L'iDRAC c'est le système IPMI de Dell, c'est un petit ordi dans le serveur, qui est surtout utile quand on est loin physiquement. On peut s'y connecter de plusieurs manières différentes:

• Avec un vrai clavier (et même une souris) et un écran (quand on est au DC, par exemple)
• Via l'interface web
• Via une console série
• En SSH
• Avec RACADM
• …

Sur Martine on a activé l'interface web et la console série. L'IPMI a un port ethernet dédié, qu'on a branché à un switch dédié, géré par Ielo. De là c'est branché à une machine à laquelle on a accès en SSH depuis le grand internet. Donc pour toute connexion distante à l'IPMI, on doit passer par cette machine.

• Réseau: l'iDRAC prend son IP en DHCP, c'est ielo qui gère
  • MAC: 18:66:DA:BD:70:BB
  • IP assignée par Ielo: 10.0.240.12
• L'iDRAC n'a pas d'accès à internet dans le sens iDRAC > internout

Préparer la connexion (à ne faire qu'une seule fois) :

• Ajouter notre nom iDRAC à nos hôtes locaux:
  • Dans /etc/hosts, ajouter 10.0.240.12 idrac-gqj0hl2
• Configurer un profil Firefox dédié:
  • Lancer firefox -P
  • Créer un nouveau profil appelé par exemple “idrac martine (8890)”
  • Ouvrir le profil en question
  • Aller dans Paramètres
    • Tout en bas Paramètres Réseau, cliquer sur Paramètres
      • Cocher Configuration manuelle du proxy
      • Hôte socks: 127.0.0.1, Port: 8890
      • Ne pas cocher Utiliser un DNS distant lorsque SOCKS v5 est actif
      • Cliquer OK
    • Dans l'onglet Accueil, mettre https://idrac-gqj0hl2 comme page d'accueil
    • Y'a moyen de faire d'autres trucs, comme ajouter le certificat de maniere definitive pour https://idrac-gqj0hl2:443 et https://idrac-gqj0hl2:5900 et desactiver le blocage des pop-up

Se connecter :

• Monter un tunnel SSH entre notre ordi et le côté publique du https de l'iDRAC (un tunnel chez ielo)
  • Fingerprint du serveur SSH chez ielo: SHA256:6HzYsxcPG/zDLoRlsCf2o35cqD7DlbDDcG8Fg5Yaxlo
  • Version pour lila: tsocks ssh -i .ssh/keys/lila -N -D8890 sos-radio@gudule.liazo.net -p4322 -ocontrolpath=none
  • Version pour clem: ssh -i .ssh/CLE(a-changer) -N -D8890 sos-radio@gudule.liazo.net -p4322
• Ouvrir le profil “iDRAC” de notre navigateur
  • Aller sur https://idrac-GQJ0HL2
  • On utilise un certificat TLS autosigné qu'on doit vérifier et accepter à chaque fois:
    • SHA-256: 5E:74:8E:39:F9:00:91:2B:F9:D2:EA:39:22:A3:84:F1:17:00:6B:DB:85:13:9E:80:B4:01:0F:EA:BE:C5:F9:1C
• Se connecter, bidouiller et noter dans le Changelog
• Utiliser la Console Virtuelle pour voir l'écran de la machine
  • ATTENTION: penser à fermer les sessions ouvertes sur la console !!!

Infos:

• Touche Echap (pas compris, vu dans les paramètres iDRAC) : ^\
• Touches F1, F2 etc: Echap-Shift-N
• ssh -ti .ssh/keys/lila sos-radio@gudule.liazo.net -p4322 -ocontrolpath=none ipmitool -I lanplus -H 10.0.240.12 -U <username> sol activate
  • Ça va demander le password
    • Pour sortir de là, killer la session avec ~~. (ça ne marche qu'après Entrée, mais parfois on peut pas faire Entrée sans conséquence). On peut kill la session ssh directement, avec ~.
      • On peut aussi set le caractère d'échappement de la session ipmi en rajoutant -eX juste avant -U dans la commande, et en remplaçant X par un caractère de notre choix
  • Si ça veut pas, on peut commencer par un sol deactivate
  • Si on veut voir ce que dit l'initramfs, il faut retirer une option à la ligne “Linux” des commandes GRUB: touche e quand on est sur l'écran GRUB, puis descendre à la ligne qui commence par Linux et déplacer console=tty1 avant l'autre console=
• Autres commandes possibles:
  • power cycle
  • power on
  • power off

Y'a plusieurs outils, notamment ipmitool. https://ipmiutil.sourceforge.net/docs/ipmisw-compare.htm

À documenter

• générer un certificat neuf et l'uploader dans l'iDRAC
  • https://www.dell.com/community/en/conversations/systems-management-general/uploading-a-private-ca-rootintermediate-certificate-to-idrac/647f84f9f4ccf8a8de3e001c
• Désactiver le Host Header check: https://www.dell.com/support/kbdoc/en-us/000189996/idrac8-https-fqdn-connection-failures-on-2-81-81-81
• Désactiver les ports USB ? (ptet check pour clavier et pour lecteur carte SD)
• Désactiver HyperThreading ou alors plutôt activer les mitigations MDS (voir `dmesg` et voir la cmdline de Tails)

• 2024-04:
  • Ajout clé SSH de clem au tunnel liazo
  • Modifications paramètres BIOS:
    • Menu Serial Communication
      • Serial Communication: On with Console Redirection via COM1
      • Serial Port Address: Serial Device1=COM1,Serial Device2=COM2
      • External Serial connector: Serial Device 2
      • Redirection after boot: Disabled
  • Modifications paramètres IPMI:
    • Paramètres d'iDRAC, Réseau:
      • Onglet Réseau: Paramètres IPMI : coché Activer IPMI sur le LAN
      • Onglet Communications série sur le LAN: coché Activer les communications… et tout le reste
      • Onglet Services: activé SSH
• 2024-02-09:
  • L'iDRAC était en 2.40.40.40, on l'a mis à jour en 2.85.85.85, mais ça marchait pas direct alors on a du passer en 2.60, puis 2.75, puis enfin 2.85. Pour ça on a téléchargé sur dell.com les mises à jour au format .exe (ouiii) et vérifié les hash sha256 obtenus depuis plusieurs navigateurs différents histoire de réduire le risque de MITM.
  • Timezone: Europe/Paris
  • iDRAC Settings → Network → Serial over LAN: désactivé
  • iDRAC Settings → Network → Services: désactivé SSH