der*_*ert 5 ipmi ldap authentication radius supermicro
我正在尝试获取我们的新服务器,X8DTN+-F 的 IMPI 配置为与我们的身份验证服务器通信。两种选择是 LDAP 和 RADIUS。
我正在通过查看数据包捕获来调试它,因为 IPMI 的内容似乎没有记录任何内容。
我第一次尝试 LDAP,但 IMPI 的东西坚持绑定为用户而不是登录(wtf)。一旦我设置了它自己的用户,它就设法找到了用户(虽然不是通过搜索我想要的属性,而且似乎没有办法改变它),但即使得到响应......也不允许登录。也许它期望响应中有一个密码属性,当然它没有得到。它应该只绑定为登录的用户(并且应该通过 SSL 使用 LDAP,但那是另一回事)。
所以我尝试了RADIUS。现在,它发送预期的访问请求数据包(具有预期的用户名、加密密码、NAS IP 地址 127.0.0.1 [wtf] 和端口 1)。然后它返回一个访问接受数据包,服务类型为管理用户……然后拒绝登录。
(注意:拒绝登录,我的意思是重新显示登录页面。它不像这个东西相信错误消息。或日志。)
那么,我需要让 RADIUS 服务器回复一些神奇的属性吗?有没有人让 RADIUS 与 Supermicro 的 IPMI 一起工作
以下是我(不久前)从 Supermicro(通过我们的供应商 Silicon Mechanics)获得的神奇数字,我不知道其含义:
\n\n#vi /etc/raddb/users\n\nExample:\n myuser Auth-Type :=Local, User-Password == \xe2\x80\x9c123456\xe2\x80\x9d\n Vendor-Specific = \xe2\x80\x9cH=4, I=4\xe2\x80\x9d\n\n testuser Auth-Type :=Local, User-Password == \xe2\x80\x9c654321\xe2\x80\x9d\n Vendor-Specific = \xe2\x80\x9cH=3, I=3\xe2\x80\x9d\n因此,显然 H= 和 I= 意味着某些东西,并且至少 3 和 4 是有效值(我不相信 RFC 甚至允许这种语法,但无论如何)。我回复询问这些是什么意思,但没有收到回复。我刚刚发送了后续...
\n\n收到回复:\n>
\n\n\n\n\n这些设置与 IPMI Web GUI 中的用户帐户类型匹配。
\n\nCallBack (H=1, I=1) = 无访问权
\n\n
\n 基本上,这种类型的帐户将被 IPMI 拒绝。它可用于暂时禁用帐户。User (H=2, I=2) = User
\n\n
\n 此类型的帐号只允许检查系统状态。操作员 (H=3, I=3) = 操作员
\n\n
\n 此类帐户可以进行远程控制和检查系统状态,但不能更改配置。管理员 (H=4, I=4) = 管理员
\n\n
\n 帐户类型允许执行所有操作。没有其他特权。
\n
回复两个不同的字段含义。
\n\n\n\n这是 SuperMicro 从 ATEN 获得的信息:
\n\n“H”表示是否为用户权限。IPMI 规范 2.0 定义了以下通道权限级别。我们不会使用 OEM 专有级别来获得特殊权限。
\n\n通道权限级别限制:
\n\n
\n 0h = 保留
\n 1h = CALLBACK 级别
\n 2h = 用户级别
\n 3h = 操作员级别
\n 4h = 管理员级别
\n 5h = OEM 专有级别“I”用于调试目的,是保留选项。请忽略它。
\n\n以下是 IPMI 规范 2.0 中通道权限级别的定义:
\n\n回调
\n\n
\n 这可能被认为是最低的权限级别。仅允许支持启动回调所需的命令。用户
\n\n
\n 仅允许“良性”命令。这些主要是读取数据结构和检索状态的命令。禁止使用可用于更改 BMC 配置、将数据写入 BMC 或其他管理控制器或执行系统操作(例如重置、电源开/关和看门狗激活)的命令。操作员
\n\n
\n 允许使用所有 BMC 命令,但可以更改带外接口行为的配置命令除外。例如,操作员权限不允许禁用单个通道或更改用户访问权限。管理员
\n
\n 允许所有BMC 命令,包括配置命令。管理员甚至可以执行配置命令来禁用管理员正在通信的通道。
| 归档时间: |
|
| 查看次数: |
5615 次 |
| 最近记录: |