tokyo-wasted’s diary

しがないインフラエンジニアが、余り役に立たない情報を載せていきます。

Nutanix NXシリーズ G6/G7 の IPMI仕様変更について [BMC 7.00]

この記事は Nutanix Advent Calendar 3枚目 12月2日 向けに書かれたものです。



BMC 7.00 からの仕様変更

Nutanix NXシリーズの G6/G7 モデルで提供されるBMCバージョンをアップデートした際、IPMI管理画面へのログイン仕様が変更になります。
1回でもログイン失敗(パスワード打ち間違い等) すると、ユーザがロックされログインができなくなります


仕様変更の説明は以下のKBに記載されています。
portal.nutanix.com


この仕様変更、タチが悪いことにユーザがロックされていることが IPMIログイン画面から判断することができません。「正しいパスワードをコピペしてるのに入れない・・・?」って時はユーザロックを疑いましょう。

f:id:tokyo-wasted:20191107161159p:plain
IPMIログイン画面には何も表示されないので、ユーザロックに気付きにくい


<補足>
LCMを使用していないと BMCバージョンのアップデート通知に気付かず、7.00へアップデートしてない環境が多いかもしれません。セキュリティの観点からみると、以下のような Security Advisory が適宜公開されており、対策には最新バージョンへのアップデートが必要となります。
http://download.nutanix.com/alerts/Security%20Advisory%2016-v6.pdf


設定確認、変更手順

それでは実際の設定を見ていきましょう。


デフォルト値の確認

BMC 7.00 が適用されたAHV へ SSH接続し、以下のコマンドを実行すると IPMI設定が表示されます。

[root@AHV-001 ~]# ipmitool lan print 1

Set in Progress         : Set Complete
Auth Type Support       : NONE MD2 MD5 PASSWORD 
Auth Type Enable        : Callback : MD2 MD5 PASSWORD 
                        : User     : MD2 MD5 PASSWORD 
                        : Operator : MD2 MD5 PASSWORD 
                        : Admin    : MD2 MD5 PASSWORD 
                        : OEM      : MD2 MD5 PASSWORD 
IP Address Source       : Static Address
IP Address              : 192.168.1.31
Subnet Mask             : 255.255.255.0
MAC Address             : ac:1f:6b:cc:cc:cc
SNMP Community String   : public
IP Header               : TTL=0x00 Flags=0x00 Precedence=0x00 TOS=0x00
BMC ARP Control         : ARP Responses Enabled, Gratuitous ARP Disabled
Default Gateway IP      : 192.168.1.254
Default Gateway MAC     : 00:00:00:00:00:00
Backup Gateway IP       : 0.0.0.0
Backup Gateway MAC      : 00:00:00:00:00:00
802.1q VLAN ID          : Disabled
802.1q VLAN Priority    : 0
RMCP+ Cipher Suites     : 1,2,3,6,7,8,11,12
Cipher Suite Priv Max   : XaaaXXaaaXXaaXX
                        :     X=Cipher Suite Unused
                        :     c=CALLBACK
                        :     u=USER
                        :     o=OPERATOR
                        :     a=ADMIN
                        :     O=OEM
Bad Password Threshold  : 1     👈ログイン試行回数設定、デフォルト1になっている
Invalid password disable: no
Attempt Count Reset Int.: 0
User Lockout Interval   : 0



ユーザのロック解除手順


AHVから以下のコマンドを実行して、ユーザ一覧を表示し使用しているユーザの番号を確認しましょう。
デフォルトでは2の「ADMIN」を使用しています。

[root@AHV-001 ~]# ipmitool user list
ID  Name             Callin  Link Auth  IPMI Msg   Channel Priv Limit
1                    true    false      false      Unknown (0x00)
2   ADMIN            true    false      false      Unknown (0x00)
3                    true    false      false      Unknown (0x00)
4                    true    false      false      Unknown (0x00)
5                    true    false      false      Unknown (0x00)
6                    true    false      false      Unknown (0x00)
7                    true    false      false      Unknown (0x00)
8                    true    false      false      Unknown (0x00)
9                    true    false      false      Unknown (0x00)
10                   true    false      false      Unknown (0x00)
[root@AHV-001 ~]#


続いて以下コマンドを実行して、ユーザを有効化します。
コマンドに対する実行結果は何も表示されませんが大丈夫です。

[root@AHV-001 ~]# ipmitool user enable 2
[root@AHV-001 ~]#
[root@AHV-001 ~]#



試行回数制限の無効化手順

この試行回数制限を無効化するには、以下のコマンドを実行します。

[root@AHV-001 ~]# ipmitool lan set 1 bad_pass_thresh 0 0 0 0


実行後、再度IPMI設定を見て Bad Password Threshold が0になっていることを確認します。

[root@AHV-001 ~]# ipmitool lan print 1
Set in Progress         : Set Complete
Auth Type Support       : NONE MD2 MD5 PASSWORD 
Auth Type Enable        : Callback : MD2 MD5 PASSWORD 
                        : User     : MD2 MD5 PASSWORD 
                        : Operator : MD2 MD5 PASSWORD 
                        : Admin    : MD2 MD5 PASSWORD 
                        : OEM      : MD2 MD5 PASSWORD 
IP Address Source       : Static Address
IP Address              : 192.168.1.31
Subnet Mask             : 255.255.255.0
MAC Address             : ac:1f:6b:cc:cc:cc
SNMP Community String   : public
IP Header               : TTL=0x00 Flags=0x00 Precedence=0x00 TOS=0x00
BMC ARP Control         : ARP Responses Enabled, Gratuitous ARP Disabled
Default Gateway IP      : 192.168.1.254
Default Gateway MAC     : 00:00:00:00:00:00
Backup Gateway IP       : 0.0.0.0
Backup Gateway MAC      : 00:00:00:00:00:00
802.1q VLAN ID          : Disabled
802.1q VLAN Priority    : 0
RMCP+ Cipher Suites     : 1,2,3,6,7,8,11,12
Cipher Suite Priv Max   : XaaaXXaaaXXaaXX
                        :     X=Cipher Suite Unused
                        :     c=CALLBACK
                        :     u=USER
                        :     o=OPERATOR
                        :     a=ADMIN
                        :     O=OEM
Bad Password Threshold  : 0             👈 値が0になった
Invalid password disable: no
Attempt Count Reset Int.: 0
User Lockout Interval   : 0


全てのAHVホストでコマンド実行するのは面倒なので、CVMへログインして hostssh コマンドを利用するとクラスタの全ホストにコマンド発行ができて便利です。

[nutanix@CVM]# hostssh ipmitool lan set 1 bad_pass_thresh 0 0 0 0



試行回数制限の変更手順

bad_pass_thresh コマンドの後に続く数字を変更することで、ログイン試行の制限回数やその他オプションの変更ができます。

        <thresh_num>         Bad Password Threshold number.(パスワード入力試行制限回数)
        <1|0>                1 = generate a Session Audit sensor event. (セッションauditイベントを作成する)
                             0 = do not generate an event.(セッションauditイベントを作成しない)
        <reset_interval>     Attempt Count Reset Interval. In tens of seconds.(試行回数リセットのインターバル、10の倍数秒)
        <lockount_interval>  User Lockout Interval. In tens of seconds.(ユーザロックのインターバル、10の倍数秒)


それでは。