Échecs de connexion FQDN HTTP et HTTPS sur le firmware iDRAC9 version 5.10.00.00
Résumé:
La version 5.10.00.00 du firmware Dell iDRAC9 bloque l’accès HTTP et HTTPS via le nom de domaine complet (FQDN). Il n’est pas défini comme le nom du contrôleur d’accès distant (RAC) de
l’iDRAC.
...
Sélectionnez un produit pour vérifier la pertinence de l’article
Cet article concerne Cet article ne concerne pasCet article n’est associé à aucun produit spécifique.Toutes les versions du produit ne sont pas identifiées dans cet article.
La version 5.10.00.00 du firmware Dell Integrated Dell Remote Access Controller 9 (iDRAC9) a introduit des modifications de connexion HTTP et HTTPS. Ces modifications peuvent avoir un impact sur les connexions utilisateur lors de la spécification d’une adresse de nom de domaine complet (FQDN). En raison de ces modifications, les utilisateurs iDRAC9 peuvent rencontrer des erreurs de connexion, de redirection ou des erreurs « 400 - Bad Request ». Ces observations de connexion se produisent lorsque le FQDN spécifié ne correspond pas aux valeurs « DNSRacName » ou « DNSDomainName » de l’iDRAC.
Exemple d’erreur de navigateur :
Figure 1 :Exemple d’erreur d’en-tête HTTPS Mozilla Curl Error :
Par défaut, l’iDRAC9 vérifie l’en-tête d’hôte HTTP et HTTPS et le compare aux paramètres « DNSRacName » et « DNSDomainName » définis. Lorsque les valeurs ne correspondent pas, l’iDRAC refuse la connexion HTTP et HTTPS. Dans iDRAC9 5.10.00.00, cette application de l’en-tête d’hôte peut être désactivée à l’aide de la commande RACADM suivante.
#Disable host header check
racadm set idrac.webserver.HostHeaderCheck 0
Remarque : Définissez la valeur HostHeaderCheck uniquement sur « 0 » lorsqu’il existe un enregistrement d’hôte manuel dans l’environnement DNS.
Lorsque la vérification de l’en-tête de l’hôte HTTP et HTTPS est activée (plus sécurisée), l’iDRAC est accessible à l’aide de l’adresse IPv4/IPv6, du nom RAC et du FQDN de l’iDRAC défini (DNSRacName.DNSDomainName). Si l’utilisateur final se connecte avec des noms d’hôte dont l’iDRAC peut ne pas avoir connaissance (tels que les entrées DNS manuelles ajoutées dans les enregistrements DNS), la version du firmware iDRAC9 5.10.00.00 a introduit un nouvel attribut « ManualDNSEntry ». Ce nouveau paramètre peut être mis à jour avec un maximum de quatre adresses IP et noms d’hôte/FQDN pour fournir une liste verte d’en-têtes d’hôte. Cela garantit que les demandes entrantes ne sont pas supprimées lorsque l’en-tête d’hôte HTTP et HTTPS prend en charge l’une des entrées du paramètre « ManualDNSEntry ».
# Add manual entry to allow list
racadm set idrac.webserver.ManualDNSEntry 192.168.20.30
racadm set idrac.webserver.ManualDNSentry 192.168.20.30,idrac.mydomain.com
Cette configuration supplémentaire est requise dans les cas suivants :
L’utilisateur final utilise la configuration DNS manuelle pour accéder à iDRAC (enregistrement d’hôte DNS manuel)
Le nom alternatif de l’objet/certificat générique est utilisé pour accéder à l’iDRAC
Accès à l’iDRAC à l’aide de l’adresse IP de l’hôte directement (à l’aide d’ISM)
Remarque : Pour résoudre les problèmes de connexion ISM, la désactivation de la fonctionnalité de vérification de l’en-tête de l’hôte est la seule solution d’atténuation. Les entrées DNS manuelles ne résolvent pas les connexions ISM.