Configurando o RADIUS ou LDAP no Supermicro (ATEN) IPMI

5

Estou tentando obter nosso novo servidor, um IMPI do X8DTN + -F configurado para conversar com nossos servidores de autenticação. As duas opções são LDAP e RADIUS.

Estou depurando isso olhando para as capturas de pacotes, pois parece que as coisas da IPMI não registram nada.

Primeiro tentei o LDAP, mas o material do IMPI insistia na ligação como um usuário diferente daquele que faz login (wtf). Uma vez que eu configurei o seu próprio usuário, ele conseguiu encontrar o usuário (embora não procurando o atributo que eu queria, e parecia que não havia como alterá-lo), mas mesmo ao obter uma resposta ... não permitia entrar. Talvez esperasse um atributo de senha na resposta, o que obviamente não aconteceu. Ele deve apenas ligar como o usuário que está efetuando login (e deve usar LDAP sobre SSL, mas isso é outra história).

Então eu tentei o RADIUS. Agora, ele envia o esperado pacote de solicitação de acesso (com nome de usuário esperado, uma senha criptografada, um endereço IP do NAS de 127.0.0.1 [wtf] e uma porta de 1). Em seguida, ele recebe de volta um pacote de aceitação de acesso, com um tipo de serviço de Usuário Administrativo ... e, então, rejeita o login.

(Nota: por rejeita o login, quero dizer reapresenta a página de login. Não é como essa coisa acredita em mensagens de erro. Ou logs.)

Então, há algum atributo mágico que eu preciso para obter o servidor RADIUS para responder com? Alguém já conseguiu RADIUS para trabalhar com IPMI da Supermicro

    
por derobert 12.07.2010 / 17:13

1 resposta

3

Aqui estão os números mágicos, que eu não tenho idéia do significado, que eu tenho (um tempo atrás) da Supermicro (através do nosso fornecedor, Silicon Mechanics):

#vi /etc/raddb/users

Example:
    myuser          Auth-Type   :=Local, User-Password == “123456”
                    Vendor-Specific = “H=4, I=4”

    testuser        Auth-Type   :=Local, User-Password == “654321”
                    Vendor-Specific = “H=3, I=3”

Então, obviamente H = e I = significam algo, e pelo menos 3 e 4 são valores válidos (e eu não acredito que a sintaxe seja permitida pelos RFCs, mas seja qual for). Eu respondi perguntando o que isso significava, e não ouvi de volta. Acabei de enviar um acompanhamento ...

editar

Tenho uma resposta: >

Those setting match the user account type in IPMI Web GUI.

CallBack (H=1, I=1) = No Access
Basically, this type of account will be rejected by IPMI. It can be used to temporarily disable an account.

User (H=2, I=2) = User
This type of the account is only allowed to check the system status.

Operator (H=3, I=3) = Operator
This type of the account is allowed to do the remote control & check the system statsus, but can't change the configuration.

Administrator (H=4, I=4) = Administrator
The type of accout is allowed to do everything.

There is no other privilege.

editar 2

Responda aos dois significados de campo diferentes.

This is the info SuperMicro got from ATEN:

"H" means if for the user privilege. IPMI spec 2.0 defines the following channel privilege levels. We don't use the OEM Proprietary level for special privilege.

Channel Privilege Level Limit:
      0h = reserved
      1h = CALLBACK level
      2h = USER level
      3h = OPERATOR level
      4h = ADMINISTRATOR level
      5h = OEM Proprietary level

"I" is for debug purpose and it is reserved option. Please ignore it.

Below is the definition of the Channel Privilege Levels from IPMI spec 2.0:

Callback
This may be considered the lowest privilege level. Only commands necessary to support initiating a Callback are allowed.

User
Only 'benign' commands are allowed. These are primarily commands that read data structures and retrieve status. Commands that can be used to alter BMC configuration, write data to the BMC or other management controllers, or perform system actions such as resets, power on/off, and watchdog activation are disallowed.

Operator
All BMC commands are allowed, except for configuration commands that can change the behavior of the out-of band interfaces. For example, Operator privilege does not allow the capability to disable individual channels, or change user access privileges.

Administrator
All BMC commands are allowed, including configuration commands. An Adminstrator can even execute configuration commands that would disable the channel that the Administrator is communicating over.

    
por 20.01.2011 / 12:49