Échecs de connexion HTTP/HTTPS FQDN sur la version du micrologiciel iDRAC8 2.81.81.81
Summary: La version micrologicielle Dell EMC Integrated Dell Remote Access Controller 8 (iDRAC8) bloque l’accès HTTP/HTTPS par le biais du nom de domaine complet (FQDN) lorsque le FQDN n’est pas défini en tant que nom du RAC iDRAC. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
La version de micrologiciel Dell EMC Integrated Dell Remote Access Controller 8 (iDRAC8) a introduit des modifications de connexion HTTP/HTTPS qui peuvent avoir un impact sur les connexions utilisateur lors de la spécification de l’adresse de nom de domaine complet (FQDN). En effet, les utilisateurs iDRAC8 peuvent rencontrer des erreurs de connexion, des redirections ou des erreurs de « 400-Bad Request ». Ces conseils de connexion se produisent lorsque le FQDN spécifié ne correspond pas aux valeurs iDRAC’DNSRacName’ou’nom_domaine_dns'.
Exemple d’erreur de navigateur :
Exemple d’erreur de boucle :
root@rhel7-vm:~$ curl -k https://iR630-A.dell.com/ <!DOCTYPE html><head><title>Bad Request</title><link rel="shortcut icon" href="data:image/x-icon;," type="image/x-icon"></head><body><h2>Access Error: 400 -- Bad Request</h2><pre></pre></body></html>Cause
Le serveur WebServer dans la version du micrologiciel iDRAC8 2.81.81.81.81 applique une vérification de l’en-tête hôte HTTP/HTTPS par défaut. Des informations supplémentaires sont disponibles dans la Dell Conseil de sécurité :DSA-2021-041 : Dell iDRAC 8 mise à jour de sécurité pour une vulnérabilité d’injection d’en-tête d’hôte.
Resolution
Par défaut, iDRAC8 vérifie l’en-tête HTTP/HTTPS hôte et est comparé aux valeurs « DNSRacName » et « nom_domaine_dns » définies. Lorsque les valeurs ne correspondent pas, la iDRAC refuse la connexion HTTP/HTTPS. Dans iDRAC8 2.81.81.81, cette mise en œuvre de l’en-tête d’hôte peut être désactivée à l’aide de la commande RACADM suivante.
#Disable host header check
racadm set idrac.webserver.HostHeaderCheck 0
Remarque : Définissez uniquement la valeur HostHeaderCheck sur « 0 » lorsque l’enregistrement d’hôte manuel existe dans DNS environnement.
Lorsque la vérification de l’en-tête HTTP/HTTPS hôte est activée (plus sécurisée), iDRAC est accessible à l’aide de l’adresse IPv4/IPv6, du nom RAC et/ou de la iDRAC FQDN définie (DNSRacName. nom_domaine_dns). Si l’utilisateur final accède à des noms d’hôte dont iDRAC peut ne pas être conscient (par exemple, les entrées de DNS manuel ajoutées dans DNS enregistrements), le micrologiciel 2.81.81.81 version du micrologiciel iDRAC8 a introduit un nouvel attribut'ManualDNSEntry'. Ce nouveau paramètre peut être mis à jour avec jusqu’à 4 adresses IP/noms d’hôte/FQDN pour fournir une liste de l’en-tête de l’hôte. Cela garantit que les demandes entrantes ne sont pas abandonnées lorsque l’en-tête de l’hôte HTTP/HTTPS transmet l’une des entrées dans le paramètre « ManualDNSEntry ».
# Add manual entry to allow list
racadm set idrac.webserver.ManualDNSEntry 192.168.20.30
racadm set idrac.webserver.ManualDNSentry 192.168.20.30,idrac.mydomain.com
Cette configuration supplémentaire est nécessaire dans les cas suivants :
- L’utilisateur final utilise la configuration manuelle de l’DNS pour accéder à iDRAC (l’enregistrement d’hôte DNS manuel
- Le nom alternatif de l’objet/le certificat générique est utilisé pour accéder au iDRAC
- Accès à iDRAC à l’aide de l’adresse IP de l’hôte directement (via ISM)
Affected Products
iDRAC8 with Lifecycle Controller version 2.81.81.81Article Properties
Article Number: 000189996
Article Type: Solution
Last Modified: 11 Jan 2022
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.