Documentation SOS Radio Asso

Outils pour utilisateurs

Outils du site

Piste : martine
martine:idrac

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
martine:idrac [2024/02/09 21:04] – créée lilamartine:idrac [2024/05/21 19:37] (Version actuelle) lila
Ligne 1: Ligne 1:
 ====== iDRAC de martine ====== ====== iDRAC de martine ======
  
-L'iDRAC c'est le système IPMI de Dell, ça permet de voir l'écran à distance, de configurer des bails genre le BIOSetc.+L'iDRAC c'est le système IPMI de Dell, c'est un petit ordi dans le serveurqui est surtout utile quand on est loin physiquementOn peut s'y connecter de plusieurs manières différentes: 
 +  * Avec un vrai clavier (et même une souris) et un écran (quand on est au DC, par exemple) 
 +  * Via l'interface web 
 +  * Via une console série 
 +  * En SSH 
 +  * Avec RACADM 
 +  * …
  
-===== Accéder à l'iDRAC =====+Sur Martine on a activé l'interface web et la console série. 
 +L'IPMI a un port ethernet dédié, qu'on a branché à un switch dédié, géré par Ielo. De là c'est branché à une machine à laquelle on a accès en SSH depuis le grand internet. Donc **pour toute connexion distante à l'IPMI, on doit passer par cette machine**.
  
-  * Réseau: pour l'instant l'iDRAC prend son IP en DHCP 
-  * Authentification: voir dans nos gestionnaires de mot de passe 
-  * Console graphique: c'est en HTML5 depuis l'interface web de l'IPMI. 
-  
  
-===== TODO =====+===== Infos générales =====
  
-  * fermer l'accès ssh de l'idrac , garder que le web +  * Réseau: l'iDRAC prend son IP en DHCP, c'est ielo qui gère 
-  * noter les empreintes des certif https (en changer ? générer un a nous ?+    * MAC: 18:66:DA:BD:70:BB  
-  * idrac n'aura pas d'accès à internet dans le sens idrac > internout +    * IP assignée par Ielo: 10.0.240.12 
-  * changer le password+  * L'iDRAC n'a pas d'accès à internet dans le sens iDRAC > internout 
 + 
 + 
 +===== Configurer l'iDRAC et/ou se connecter à une console ===== 
 + 
 +==== Via l'interface web ==== 
 + 
 +**Préparer la connexion (à ne faire qu'une seule fois) :** 
 + 
 +  * Ajouter notre nom iDRAC à nos hôtes locaux: 
 +    * Dans /etc/hosts, ajouter ''10.0.240.12 idrac-gqj0hl2'' 
 +  * Configurer un profil Firefox dédié: 
 +    * Lancer ''firefox -P'' 
 +    * Créer un nouveau profil appelé par exemple "idrac martine (8890)" 
 +    * Ouvrir le profil en question 
 +    * Aller dans ''Paramètres'' 
 +      * Tout en bas ''Paramètres Réseau''cliquer sur ''Paramètres'' 
 +        * Cocher ''Configuration manuelle du proxy'' 
 +        * Hôte socks: ''127.0.0.1'', Port: ''8890'' 
 +        * Ne **pas cocher** ''Utiliser un DNS distant lorsque SOCKS v5 est actif'' 
 +        * Cliquer OK 
 +      * Dans l'onglet Accueil, mettre ''https://idrac-gqj0hl2'' comme page d'accueil 
 +      * Y'a moyen de faire d'autres trucs, comme ajouter le certificat de maniere definitive pour https://idrac-gqj0hl2:443 et https://idrac-gqj0hl2:5900 et desactiver le blocage des pop-up 
 + 
 +**Se connecter :** 
 + 
 +  * Monter un tunnel SSH entre notre ordi et le côté publique du https de l'iDRAC (un tunnel chez ielo) 
 +    * Fingerprint du serveur SSH chez ielo: **''SHA256:6HzYsxcPG/zDLoRlsCf2o35cqD7DlbDDcG8Fg5Yaxlo''** 
 +    * Version pour lila: ''tsocks ssh -i .ssh/keys/lila -N -D8890 sos-radio@gudule.liazo.net -p4322 -ocontrolpath=none'' 
 +    * Version pour clem: ''ssh -i .ssh/CLE(a-changer-N -D8890 sos-radio@gudule.liazo.net -p4322'' 
 +      * Voir aussi le fichier [[martine:ssh_config_local|.ssh/config]] 
 +  * Ouvrir le profil "iDRAC" de notre navigateur 
 +    * Aller sur https://idrac-GQJ0HL2 
 +    * On utilise un certificat TLS autosigné qu'on doit **vérifier et accepter à chaque fois**: 
 +      * **''SHA-256: 5E:74:8E:39:F9:00:91:2B:F9:D2:EA:39:22:A3:84:F1:17:00:6B:DB:85:13:9E:80:B4:01:0F:EA:BE:C5:F9:1C''** 
 +  * Se connecter, bidouiller et **noter dans le [[#Changelog]]** 
 +  * Utiliser la //Console Virtuelle// pour voir l'écran de la machine 
 +    * **ATTENTION:** penser à fermer les sessions ouvertes sur la console !!! 
 + 
 + 
 +==== Via la console série ==== 
 + 
 +Infos: 
 +  * Touche Echap (pas compris, vu dans les paramètres iDRAC) : ''^\'' 
 +  * Touches F1, F2 etc: ''Echap-Shift-//N//'' 
 +  * ''ssh -ti .ssh/keys/lila sos-radio@gudule.liazo.net -p4322 -ocontrolpath=none ipmitool -I lanplus -H 10.0.240.12 -U <username> sol activate'' 
 +    * (Voir aussi le fichier [[martine:ssh_config_local|.ssh/config]]) 
 +    * Ça va demander le password 
 +      * Pour sortir de là, killer la session avec ''~~.'' (ça ne marche qu'après Entrée, mais parfois on peut pas faire Entrée sans conséquence). On peut kill la session ssh directement, avec ''~.'' 
 +        * On peut aussi set le caractère d'échappement de la session ipmi en rajoutant ''-eX'' juste avant ''-U'' dans la commande, et en remplaçant X par un caractère de notre choix 
 +    * Si ça veut pas, on peut commencer par un ''sol deactivate'' 
 +    * Si on veut voir ce que dit l'initramfs, il faut retirer une option à la ligne "Linux" des commandes GRUB: touche ''e'' quand on est sur l'écran GRUB, puis descendre à la ligne qui commence par ''Linux'' et déplacer ''console=tty1'' avant l'autre ''console='' 
 +  * Autres commandes possibles: 
 +    * ''power cycle'' 
 +    * ''power on'' 
 +    * ''power off'' 
 + 
 + 
 +=== Depuis l'OS === 
 + 
 +Y'a plusieurs outils, notamment ''ipmitool''
 +https://ipmiutil.sourceforge.net/docs/ipmisw-compare.htm 
 + 
 +//À documenter// 
 + 
 + 
 +===== TODO =====
  
