web-dev-qa-db-ja.com

IPMI:MAASはBMCクレデンシャルを自動的にプロビジョニングします-心配する必要がありますか?

MAASを使用してプロビジョニングするSuperMicroサーバーがいくつかあります。

それらをPXEブートすると、ローカルBMCユーザーDBの「maas」ユーザーが自動的に取得され、サーバーを制御できるようになるため、MAASサーバーによって明確に設定されたランダムパスワードを取得することに興味がありますIPMI。

これは、BMCの工場出荷時のデフォルトの「管理者」資格情報を変更したにもかかわらず発生します。それは非常に便利ですが、MAASがこれをどのように達成するのか疑問に思いますか?メインサーバーとBMCの間の何らかの帯域内インターフェイスですか?

だから私の質問は:

  1. これは安全な/予期される動作ですか、またはサーバーが適切に保護されていないことを示唆していますか?
  2. MAASがBMCで作成するユーザーの役割に影響を与える方法はありますか?現在、「管理者」ロールで作成されています。むしろ、MAASが必要とする電源操作を許可する 'Operator'など、特権が少ないほうがいいと思います。

関連する質問: CLIを使用してIPMI電源でMAASにマシンを追加するにはどうすればよいですか その質問で言及したCLIを使用しなかったことに注意してください。私がしたことは、MAAS DHCPに登録されたネットワーク上でサーバーをPXEブートすることだけでした。

MAAS 2.3(2.0-2.2は同じ動作をしました)

3
sxc731

Eでg。 ipmitool/dev/ipmi0デバイス(または同様のもの)を使用してipmiコントローラーに直接アクセスすることが可能です。これはrootとしてのみローカルで実行できるため、IPMIユーザー名とパスワードは必要ありません。おそらく、これがMAASが新しいマシンの展開を行うものです。

MAASが自身の管理ニーズのためにアカウントを作成する方法を定義する方法については答えられませんが、後でこのコマンドを使用して変更することが可能です。

$ maas-cli maas node update <system-id> power_type="ipmi" \
power_parameters_power_user=<user> \
power_parameters_power_pass=<password>

いずれの場合でも:一般に、デフォルトのIPMIパスワードを適切な値に設定し、さらにIPMIデバイスのLANポートを別のVLANまたは物理ネットワークに設定することをお勧めします。

1
Sebastian Stark