Версія мікропрограми iDRAC8 2.81.81.81: Збої з'єднання HTTP або HTTPS FQDN
摘要: Мікропрограма Dell Remote Access Controller 8 (iDRAC9) версії 2.81.81.81 блокує доступ HTTP або HTTPS через повністю кваліфіковане доменне ім'я (FQDN), якщо FQDN не визначено як ім'я iDRAC RAC. ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
Мікропрограма Dell Remote Access Controller 8 (iDRAC8) версії 2.81.81.81 з інтегрованою в Dell EMC внесла зміни в підключення HTTP або HTTPS, які можуть вплинути на з'єднання користувача під час визначення адреси повного кваліфікованого доменного імені (FQDN). У зв'язку з цими змінами користувачі iDRAC9 можуть зіткнутися з помилками підключення, перенаправленням або '400 - Bad Request' помилок. Ці спостереження з'єднання виникають, коли вказаний FQDN не відповідає iDRAC 'DNSRacName' або 'DNSDomainName' Значення.
Приклад помилки браузера:
Приклад помилки скручування:
root@rhel7-vm:~$ curl -k https://iR630-A.dell.com/
<!DOCTYPE html>
<head>
<title>Bad Request</title>
<link rel="shortcut icon" href="data:image/x-icon;," type="image/x-icon">
</head>
<body>
<h2>Access Error: 400 -- Bad Request</h2>
<pre></pre>
</body>
</html>原因
Веб-сервер у версії мікропрограми iDRAC8 2.81.81.81 за замовчуванням виконує перевірку заголовка хоста HTTP або HTTPS. Додаткову інформацію можна знайти в Консультативному посібнику з безпеки Dell: ДСА-2021-041: Оновлення безпеки Dell iDRAC8 для вразливості до впровадження заголовка хоста
解决方案
За замовчуванням iDRAC8 перевіряє заголовок хоста HTTP або HTTPS і порівнює його з визначеним 'DNSRacName' і 'DNSDomainName'. Якщо значення не збігаються, iDRAC відмовляється від з'єднання HTTP або HTTPS. У iDRAC8 2.81.81.81 це примусове виконання заголовка хоста можна вимкнути за допомогою такої команди RACADM:
#Disable host header check
Racadm set idrac.webserver.HostHeaderCheck 0
Racadm set idrac.webserver.HostHeaderCheck 0
Примітка: Лише встановіть параметр
Коли ввімкнено перевірку заголовків хоста HTTP або HTTPS (більш безпечна), доступ до iDRAC можна отримати за допомогою адреси IPv4 або IPv6, імені RAC або визначеного ідентифікатора iDRAC FQDN
HostHeaderCheck значення '0', якщо запис хоста, виконаний вручну, існує в середовищі DNS.
Коли ввімкнено перевірку заголовків хоста HTTP або HTTPS (більш безпечна), доступ до iDRAC можна отримати за допомогою адреси IPv4 або IPv6, імені RAC або визначеного ідентифікатора iDRAC FQDN
(DNSRacName.DNSDomainName). Якщо кінцевий користувач отримує доступ за допомогою імен хостів, про які iDRAC може бути невідомо (наприклад, запис DNS вручну, доданий до записів DNS), у версії мікропрограми iDRAC8 2.81.81.81 введено новий атрибут 'ManualDNSEntry'. Цей новий параметр можна оновити за допомогою до чотирьох IP-адрес, імен хостів або FQDN, щоб надати білий список заголовків хостів. Це гарантує, що вхідні запити не відкидаються, коли заголовок хоста HTTP або HTTPS містить один із записів у файлі 'ManualDNSEntry' обстановка.
# Add manual entry to allow list
racadm set idrac.webserver.ManualDNSEntry 192.168.20.30
racadm set idrac.webserver.ManualDNSentry 192.168.20.30,idrac.mydomain.com
Така додаткова настройка потрібна в тих випадках, коли:
- Кінцевий користувач використовує ручну конфігурацію DNS для доступу до iDRAC (Manual DNS Host Record.
- Для доступу до iDRAC використовується альтернативне ім'я суб'єкта або сертифікат підстановки.
- Доступ до iDRAC за допомогою IP-адреси хоста безпосередньо (за допомогою ISM).
Примітка: Щоб вирішити проблеми з підключенням ISM, вимкнення функції перевірки заголовків хоста є єдиним пом'якшенням. Записи DNS вручну не вирішують з'єднання ISM.
受影响的产品
iDRAC8 with Lifecycle Controller version 2.81.81.81文章属性
文章编号: 000189996
文章类型: Solution
上次修改时间: 09 12月 2024
版本: 12
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。