 +  * générer un certificat neuf et l'uploader dans l'iDRAC
 +    * https://www.dell.com/community/en/conversations/systems-management-general/uploading-a-private-ca-rootintermediate-certificate-to-idrac/647f84f9f4ccf8a8de3e001c
 +  * Désactiver le Host Header check: https://www.dell.com/support/kbdoc/en-us/000189996/idrac8-https-fqdn-connection-failures-on-2-81-81-81
 +  * Désactiver les ports USB ? (ptet check pour clavier et pour lecteur carte SD)
 +  * Désactiver HyperThreading ou alors plutôt activer les mitigations MDS (voir `dmesg` et voir la cmdline de Tails)
  
  
 ===== Changelog ===== ===== Changelog =====
  
-  * 2024-02-09: L'iDRAC était en 2.40.40.40, on l'a mis à jour en 2.85.85.85, mais ça marchait pas direct alors on a du passer en 2.60, puis 2.75, puis enfin 2.85. Pour ça on a téléchargé sur dell.com les mises à jour au format .exe (ouiii) et vérifié les hash sha256 obtenus depuis plusieurs navigateurs différents histoire de réduire le risque de MITM.+  * 2024-04: 
 +    * Ajout clé SSH de clem au tunnel liazo 
 +    * Modifications paramètres BIOS: 
 +      * Menu ''Serial Communication'' 
 +        * ''Serial Communication'': ''On with Console Redirection via COM1'' 
 +        * ''Serial Port Address'': ''Serial Device1=COM1,Serial Device2=COM2'' 
 +        * ''External Serial connector'': ''Serial Device 2'' 
 +        * ''Redirection after boot'': ''Disabled'' 
 +    * Modifications paramètres IPMI: 
 +      * Paramètres d'iDRAC, Réseau: 
 +        * Onglet Réseau: Paramètres IPMI : coché ''Activer IPMI sur le LAN'' 
 +        * Onglet Communications série sur le LAN: coché ''Activer les communications…'' et tout le reste 
 +        * Onglet Services: activé SSH 
 +  * 2024-02-09: 
 +    * L'iDRAC était en 2.40.40.40, on l'a mis à jour en 2.85.85.85, mais ça marchait pas direct alors on a du passer en 2.60, puis 2.75, puis enfin 2.85. Pour ça on a téléchargé sur dell.com les mises à jour au format .exe (ouiii) et vérifié les hash sha256 obtenus depuis plusieurs navigateurs différents histoire de réduire le risque de MITM. 
 +    * Timezone: Europe/Paris 
 +    * iDRAC Settings → Network → Serial over LAN: désactivé 
 +    * iDRAC Settings → Network → Services: désactivé SSH
  
  
  
martine/idrac.1707512681.txt.gz · Dernière modification : de lila
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : Public Domain
Public Domain Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki