L'iDRAC c'est le système IPMI de Dell, ça permet de voir l'écran à distance, de configurer des bails genre le BIOS, etc.

• Réseau: pour l'instant l'iDRAC prend son IP en DHCP, c'est ielo qui gère
  • MAC: 18:66:DA:BD:70:BB
• Console graphique: c'est en HTML5 depuis l'interface web de l'IPMI
• Chez Ielo, l'iDRAC n'aura pas d'accès à internet dans le sens idrac > internout

À faire qu'une seule fois

• Ajouter notre nom idrac à nos hôtes:
  • Dans /etc/hosts, ajouter “127.0.0.1 idrac-GQJ0HL2”
• Fingerprint du serveur SSH chez ielo: SHA256:6HzYsxcPG/zDLoRlsCf2o35cqD7DlbDDcG8Fg5Yaxlo

• Monter un tunnel SSH entre notre ordi et le côté publique du https de l'iDrac (un tunnel chez ielo)
  • Version pour lila: tsocks ssh -i .ssh/keys/lila -N -L 4443:10.0.240.12:443 sos-radio@gudule.liazo.net -p4322 -ocontrolpath=none
  • Version pour clem: ssh -i .ssh/CLE(a-changer) -N -L 4443:10.0.240.12:443 sos-radio@gudule.liazo.net -p4322
• Monter un autre tunnel SSH, mais pour la console virtuelle (si besoin)
  • lila: tsocks ssh -i .ssh/keys/lila -N -L 5900:10.0.240.12:5900 sos-radio@gudule.liazo.net -p4322 -ocontrolpath=none
  • clem: ssh -i .ssh/CLE(a-changer) -N -L 5900:10.0.240.12:5900 sos-radio@gudule.liazo.net -p4322
• Ouvrir un navigateur qui n'a pas de proxy configuré
  • Aller sur https://idrac-GQJ0HL2:4443
• On utilise un certificat TLS autosigné qu'on doit vérifier et accepter à chaque fois:
  • SHA-256: 5E:74:8E:39:F9:00:91:2B:F9:D2:EA:39:22:A3:84:F1:17:00:6B:DB:85:13:9E:80:B4:01:0F:EA:BE:C5:F9:1C
• Se connecter, bidouiller et noter dans le Changelog

Ces commandes peuvent être éxecutées sans avoir besoin des tunnels. Il faut encore documenter comment les éxecuter.

ipmitool -I lanplus -H 10.0.240.12( -e.)? -U [a-zA-Z0-9] sol activate
ipmitool -I lanplus -H 10.0.240.12( -e.)? -U [a-zA-Z0-9] sol deactivate
ipmitool -I lanplus -H 10.0.240.12( -e.)? -U [a-zA-Z0-9] power cycle
ipmitool -I lanplus -H 10.0.240.12( -e.)? -U [a-zA-Z0-9] power on
ipmitool -I lanplus -H 10.0.240.12( -e.)? -U [a-zA-Z0-9] power off

• générer un certificat neuf et l'uploader dans l'iDRAC
  • https://www.dell.com/community/en/conversations/systems-management-general/uploading-a-private-ca-rootintermediate-certificate-to-idrac/647f84f9f4ccf8a8de3e001c
• Faire ajouter la clé ssh de clem au tunnel chez ielo
• Désactiver le Host Header check: https://www.dell.com/support/kbdoc/en-us/000189996/idrac8-https-fqdn-connection-failures-on-2-81-81-81

• 2024-02-09:
  • L'iDRAC était en 2.40.40.40, on l'a mis à jour en 2.85.85.85, mais ça marchait pas direct alors on a du passer en 2.60, puis 2.75, puis enfin 2.85. Pour ça on a téléchargé sur dell.com les mises à jour au format .exe (ouiii) et vérifié les hash sha256 obtenus depuis plusieurs navigateurs différents histoire de réduire le risque de MITM.
  • Timezone: Europe/Paris
  • iDRAC Settings → Network → Serial over LAN: désactivé
  • iDRAC Settings → Network → Services: désactivé SSH