web-dev-qa-db-ja.com

RADIUSまたはSupermicro(ATEN)IPMIでのLDAPの構成

新しいサーバーであるX8DTN + -FのIMPIを認証サーバーと通信するように構成しようとしています。 LDAPとRADIUSの2つの選択肢があります。

IPMIのものは何もログに記録しないように見えるので、私はパケットキャプチャを見てこれをデバッグしています。

私は最初にLDAPを試しましたが、IMPIのものは、ログインしているユーザー(wtf)以外のユーザーとしてバインドすることを主張しました。独自のユーザーを設定すると、ユーザーを見つけることができました(ただし、必要な属性を検索することはできず、変更する方法はないようでした)が、応答を受け取っても...許可されませんでした。ログインする。おそらく、応答にパスワード属性が必要でしたが、もちろん取得できませんでした。ログインしているユーザーとしてバインドする必要があります(LDAP over SSLを使用する必要がありますが、それは別の話です)。

そこで、RADIUSを試しました。ここで、期待されるAccess-Requestパケット(期待されるユーザー名、暗号化されたパスワード、a NAS IPアドレス127.0.0.1 [wtf]、ポート1)を使用)を送信します。サービスタイプがAdministrative-User…のaccess-acceptパケットを返送すると、ログインが拒否されます。

(注:ログインを拒否するということは、ログインページを再表示することを意味します。これは、エラーメッセージやログを信じているわけではありません。)

それで、私が応答するためにRADIUSサーバーを取得するために必要ないくつかの魔法の属性がありますか?誰かがSupermicroのIPMIで動作するためにRADIUSを取得しましたか?

5
derobert

これが私が(しばらく前に)Supermicroから(私たちのベンダーであるSilicon Mechanics経由で)入手した、意味がわからない魔法数です:

#vi /etc/raddb/users

Example:
    myuser          Auth-Type   :=Local, User-Password == “123456”
                    Vendor-Specific = “H=4, I=4”

    testuser        Auth-Type   :=Local, User-Password == “654321”
                    Vendor-Specific = “H=3, I=3”

したがって、明らかにH =とI =は何かを意味し、少なくとも3と4は有効な値です(そして、構文がRFCで許可されているとは思わないが、何でも)。私はそれらが何を意味するのか尋ねて答えました、そして返事がありません。フォローアップを送信しました...

編集

返信があります:>

これらの設定は、IPMI WebGUIのユーザーアカウントタイプと一致します。

コールバック(H = 1、I = 1)=アクセスなし
基本的に、このタイプのアカウントはIPMIによって拒否されます。アカウントを一時的に無効にするために使用できます。

ユーザー(H = 2、I = 2)=ユーザー
このタイプのアカウントは、システムステータスの確認のみが許可されています。

演算子(H = 3、I = 3)=演算子
このタイプのアカウントは、リモートコントロールとシステム統計の確認を行うことができますが、構成を変更することはできません。

管理者(H = 4、I = 4)=管理者
アカウントの種類はすべてを行うことができます。

他に特権はありません。

編集2

2つの異なるフィールドの意味に返信します。

これはSuperMicroがATENから得た情報です:

「H」は、ユーザー特権の場合を意味します。 IPMI仕様2.0は、次のチャネル特権レベルを定義しています。特別な特権のためにOEM所有権レベルを使用しません。

チャネル特権レベル制限:
0h =予約済み
1h =コールバックレベル
2h =ユーザーレベル
3h = OPERATORレベル
4h =管理者レベル
5h = OEM独自のレベル

「I」はデバッグ用であり、予約済みのオプションです。無視してください。

以下は、IPMI仕様2.0からのチャネル特権レベルの定義です。

Callback
これは最低の特権レベルと見なされる場合があります。コールバックの開始をサポートするために必要なコマンドのみが許可されます。

ユーザー
「良性」コマンドのみが許可されます。これらは主に、データ構造を読み取り、ステータスを取得するコマンドです。 BMC構成の変更、BMCまたは他の管理コントローラーへのデータの書き込み、またはリセット、電源のオン/オフ、ウォッチドッグのアクティブ化などのシステムアクションの実行に使用できるコマンドは許可されていません。

オペレーター
帯域外インターフェイスの動作を変更できる設定コマンドを除いて、すべてのBMCコマンドが許可されます。たとえば、オペレーター特権では、個々のチャネルを無効にしたり、ユーザーアクセス特権を変更したりすることはできません。

管理者
構成コマンドを含むすべてのBMCコマンドが許可されます。管理者は、管理者が通信しているチャネルを無効にする構成コマンドを実行することもできます。

3
derobert