greystone
Active Member
TL;DR
Die Java-KVM-Konsole von Supermicro-Systemen unter Linux zum laufen zu bringen ist schwierig, vor allem die von älteren Systemen. Lösung: Supermicro-IPMIView verwenden. Dort die Java-Sicherheitseinstellungen anpassen. Weiterhin eine alte Betriebssystem- und Browserversion verwenden. (IPMIs können keine aktuelle TLS-Version).
Ausführlich
Ich habe hier einen alten Server mit einem Mainboard Supermicro X8DTN+-F. Da wollte ich gerade die KVM-Konsole auch unter Linux laufen haben. Das hat diverse Schwierigkeiten bereitet, ist jetzt aber gelöst.
Was grundsätzlich nicht zu funktionieren scheint, ist das via Web zu starten. Also unter Windows geht das. Unter Linux nicht. Auch nachdem die Sicherheitseinstellungen herabgesetzt sind, bekomme ich noch Fehler - und zwar diese hier:
Was ich bisher gemacht habe:
Das IPMI sollte man grundsätzlich nicht öffentlich erreichbar haben. Es gab da schon genug Sicherheitslücken.
[1] https://www.thomas-krenn.com/de/wiki/Supermicro_IPMIView
Nachtrag
Aktuelle Mainboardmodelle (z. B. H12SSW-NTR) werden von IPMIView 2.16.0 scheinbar nicht unterstützt (also keine KVM). Mit der aktuellen 2.21.1 (Linux) kann ich mich mit den neuen Servern noch nicht mal mehr verbinden.
Die Java-KVM-Konsole von Supermicro-Systemen unter Linux zum laufen zu bringen ist schwierig, vor allem die von älteren Systemen. Lösung: Supermicro-IPMIView verwenden. Dort die Java-Sicherheitseinstellungen anpassen. Weiterhin eine alte Betriebssystem- und Browserversion verwenden. (IPMIs können keine aktuelle TLS-Version).
Ausführlich
Ich habe hier einen alten Server mit einem Mainboard Supermicro X8DTN+-F. Da wollte ich gerade die KVM-Konsole auch unter Linux laufen haben. Das hat diverse Schwierigkeiten bereitet, ist jetzt aber gelöst.
Was grundsätzlich nicht zu funktionieren scheint, ist das via Web zu starten. Also unter Windows geht das. Unter Linux nicht. Auch nachdem die Sicherheitseinstellungen herabgesetzt sind, bekomme ich noch Fehler - und zwar diese hier:
Code:
[ITW-CORE][2024-02-07 14:58:18.708 MEZ][ERROR][net.adoptopenjdk.icedteaweb.resources.downloader.BaseResourceDownloader] Could not download resource [l=https://ipmi-fqdn-dn
s.name.tld:443/iKVM__V1.69.21.0x0.jar v=null s=I] from any of theses urls [https://ipmi-fqdn-dns.name.tld:443/iKVM__V1.69.21.0x0.jar] caused byExecutionException: java.io.
FileNotFoundException: https://ipmi-fqdn-dns.name.tld:443/iKVM__V1.69.21.0x0.jar caused by FileNotFoundException: https://ipmi-fqdn-dns.name.tld:443/iKVM__V1.69.21.0x0.jar
caused by FileNotFoundException: https://ipmi-fqdn-dns.name.tld:443/iKVM__V1.69.21.0x0.jar
[ITW-CORE][2024-02-07 14:58:18.719 MEZ][ERROR][net.adoptopenjdk.icedteaweb.resources.downloader.BaseResourceDownloader] Could not download resource [l=https://ipmi-fqdn-dn
s.name.tld:443/liblinux_x86_64__V1.0.5.jar v=null s=I] from any of theses urls [https://ipmi-fqdn-dns.name.tld:443/liblinux_x86_64__V1.0.5.jar] caused byExecutionException
: java.io.FileNotFoundException: https://ipmi-fqdn-dns.name.tld:443/liblinux_x86_64__V1.0.5.jar caused by FileNotFoundException: https://ipmi-fqdn-dns.name.tld:443/liblinu
x_x86_64__V1.0.5.jar caused by FileNotFoundException: https://ipmi-fqdn-dns.name.tld:443/liblinux_x86_64__V1.0.5.jarWas ich bisher gemacht habe:
- Für alte IPMIs werden alte TLS-Versionen benötigt. Deswegen habe ich ein altes Debian Buster (10) aufgesetzt, weil bei einem aktuellen entweder jetzt schon oder bald die openssl-Bibliothek keine alten TLS-Versionen mehr unterstützt.
- (Nicht notwendig. Läuft ja über IPMIview) Jetzt einen alten Firefox 78 installiert. Den Firefox-Dateien habe ich für den Nutzer die Schreibberechtigung entzogen, sonst aktualisiert der sich sofort auf die aktuelle Version. Ansonsten habe ich folgende Einstellungen via about:config gesetzt:
security.tls.version.enable-deprecated=true
security.tls.version.min=1
Version "1" ist TLS 1.0.
- Firmware Upgrade des IPMI auf die neuest verfügbare Version (Das geht auch im laufenden Betrieb über die Webschnittstelle des IPMI)
- (Nicht notwendig. Nur für IPMIview. Siehe unten) Java-Security-Settings geändert
Bei Linux geht das in der Datei java.security. Davon gibt's mitunter mehrere. Im Zweifelsfall alle ändern. Mit den folgenden Einstellungen wird die Java-Sicherheit faktisch komplett abgeschaltet:
Code:jdk.certpath.disabledAlgorithms=MD2 jdk.jar.disabledAlgorithms=MD2 jdk.tls.disabledAlgorithms=SSLv3
Die clientseitige Sicherheit abzuschalten heisst hier, dass keinerlei Sicherheit beim Aufrufen von Java-Webstart-Anwendungen mehr geprüft wird. Also hier nicht mehr auf die Idee kommen, mit dem unsicheren Rechner/Browser noch im Internet rumzusurfen.
Das IPMI sollte man grundsätzlich nicht öffentlich erreichbar haben. Es gab da schon genug Sicherheitslücken.
[1] https://www.thomas-krenn.com/de/wiki/Supermicro_IPMIView
Nachtrag
Aktuelle Mainboardmodelle (z. B. H12SSW-NTR) werden von IPMIView 2.16.0 scheinbar nicht unterstützt (also keine KVM). Mit der aktuellen 2.21.1 (Linux) kann ich mich mit den neuen Servern noch nicht mal mehr verbinden.
Last edited: