IPMI: МААС автоволшебно настраивает учетные данные BMC - я должен быть заинтересован?

У меня есть некоторые серверы SuperMicro, которые я использую МААС для условия.

Я заинтригован, что после PXE-начальной-загрузки их, они автоволшебно получают пользователя 'Мааса' в своих локальных пользователях BMC DB со случайным паролем, который ясно установлен сервером МААСА, поскольку это затем может управлять серверами по IPMI.

Это происходит несмотря на то, что изменило 'администраторские' учетные данные заводской настройки на BMCs. Это очень удобно, но оставляет меня задающийся вопросом, как МААС достигает этого? Некоторый внутриполосный интерфейс между основным сервером и BMC?

Таким образом, мои вопросы:

  1. Это безопасное/ожидаемое поведение или это, предполагает, что серверы не были правильно защищены?
  2. Существует ли способ влиять на роль пользователя, которого МААС создает на BMC? В настоящее время это создается с ролью 'Администратора'; у меня было бы что-то менее привилегированным, такие как 'Оператор', который все еще позволил бы операции питания, которых требует МААС.

Связанный вопрос: Как делают Вы добавляете машину к МААСУ с питанием IPMI с помощью Примечания CLI, что я не использовал CLI, упомянутый по тому вопросу; все, что я сделал, было PXE-начальной-загрузкой мои серверы в сети, зарегистрированной в МААСЕ DHCP.

МААС 2.3 (2.0-2.2 имел то же поведение),

3
задан 27 February 2018 в 14:05

1 ответ

С, например. ipmitool возможно непосредственно получить доступ к ipmi контроллеру с помощью /dev/ipmi0 устройство (или подобный). Так как это может быть сделано только как корень и локально, он не требует имени пользователя и пароля IPMI. По-видимому, это - то, что МААС делает развертывание новой машины.

Относительно того, как определить, как МААС создает счет на его собственные потребности управления, на которые я не могу ответить, но должно быть возможно изменить позже использование этой команды:

$ maas-cli maas node update <system-id> power_type="ipmi" \
power_parameters_power_user=<user> \
power_parameters_power_pass=<password>

В любом случае: В целом рекомендуется установить пароль IPMI по умолчанию на что-то нормальное и кроме того иметь порт LAN устройств IPMI в отдельном VLAN или физической сети.

1
ответ дан 1 December 2019 в 17:29

Другие вопросы по тегам:

Похожие вопросы: