
<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Thu, Mar 29, 2018 at 9:19 AM Alexander Amelkin <<a href="mailto:a.amelkin@yadro.com">a.amelkin@yadro.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, Mar 29, 2018 at 06:56:00PM +0530, Deepak Kodihalli wrote:<br>

> On 29/03/18 2:53 pm, Tom Joseph wrote:<br>

> >Hello,<br>

> ><br>

> >Based on  feedback from the team writing management scripts for OpenBMC.<br>

> >There is a suggestion to<br>

> >support the "-U" parameter when running the IPMI over network, to keep the<br>

> >script consistent across<br>

> >multiple BMC implementations.<br>

> ><br>

> >The support currently in  OpenBMC for the IPMI user accounts is the<br>

> >nameless account and the -U option<br>

> >is not needed and only the -P option is needed. With the proposed change,<br>

> >"-U admin" is needed, for the<br>

><br>

> This would break current users based on a nameless account. So I suppose<br>

> that you'd have to still support a nameless account.<br>

<br>

Sure. IPMI specification clearly states for Set User Access command that<br>

"if implemented, this command must support at least the null user".<br>

<br>

> >session setup to succeed. "root"  username was not preferred so that the<br>

> >user does not get confused with the<br>

> >linux user account.<br>

> ><br>

> >IPMITool usage with the proposed change:<br>

> ><br>

> >ipmitool -I lanplus -H x.x.x.x -U admin -P 0penBmc <cmd><br>

<br>

Just a note. IMO, the password for IPMI users must be the same as for<br>

system users, and preferably verified using pam as well.<br></blockquote><div><br></div><div>Seconded - I'd probably suggest PAM as a bare minimum..</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

IPMI defines user privileges (user, operator, administrator, oem<br>

prooprietary privileges), and I think we need to support them. I'd do that via<br>

standard user groups.  The root username may still be available with<br>

'administrator' privilege level (user 'root' included into 'admin' group).<br>

That way we can rely on standard means for authentication and filesystem<br>

permissions, and maybe have some pam plugin for interaction with phosphor<br>

(e.g. to check whether a user is disabled).<br></blockquote><div><br></div><div>I thought Intel (Ed?) was working on something related to this.  Could someone comment?</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

I'd also say that Get Device ID must work without password for anonymous<br>

user for ease of IPMI-enabled device discovery, but that again may break<br>

the existing setups using anonymous user with a password, and I can't find<br>

anything in IPMI v2.0 specification on authentication requirements for Get<br>

Device ID (if I was writing the spec, I'd demand absence of authentication<br>

for that command).<br>

<br>

Alexander.<br></blockquote><div> </div></div></div>