在 Supermicro (ATEN) IPMI 上配置 RADIUS 或 LDAP

在 Supermicro (ATEN) IPMI 上配置 RADIUS 或 LDAP

我正在尝试将我们的新服务器 X8DTN+-F 的 IMPI 配置为与我们的身份验证服务器通信。两个选择是 LDAP 和 RADIUS。

我正在通过查看数据包捕获来调试这个问题,因为看起来 IPMI 的东西没有记录任何内容。

我首先尝试了 LDAP,但 IMPI 坚持要绑定为登录用户以外的用户(wtf)。一旦我为其设置了自己的用户,它就设法找到了该用户(虽然不是通过搜索我想要的属性,而且似乎没有办法更改它),但即使收到响应...也不允许登录。也许它期望响应中有一个密码属性,当然它没有得到。它应该只是绑定为正在登录的用户(并且应该使用 LDAP over SSL,但那是另一回事)。

于是我尝试了 RADIUS。现在,它发送了预期的访问请求数据包(包含预期的用户名、加密密码、NAS IP 地址 127.0.0.1 [wtf] 和端口 1)。然后它收到一个访问接受数据包,服务类型为管理用户……然后它拒绝登录。

(注意:我所说的拒绝登录是指重新显示登录页面。这个东西并不相信错误消息。或者日志。)

那么,我需要一些神奇的属性来让 RADIUS 服务器回复吗?有没有人让 RADIUS 与 Supermicro 的 IPMI 配合使用

答案1

以下是我(不久前)从 Supermicro(通过我们的供应商 Silicon Mechanics)获得的神奇数字,我不知道它们的含义:

#vi /etc/raddb/users

Example:
    myuser          Auth-Type   :=Local, User-Password == “123456”
                    Vendor-Specific = “H=4, I=4”

    testuser        Auth-Type   :=Local, User-Password == “654321”
                    Vendor-Specific = “H=3, I=3”

因此,显然 H= 和 I= 是有意义的,并且至少 3 和 4 是有效值(我不认为 RFC 允许这种语法,但无论如何)。我回复询问这些是什么意思,但没有收到回复。我刚刚发送了后续信息...

编辑

得到回复:>

这些设置与 IPMI Web GUI 中的用户帐户类型相匹配。

CallBack (H=1, I=1) = 无访问权限
基本上,这种类型的帐户将被 IPMI 拒绝。它可用于暂时禁用帐户。

用户(H=2,I=2)=用户
此类型的账户只允许检查系统状态。

操作员(H=3,I=3)=操作员
此类账户可以进行远程控制和检查系统状态,但不能更改配置。

管理员(H=4,I=4)= 管理员
该帐户类型可以执行所有操作。

沒有其他優惠。

编辑2

回复两个不同字段含义。

以下是 SuperMicro 从 ATEN 获得的信息:

“H” 表示用户权限。IPMI 规范 2.0 定义了以下通道权限级别。我们不使用 OEM 专有级别来获得特殊权限。

通道权限级别限制:
      0h = 保留
      1h = 回调级别
      2h = 用户级别
      3h = 操作员级别
      4h = 管理员级别
      5h = OEM 专有级别

“I” 用于调试目的,是保留选项。请忽略它。

以下是 IPMI 规范 2.0 中通道权限级别的定义:

回调
这可以视为最低权限级别。仅允许支持启动回调所需的命令。

用户
仅允许使用“良性”命令。这些命令主要是读取数据结构和检索状态的命令。不允许使用可用于更改 BMC 配置、将数据写入 BMC 或其他管理控制器或执行系统操作(例如重置、开机/关机和看门狗激活)的命令。

操作员
允许执行所有 BMC 命令,但可以更改带外接口行为的配置命令除外。例如,操作员权限不允许禁用单个通道或更改用户访问权限。

管理员
允许执行所有 BMC 命令,包括配置命令。管理员甚至可以执行配置命令,禁用管理员正在通信的通道。

相关内容