• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

IPMI/SOL: Kein Zugang zur zweiten Bootphase

gehrke

Administrator
Teammitglied
Moin *

Ich kämpfe weiterhin mit IPMI/SOL für den Remote-Zugang zum OS in der zweiten Bootphase.

Was bislang geht via IPMI/SOL:
*BIOS-Setup
*GRUB

Der nächste Schritt will aber nicht, egal was ich tue: Nach der Auswahl innerhalb GRUB sollte die Abfrage nach der LUKS-Passphrase kommen. Dies passiert aber nicht via IPMI, nur auf der lokalen Konsole. Die Konsole von IPMI wird grau und bleibt auch danach so.

Server-Hardware: SuperMicro Servermainboard X9SCL+-F
Server-OS: CentOS 7
Client:
Code:
Name         : ipmitool
Version      : 1.8.18
Release      : 19.fc32
Architecture : x86_64

Aufruf:
Code:
$ ipmitool -H 172.16.10.21 -I lanplus -U ipmi sol info 1
Password: 
Set in progress                 : set-complete
Enabled                         : true
Force Encryption                : false
Force Authentication            : false
Privilege Level                 : ADMINISTRATOR
Character Accumulate Level (ms) : 0
Character Send Threshold        : 0
Retry Count                     : 0
Retry Interval (ms)             : 0
Volatile Bit Rate (kbps)        : 19.2
Non-Volatile Bit Rate (kbps)    : 19.2
Payload Channel                 : 1 (0x01)
Payload Port                    : 623

$ ipmitool -H 172.16.10.21 -I lanplus -U ipmi sol activate

Diese Dokumentation für die serverseitige Konfiguration habe ich (neben vielen anderen) befolgt:
*https://blog.rot13.org/2020/04/ipmi-serial-console-using-grub-and-systemd.html
*http://0pointer.de/blog/projects/serial-console.html

Man findet viel veraltete Dokumentation im Netz. Weniger für GRUB, aber vor allem mit der durch systemd abgelösten Datei:
/etc/inittab

Ich vermute, es muss an der Parametrisierung des Kernels via GRUB liegen. Alles was in /etc liegt, kann eigentlich nicht damit zu tun haben, weil das ja prinizipiell erst nach der Entschlüsselung sichtbar wird (lediglich /boot-Partition ist unverschlüsselt). Das Problem tritt aber vorher schon auf, bei der Abfrage der Passphrase.

Die produzierte Datei:
Code:
# cat /boot/grub2/grub.cfg
[...]
serial --speed=19200 --unit=1 --word=8 --parity=no --stop=1
terminal_input serial
terminal_output serial
[...]
menuentry 'CentOS Linux (3.10.0-1127.13.1.el7.x86_64) 7 (Core)' --class centos --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-3.10.0-1127.13.1.el7.x86_64-advanced-b8977301-01c3-44e6-acf2-16511161081e' {
	load_video
	set gfxpayload=keep
	insmod gzio
	insmod part_gpt
	insmod ext2
	set root='hd0,gpt3'
	if [ x$feature_platform_search_hint = xy ]; then
	  search --no-floppy --fs-uuid --set=root --hint-bios=hd0,gpt3 --hint-efi=hd0,gpt3 --hint-baremetal=ahci0,gpt3  151a10d5-9161-4f5a-848d-598639c90998
	else
	  search --no-floppy --fs-uuid --set=root 151a10d5-9161-4f5a-848d-598639c90998
	fi
	linuxefi /vmlinuz-3.10.0-1127.13.1.el7.x86_64 root=/dev/mapper/system-os1 ro crashkernel=auto rd.md.uuid=cbf83815:3d803463:a7724841:e9e0d560 rd.luks.uuid=luks-df284fea-e50b-4431-add4-f01350fc73dc rd.lvm.lv=system/os1 rd.lvm.lv=system/swap console=ttyS0,19200n8 console=tty0 
	initrdefi /initramfs-3.10.0-1127.13.1.el7.x86_64.img
[...]
Etwas bedrückend ist, dass ich dies auf der selben Hardware vor Jahren schon mal mit CentOS 6 am Start hatte.

