<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Thu, Mar 29, 2018 at 9:19 AM Alexander Amelkin <<a href="mailto:a.amelkin@yadro.com">a.amelkin@yadro.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, Mar 29, 2018 at 06:56:00PM +0530, Deepak Kodihalli wrote:<br>
> On 29/03/18 2:53 pm, Tom Joseph wrote:<br>
> >Hello,<br>
> ><br>
> >Based on  feedback from the team writing management scripts for OpenBMC.<br>
> >There is a suggestion to<br>
> >support the "-U" parameter when running the IPMI over network, to keep the<br>
> >script consistent across<br>
> >multiple BMC implementations.<br>
> ><br>
> >The support currently in  OpenBMC for the IPMI user accounts is the<br>
> >nameless account and the -U option<br>
> >is not needed and only the -P option is needed. With the proposed change,<br>
> >"-U admin" is needed, for the<br>
><br>
> This would break current users based on a nameless account. So I suppose<br>
> that you'd have to still support a nameless account.<br>
<br>
Sure. IPMI specification clearly states for Set User Access command that<br>
"if implemented, this command must support at least the null user".<br>
<br>
> >session setup to succeed. "root"  username was not preferred so that the<br>
> >user does not get confused with the<br>
> >linux user account.<br>
> ><br>
> >IPMITool usage with the proposed change:<br>
> ><br>
> >ipmitool -I lanplus -H x.x.x.x -U admin -P 0penBmc <cmd><br>
<br>
Just a note. IMO, the password for IPMI users must be the same as for<br>
system users, and preferably verified using pam as well.<br></blockquote><div><br></div><div>Seconded - I'd probably suggest PAM as a bare minimum..</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
IPMI defines user privileges (user, operator, administrator, oem<br>
prooprietary privileges), and I think we need to support them. I'd do that via<br>
standard user groups.  The root username may still be available with<br>
'administrator' privilege level (user 'root' included into 'admin' group).<br>
That way we can rely on standard means for authentication and filesystem<br>
permissions, and maybe have some pam plugin for interaction with phosphor<br>
(e.g. to check whether a user is disabled).<br></blockquote><div><br></div><div>I thought Intel (Ed?) was working on something related to this.  Could someone comment?</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I'd also say that Get Device ID must work without password for anonymous<br>
user for ease of IPMI-enabled device discovery, but that again may break<br>
the existing setups using anonymous user with a password, and I can't find<br>
anything in IPMI v2.0 specification on authentication requirements for Get<br>
Device ID (if I was writing the spec, I'd demand absence of authentication<br>
for that command).<br>
<br>
Alexander.<br></blockquote><div> </div></div></div>