(Guide for Linux)
HP/HPE servers of the G7, G6, and older series today face the problem that the ILO web interface, in versions 2 or 3, can no longer be accessed. This is due to outdated encryption ciphers (HTTPS). AES/TripleAES should really no longer be used today. Disabling encryption entirely on the ILO web server is not possible. The quick fix is to use the option in the current Firefox 106 to enable outdated ciphers and protocols. However, this will activate it for all websites, which is not ideal. If that’s not bothersome enough, you can no longer use the Remote Console via the web interface. Under Windows, the Remote Console still works if it’s used as an external program. However, on Linux, I want to be able to use the web-based version. Unfortunately, ILO 3 does not yet have an HTML5 version, and it still relies on Java or .NET applications.
Long story short, here’s how we can regain all the functionalities of ILO with a relatively secure solution.
With “javafox”: https://github.com/niclan/Javafox
This is a Docker container that you can run on your PC. The good thing is: You don’t need to change anything on your PC other than installing Docker.
As per the Javafox Github page:
- Install Docker
- Create a directory
- Clone the Git repo into this directory
- Check the Dockerfile (Yes, for your own security and to understand which TLS versions are being disabled!)
- Run it in the cloned folder with:
docker build -t javafox
Check the Git page for how to define a security exception for the Java included in the container. Additionally, you should create a file $HOME/.javafox/.java/deployment/security/exception.sites on your host and add your ILO URL there.
From now on, you can start this Docker container with ./javafox whenever you want to access ILO (or similarly old applications).
Of course, it’s not that simple. Otherwise, the guide would be too trivial.
In my case, I had to go into the ILO web interface under “Administration>Security>Encryption” and disable the option “Enforce AES/3DES Encryption.” See the screenshot. Otherwise, Java throws error messages.
For me, only the “Java Applet” version of the Remote Console works. Select this option as shown in the screenshot.
Now, the question is, where do you place the ISO files to use them in the Remote Console? Here’s how: At the top of the Remote Console window, click “Virtual Drives” to open the file explorer. You need to navigate to /home/ffuser/host_home in the container. (This is the complete home directory of your current user). The container should operate as read-only, so it’s probably not a big deal to have it mounted here. Otherwise, modify the Dockerfile yourself.
For Mac, you’ll need to read the javafox Github page on your own. Whether it works the same way on Windows, I’m not sure. You may only need to adjust the home directory.
Links:
(Deutsche/German Version)
(Anleitung für Linux.)
HP/HPE Server der Reihen G7,G6 und älter haben heute das Problem, dass das Webinterface ILO in der Version 2 oder 3 nicht mehr aufgerufen werden kann. Das liegt an den veralteten Chiffren der Verschlüsselung (HTTPS). AES/TripleAES sollte man heute auch wirklich nicht mehr nutzen. Komplett abschalten lässt sich die Verschlüsselung im ILO-Webserver nicht. Die schnelle Abhilfe ist da etwa im aktuellen Firefox 106 die Option zum Aktivieren veralteter Chiper und Protokolle zu nutzen. Dann ist es allerdings für alle Websites aktiviert und das will man nicht. Und wenn das nicht genug stört: Man kann die Remote Console über das Webinterface nicht mehr nutzen. Unter Windows funktioniert immerhin noch die Remote Console, wenn diese als externes Programm genutzt wird. Unter Linux möchte ich allerdings die Web-Variante nutzen können. Leider hat ILO 3 noch keine HTML5-Variante, sondern greift auf Java oder .NET Anwendungen zurück.
Lange Rede, kurzer Sinn. Jetzt dazu, wie wir uns mit einer relativ sicheren Variante alle Funktionalitäten des ILO zurückholen können.
Mit “javafox”. https://github.com/niclan/Javafox
Es handelt sich um einen Docker Container, den ihr auf eurem PC ausführen könnt. Das Gute: Ihr müsst bis auf die Installation von Docker nichts an eurem PC ändern.
Wie auf der Javafox Github-Seite:
- Docker installieren
- Verzeichnis anlegen
- Git repo in dieses Verzeichnis klonen
- Dockerfile checken (Ja zu eurer Sicherheit und um zu verstehen, welche TLS Versionen deaktiviert werden!)
- Ausführen im geklonten Ordner mit: docker build -t javafox
Schaut euch auf der Git-Seite an, wie ihr für das im Container enthaltene Java eine Sicherheitsausnahme definiert. Weiterhin solltet ihr eine Datei “$HOME/.javafox/.java/deployment/security/exception.sites” auf eurem Host anlegen und dort die URL eures ILO einfügen.
Von nun an könnt ihr mit “./javafox” diesen Docker Container starten, wann immer ihr auf ILO (oder diverse ähnlich alte Anwendungen) zurückgreifen wollt.
So ganz funktioniert das natürlich noch nicht. Sonst wäre die Anleitung wirklich zu trivial.
Bei mir musste ich noch im ILO-Webinterface unter “Administration>Security>Encryption” die Option “Enforce AES/3DES Encryption” deaktivieren. Siehe Screenshot. Ansonsten gibt es Fehlermeldungen von Java.
Bei mir funktioniert nur die “Java Applet” Version der Remote Console. Wählt dazu die Option wie auf dem Screenshot.
Jetzt fragt man sich natürlich noch, wo muss man die Iso-Dateien ablegen, um diese in der Remote Console nutzen zu können? Folgendermaßen: Oben im Fenster der Remote Console auf “Virtual Drives” klicken, um den Explorer zu öffnen. Ihr müsst nun zu “/home/ffuser/host_home” im Container navigieren. (Dies ist das komplette Home-Verzeichnis eures aktuellen Users). Der Container sollte Read-Only arbeiten, daher ist es wohl nicht so schlimm, wenn der Container hier eingebunden wird. Ansonsten selbst in der Dockerfile ändern.
Für Mac müsst ihr euch selbst auf der javafox Github-Seite einlesen. Ob das Ganze so unter Windows funktioniert, weiß ich nicht. Möglicherweise muss man nur das Home-Verzeichnis anpassen.
Links:
0 Comments