L'iDRAC c'est le système IPMI de Dell, ça permet de voir l'écran à distance, de configurer des bails genre le BIOS, etc.

• Réseau: l'iDRAC prend son IP en DHCP, c'est ielo qui gère
  • MAC: 18:66:DA:BD:70:BB
  • IP assignée par Ielo: 10.0.240.12
• Console graphique: c'est en HTML5 depuis l'interface web de l'IPMI
• L'iDRAC n'a pas d'accès à internet dans le sens iDRAC > internout

À faire qu'une seule fois

• Ajouter notre nom iDRAC à nos hôtes:
  • Dans /etc/hosts, ajouter 10.0.240.12 idrac-gqj0hl2
• Configurer un profil Firefox dédié:
  • Lancer firefox -P
  • Créer un nouveau profil appelé par exemple “idrac martine (8890)”
  • Ouvrir le profil en question
  • Aller dans Paramètres
    • Tout en bas Paramètres Réseau, cliquer sur Paramètres
      • Cocher Configuration manuelle du proxy
      • Hôte socks: 127.0.0.1, Port: 8890
      • Ne pas cocher Utiliser un DNS distant lorsque SOCKS v5 est actif
      • Cliquer OK
    • Dans l'onglet Accueil, mettre https://idrac-gqj0hl2 comme page d'accueil
    • Y'a moyen de faire d'autres trucs, comme ajouter le certificat de maniere definitive pour https://idrac-gqj0hl2:443 et https://idrac-gqj0hl2:5900 et desactiver le blocage des pop-up

• Monter un tunnel SSH entre notre ordi et le côté publique du https de l'iDRAC (un tunnel chez ielo)
  • Fingerprint du serveur SSH chez ielo: SHA256:6HzYsxcPG/zDLoRlsCf2o35cqD7DlbDDcG8Fg5Yaxlo
  • Version pour lila: tsocks ssh -i .ssh/keys/lila -N -D8890 sos-radio@gudule.liazo.net -p4322 -ocontrolpath=none
  • Version pour clem: ssh -i .ssh/CLE(a-changer) -N -D8890 sos-radio@gudule.liazo.net -p4322
• Ouvrir le profil “iDRAC” de notre navigateur
  • Aller sur https://idrac-GQJ0HL2
  • On utilise un certificat TLS autosigné qu'on doit vérifier et accepter à chaque fois:
    • SHA-256: 5E:74:8E:39:F9:00:91:2B:F9:D2:EA:39:22:A3:84:F1:17:00:6B:DB:85:13:9E:80:B4:01:0F:EA:BE:C5:F9:1C
• Se connecter, bidouiller et noter dans le Changelog
• ATTENTION: penser à fermer les sessions ouvertes sur la console !!!

Touche Echap : ^\

Ces commandes peuvent être éxecutées sans avoir besoin des tunnels (remplacer <username> par notre username de connexion à l'iDRAC) :

ipmitool -I lanplus -H 10.0.240.12( -e.)? -U <username> sol activate
ipmitool -I lanplus -H 10.0.240.12( -e.)? -U <username> sol deactivate
ipmitool -I lanplus -H 10.0.240.12( -e.)? -U <username> power cycle
ipmitool -I lanplus -H 10.0.240.12( -e.)? -U <username> power on
ipmitool -I lanplus -H 10.0.240.12( -e.)? -U <username> power off

Pour éxécuter ça, utiliser cette commande:

ssh -i .ssh/CLE(a-changer) sos-radio@gudule.liazo.net -p4322 <commande>

• Notes sur ipmitool:
  • -e [sol_escape_char]
    • Use supplied character for SOL session escape character. The default is to use ~ but this can conflict with SSH sessions.
  • Si on est dans une session ssh qui est elle-même dans une session SOL, on peut utiliser '~~' pour échaper SOL, et '~' pour échaper SSH

• générer un certificat neuf et l'uploader dans l'iDRAC
  • https://www.dell.com/community/en/conversations/systems-management-general/uploading-a-private-ca-rootintermediate-certificate-to-idrac/647f84f9f4ccf8a8de3e001c
• Désactiver le Host Header check: https://www.dell.com/support/kbdoc/en-us/000189996/idrac8-https-fqdn-connection-failures-on-2-81-81-81
• Désactiver les ports USB ? (ptet check pour clavier et pour lecteur carte SD)
• Désactiver HyperThreading ou alors plutôt activer les mitigations MDS (voir `dmesg` et voir la cmdline de Tails)
• Activer SOL dans le BIOS

• 2024-04:
  • Ajout clé SSH de clem au tunnel liazo
  • Modifications paramètres BIOS:
    • Menu Serial Communication
      • Serial Communication: On with Console Redirection via COM1
      • Serial Port Address: Serial Device1=COM1,Serial Device2=COM2
      • External Serial connector: Serial Device 2
      • Redirection after boot: Enabled
  • Modifications paramètres IPMI:
    • Paramètres d'iDRAC, Réseau:
      • Onglet Réseau: Paramètres IPMI : coché Activer IPMI sur le LAN
      • Onglet Communications série sur le LAN: coché Activer les communications… et tout le reste
      • Onglet Services: activé SSH
• 2024-02-09:
  • L'iDRAC était en 2.40.40.40, on l'a mis à jour en 2.85.85.85, mais ça marchait pas direct alors on a du passer en 2.60, puis 2.75, puis enfin 2.85. Pour ça on a téléchargé sur dell.com les mises à jour au format .exe (ouiii) et vérifié les hash sha256 obtenus depuis plusieurs navigateurs différents histoire de réduire le risque de MITM.
  • Timezone: Europe/Paris
  • iDRAC Settings → Network → Serial over LAN: désactivé
  • iDRAC Settings → Network → Services: désactivé SSH