Я пытаюсь настроить наш новый сервер, IMPI X8DTN + -F, для связи с нашими серверами аутентификации. Есть два варианта: LDAP и RADIUS.
Я отлаживаю это, просматривая захват пакетов, так как кажется, что материал IPMI ничего не регистрирует.
Я сначала попробовал LDAP, но материал IMPI настаивал на привязке от имени пользователя, отличного от того, который вошел в систему (wtf). Как только я настроил его собственного пользователя, ему удалось найти пользователя (хотя и не путем поиска нужного мне атрибута, и казалось, что нет возможности его изменить), но даже после получения ответа ... не позволял авторизоваться. Возможно, он ожидал в ответе атрибута пароля, которого, конечно, не получил. Он должен просто связываться как пользователь, который входит в систему (и должен использовать LDAP через SSL, но это уже другая история).
Поэтому я попробовал RADIUS. Теперь он отправляет ожидаемый пакет Access-Request (с ожидаемым именем пользователя, зашифрованным паролем, IP-адресом NAS 127.0.0.1 [wtf] и портом 1). Затем он возвращает пакет доступа с подтверждением доступа с типом службы «Пользователь-администратор»… и затем отклоняет вход в систему.
(Примечание: под отклонением входа в систему я имею в виду повторное отображение страницы входа в систему. Это не значит, что эта штука верит в сообщения об ошибках. Или в журналы.)
Итак, есть ли какой-то волшебный атрибут, который мне нужен, чтобы сервер RADIUS ответил? Кто-нибудь получил RADIUS для работы с IPMI от Supermicro
Вот магические числа, значения которых я не имею понятия, которые я получил (некоторое время назад) от Supermicro (через нашего поставщика, Silicon Mechanics):
#vi /etc/raddb/users
Example:
myuser Auth-Type :=Local, User-Password == “123456”
Vendor-Specific = “H=4, I=4”
testuser Auth-Type :=Local, User-Password == “654321”
Vendor-Specific = “H=3, I=3”
Итак, очевидно, что H = и I = что-то означают, и по крайней мере 3 и 4 являются допустимыми значениями (и я не верю, что этот синтаксис даже разрешен RFC, но неважно). Я ответил, спрашивая, что это значит, и не получил ответа. Я только что отправил продолжение ...
Получил ответ:>
Эти настройки соответствуют типу учетной записи пользователя в веб-интерфейсе IPMI.
Обратный звонок (H = 1, I = 1) = Нет доступа
Обычно IPMI отклоняет этот тип учетной записи. Его можно использовать для временного отключения учетной записи.Пользователь (H = 2, I = 2) = Пользователь
Этот тип учетной записи разрешен только для проверки статуса системы.Оператор (H = 3, I = 3) = Оператор
Учетная запись этого типа может выполнять удаленное управление и проверять состояние системы, но не может изменять конфигурацию.Администратор (H = 4, I = 4) = Администратор
Тип аккаунта позволяет делать все.Других привилегий нет.
Ответьте на два разных значения поля.
Это информация, которую SuperMicro получил от ATEN:
"H" означает если для привилегии пользователя. Спецификация IPMI 2.0 определяет следующие уровни привилегий канала. Мы не используем уровень OEM Proprietary для особых привилегий.
Предел уровня привилегий канала:
0h = зарезервировано
1h = уровень обратного звонка
2h = уровень ПОЛЬЗОВАТЕЛЯ
3h = уровень ОПЕРАТОРА
4h = уровень АДМИНИСТРАТОРА
5h = Собственный уровень OEM«I» используется для отладки и зарезервирован. Пожалуйста, не обращайте на это внимания.
Ниже приводится определение уровней привилегий канала из спецификации IPMI 2.0:
Перезвони
Это можно считать самым низким уровнем привилегий. Разрешены только команды, необходимые для поддержки инициирования обратного вызова.Пользователь
Разрешены только «мягкие» команды. В первую очередь это команды, которые читают структуры данных и получают статус. Команды, которые можно использовать для изменения конфигурации BMC, записи данных в BMC или другие контроллеры управления или выполнения системных действий, таких как перезагрузка, включение / выключение питания и активация сторожевого таймера, запрещены.Оператор
Разрешены все команды BMC, за исключением команд конфигурации, которые могут изменять поведение внеполосных интерфейсов. Например, привилегия оператора не позволяет отключать отдельные каналы или изменять права доступа пользователей.Администратор
Разрешены все команды BMC, включая команды конфигурации. Администратор может даже выполнять команды конфигурации, которые отключили бы канал, по которому он общается.