puede deshabilitar con el siguiente comando RACADM.

#Disable host header check
racadm set idrac.webserver.HostHeaderCheck 0
Nota: Configure el valor de HostHeaderCheck en ' 0 ' cuando exista un registro de host manual en DNS ambiente.

Cuando la comprobación del encabezado del host de HTTP/HTTPS está habilitada (más segura), se puede acceder a iDRAC mediante la dirección de IPv4/IPv6, el nombre del RAC o el iDRAC de FQDN definido (DNSRacName. NombreDominioDns). Si el usuario final está accediendo a los nombres de host que iDRAC tal vez no tenga en cuenta (por ejemplo, las entradas de DNS manual agregadas en DNS registros), la versión del firmware de 2.81.81.81 del firmware de iDRAC8 introdujo un nuevo atributo "ManualDNSEntry". Esta nueva configuración se puede actualizar con un máximo de 4 direcciones IP/nombres de host/FQDN para proporcionar una lista de los encabezados de host. Esto garantiza que las solicitudes entrantes no se descarten cuando el encabezado del host HTTP/HTTPS lleva a cabo una de las entradas en la configuración "ManualDNSEntry".

# Add manual entry to allow list
racadm set idrac.webserver.ManualDNSEntry 192.168.20.30
racadm set idrac.webserver.ManualDNSentry 192.168.20.30,idrac.mydomain.com

Esta configuración adicional es necesaria en casos como cuando:

  • El usuario final utiliza el DNS manual de configuración para acceder a iDRAC (registro de host de DNS manual
  • El certificado de nombre alternativo del sujeto/comodín se utiliza para acceder a la iDRAC
  • Acceso a iDRAC mediante la dirección IP del host directamente (a través de ISM)

受影响的产品

iDRAC8 with Lifecycle Controller version 2.81.81.81
文章属性
文章编号: 000189996
文章类型: Solution
上次修改时间: 09 12月 2024
版本:  12
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。