我试图让我们的新服务器,一个X8DTN + -F的IMPIconfiguration为与我们的身份validation服务器交谈。 这两个选项是LDAP和RADIUS。
我通过查看数据包捕获来debugging,因为看起来IPMI的东西不logging任何东西。
我第一次尝试LDAP,但IMPI的东西坚持要绑定为除login(跆拳道)以外的用户。 一旦我设置了自己的用户,它设法find用户(虽然不是通过search我想要的属性,似乎没有办法改变它),但即使得到一个响应…不允许login。 也许它期望在响应中的密码属性,这当然没有得到。 它应该只是作为login用户绑定(并且应该使用LDAP over SSL,但这是另一回事)。
所以我尝试了RADIUS。 现在,它发送预期的访问请求数据包(预期用户名,encryption密码,NAS IP地址127.0.0.1 [rtf],端口为1)。 然后它返回一个访问接受数据包,服务types为Administrative-User …,然后拒绝login。
(注:通过拒绝login,我的意思是重新显示login页面,它不像这个东西相信错误信息或日志。
那么,我需要让RADIUS服务器回复一些神奇的属性吗? 有没有人得到RADIUS与Supermicro的IPMI一起工作?
以下是我从Supermicro(通过我们的供应商Silicon Mechanics)得到的神奇数字,我不知道其含义。
#vi /etc/raddb/users Example: myuser Auth-Type :=Local, User-Password == “123456” Vendor-Specific = “H=4, I=4” testuser Auth-Type :=Local, User-Password == “654321” Vendor-Specific = “H=3, I=3” 所以,显然H =和I =意味着什么,至less有3和4是有效的值(我不相信甚至允许RFC的语法,但无论如何)。 我回答问这是什么意思,而且没有回复。 我刚刚发了一个跟进…
得到了回复:>
这些设置与IPMI Web GUI中的用户帐户types相匹配。
回呼(H = 1,I = 1)=否访问
基本上,这种types的帐户将被IPMI拒绝。 它可以用来暂时禁用一个帐户。用户(H = 2,I = 2)=用户
这种types的帐户只允许检查系统状态。运算符(H = 3,I = 3)=运算符
这种types的帐户被允许进行远程控制和检查系统统计信息,但不能更改configuration。pipe理员(H = 4,I = 4)=pipe理员
accout的types被允许做一切事情。没有其他特权。
回复两个不同的字段含义。
这是SuperMicro从ATEN获得的信息:
“H”表示用户权限。 IPMI规范2.0定义了以下通道特权级别。 我们不使用OEM专有级别来获得特殊权限。
频道特权等级限制:
0h =保留
1h =回叫级别
2h =用户级别
3h =运营商级别
4h =pipe理员级别
5h = OEM专有级别“I”用于debugging目的,并且是保留选项。 请忽略它。
以下是来自IPMI规范2.0的频道权限级别的定义:
回电话
这可能被认为是最低的特权级别。 只允许支持启动回叫的命令。用户
只允许“良性”命令。 这些主要是读取数据结构和检索状态的命令。 可以用来更改BMCconfiguration,将数据写入BMC或其他pipe理控制器,或者执行系统操作(如重置,开机/关机和看门狗激活)的命令都是不允许的。操作者
除了可以改变带外接口行为的configuration命令之外,所有BMC命令都是允许的。 例如,操作员权限不允许禁用个别频道的function,或更改用户访问权限。pipe理员
所有的BMC命令都是允许的,包括configuration命令。 pipe理员甚至可以执行configuration命令来禁用pipe理员正在通信的频道。