====== iDRAC de martine ====== L'iDRAC c'est le système IPMI de Dell, c'est un petit ordi dans le serveur, qui est surtout utile quand on est loin physiquement. On peut s'y connecter de plusieurs manières différentes: * Avec un vrai clavier (et même une souris) et un écran (quand on est au DC, par exemple) * Via l'interface web * Via une console série * En SSH * Avec RACADM * … Sur Martine on a activé l'interface web et la console série. L'IPMI a un port ethernet dédié, qu'on a branché à un switch dédié, géré par Ielo. De là c'est branché à une machine à laquelle on a accès en SSH depuis le grand internet. Donc **pour toute connexion distante à l'IPMI, on doit passer par cette machine**. ===== Infos générales ===== * Réseau: l'iDRAC prend son IP en DHCP, c'est ielo qui gère * MAC: 18:66:DA:BD:70:BB * IP assignée par Ielo: 10.0.240.12 * L'iDRAC n'a pas d'accès à internet dans le sens iDRAC > internout ===== Configurer l'iDRAC et/ou se connecter à une console ===== ==== Via l'interface web ==== **Préparer la connexion (à ne faire qu'une seule fois) :** * Ajouter notre nom iDRAC à nos hôtes locaux: * Dans /etc/hosts, ajouter ''10.0.240.12 idrac-gqj0hl2'' * Configurer un profil Firefox dédié: * Lancer ''firefox -P'' * Créer un nouveau profil appelé par exemple "idrac martine (8890)" * Ouvrir le profil en question * Aller dans ''Paramètres'' * Tout en bas ''Paramètres Réseau'', cliquer sur ''Paramètres'' * Cocher ''Configuration manuelle du proxy'' * Hôte socks: ''127.0.0.1'', Port: ''8890'' * Ne **pas cocher** ''Utiliser un DNS distant lorsque SOCKS v5 est actif'' * Cliquer OK * Dans l'onglet Accueil, mettre ''https://idrac-gqj0hl2'' comme page d'accueil * Y'a moyen de faire d'autres trucs, comme ajouter le certificat de maniere definitive pour https://idrac-gqj0hl2:443 et https://idrac-gqj0hl2:5900 et desactiver le blocage des pop-up **Se connecter :** * Monter un tunnel SSH entre notre ordi et le côté publique du https de l'iDRAC (un tunnel chez ielo) * Fingerprint du serveur SSH chez ielo: **''SHA256:6HzYsxcPG/zDLoRlsCf2o35cqD7DlbDDcG8Fg5Yaxlo''** * Version pour lila: ''tsocks ssh -i .ssh/keys/lila -N -D8890 sos-radio@gudule.liazo.net -p4322 -ocontrolpath=none'' * Version pour clem: ''ssh -i .ssh/CLE(a-changer) -N -D8890 sos-radio@gudule.liazo.net -p4322'' * Voir aussi le fichier [[martine:ssh_config_local|.ssh/config]] * Ouvrir le profil "iDRAC" de notre navigateur * Aller sur https://idrac-GQJ0HL2 * On utilise un certificat TLS autosigné qu'on doit **vérifier et accepter à chaque fois**: * **''SHA-256: 5E:74:8E:39:F9:00:91:2B:F9:D2:EA:39:22:A3:84:F1:17:00:6B:DB:85:13:9E:80:B4:01:0F:EA:BE:C5:F9:1C''** * Se connecter, bidouiller et **noter dans le [[#Changelog]]** * Utiliser la //Console Virtuelle// pour voir l'écran de la machine * **ATTENTION:** penser à fermer les sessions ouvertes sur la console !!! ==== Via la console série ==== Infos: * Touche Echap (pas compris, vu dans les paramètres iDRAC) : ''^\'' * Touches F1, F2 etc: ''Echap-Shift-//N//'' * ''ssh -ti .ssh/keys/lila sos-radio@gudule.liazo.net -p4322 -ocontrolpath=none ipmitool -I lanplus -H 10.0.240.12 -U sol activate'' * (Voir aussi le fichier [[martine:ssh_config_local|.ssh/config]]) * Ça va demander le password * Pour sortir de là, killer la session avec ''~~.'' (ça ne marche qu'après Entrée, mais parfois on peut pas faire Entrée sans conséquence). On peut kill la session ssh directement, avec ''~.'' * On peut aussi set le caractère d'échappement de la session ipmi en rajoutant ''-eX'' juste avant ''-U'' dans la commande, et en remplaçant X par un caractère de notre choix * Si ça veut pas, on peut commencer par un ''sol deactivate'' * Si on veut voir ce que dit l'initramfs, il faut retirer une option à la ligne "Linux" des commandes GRUB: touche ''e'' quand on est sur l'écran GRUB, puis descendre à la ligne qui commence par ''Linux'' et déplacer ''console=tty1'' avant l'autre ''console='' * Autres commandes possibles: * ''power cycle'' * ''power on'' * ''power off'' === Depuis l'OS === Y'a plusieurs outils, notamment ''ipmitool''. https://ipmiutil.sourceforge.net/docs/ipmisw-compare.htm //À documenter// ===== TODO ===== * générer un certificat neuf et l'uploader dans l'iDRAC * https://www.dell.com/community/en/conversations/systems-management-general/uploading-a-private-ca-rootintermediate-certificate-to-idrac/647f84f9f4ccf8a8de3e001c * Désactiver le Host Header check: https://www.dell.com/support/kbdoc/en-us/000189996/idrac8-https-fqdn-connection-failures-on-2-81-81-81 * Désactiver les ports USB ? (ptet check pour clavier et pour lecteur carte SD) * Désactiver HyperThreading ou alors plutôt activer les mitigations MDS (voir `dmesg` et voir la cmdline de Tails) ===== Changelog ===== * 2024-04: * Ajout clé SSH de clem au tunnel liazo * Modifications paramètres BIOS: * Menu ''Serial Communication'' * ''Serial Communication'': ''On with Console Redirection via COM1'' * ''Serial Port Address'': ''Serial Device1=COM1,Serial Device2=COM2'' * ''External Serial connector'': ''Serial Device 2'' * ''Redirection after boot'': ''Disabled'' * Modifications paramètres IPMI: * Paramètres d'iDRAC, Réseau: * Onglet Réseau: Paramètres IPMI : coché ''Activer IPMI sur le LAN'' * Onglet Communications série sur le LAN: coché ''Activer les communications…'' et tout le reste * Onglet Services: activé SSH * 2024-02-09: * L'iDRAC était en 2.40.40.40, on l'a mis à jour en 2.85.85.85, mais ça marchait pas direct alors on a du passer en 2.60, puis 2.75, puis enfin 2.85. Pour ça on a téléchargé sur dell.com les mises à jour au format .exe (ouiii) et vérifié les hash sha256 obtenus depuis plusieurs navigateurs différents histoire de réduire le risque de MITM. * Timezone: Europe/Paris * iDRAC Settings → Network → Serial over LAN: désactivé * iDRAC Settings → Network → Services: désactivé SSH