Was ich schon probiert habe:
*ttyS[0..3]
*andere Verbindungsgeschwindigkeiten
*alle Redirction-Ziele im BIOS
*Explizite Konfiguration des Devices via systemd mit der passenden Geschwindigkeit (serial-getty@ttySx.service)

Bin am Ende von Energie und Phantasie...
Hat jemand einen Tipp?
TNX

Glückauf, gehrke
 
Hi

Ich habe mir am WE den sourcecode eines BMC angesehen und ich kann darin nicht erkennen, dass
eine Console - wenn dezidiert eine angefordert wird und das ist bei password Abfagen immer der Fall -
eben diese Informationen vom BMC empfangen werden können. Deshalb denke ich, dass in diesem
Fall für grub auch eine Console über eine serielle Schnittstelle definiert sein sollte, damit SOL auch funktioniert.
Grub kann das. Die Einstellungen im IPMI setup bzw. im Menu des BMC zum Redirect des seriellen Ports nach Netzwerk
sind dir mittlerweile sowieso klar.

Ich meine, es könnte so funktionieren:
grub --> BIOS --> ttyS1 redirection --> BMC --> Serial Over LAN --> Network --> Hier sitzt gehrke
Das ist aber nur eine Idee und kein Wissen.

Gruß
Gräfin Klara
 
OP
gehrke

gehrke

Administrator
Teammitglied
Habe diese Vorgehensweise mal auf einem anderen Server angewandt. Dessen OS ist SLES 15.1, also ebenfalls mit systemd.

Dort funktioniert der Zugang zum OS via SOL sofort wie beschrieben, mit 'sol activate' kann ich den gesamten Boot-Prozess begleiten und mich erfolgreich anmelden.

Ich sehe hier diese Unterschiede:
*CentOS 7 vs. SLES 15.1
*LUKS vs. unverschlüsselt
*anderes Board
*anderes Netzwerk
 
gehrke schrieb:
..
Ich sehe hier diese Unterschiede:
*CentOS 7 vs. SLES 15.1
*LUKS vs. unverschlüsselt
*anderes Board
*anderes Netzwerk
Schwierig ....
Was passiert, wenn du die gültige LUKS passphrase an der lokalen Console zur Verfügung stellst?
Läuft danach der traffic wieder oder bleibt alles dunkel?
 
OP
gehrke

gehrke

Administrator
Teammitglied
Vielen Dank, morgen werde ich mir das genauer ansehen.

Auf den ersten Blick sehe ich da nichts neues. Das Dokument scheint noch aus der Pre-Systemd-Aera zu stammen (inittab). Im Unterschied zu meinen bisherigen Ansätzen mit ipmitool wird hier ipmiview verwendet. Vielleicht ist das einen Versuch wert, obwohl ich bislang sehr gute Erfahrungen mit ipmitool habe.
 
OP
gehrke

gehrke

Administrator
Teammitglied
Wenn ich das richtig sehe, ist IPMIview eine Java-Application mit UI. Das ist nicht das, was ich suche.
 
gehrke schrieb:
Wenn ich das richtig sehe, ist IPMIview eine Java-Application mit UI. Das ist nicht das, was ich suche.
An IPMIview habe ich nie gedacht und auf Seite 33 steht auch nichts davon.

gehrke schrieb:
Ich dachte vielmehr an mögliche settings in deinem grub oder deinen kernel parameters
wie splash, splashimage, vga oder ähnlich, die die Darstellung aushebeln könnten.
Ist nur ein Verdacht.
 
OP
gehrke

gehrke

Administrator
Teammitglied
Nun, das gesamte Dokument heißt ja 'Supermicro IPMI View User’s Guide' und auf Seite 33 wird auch IMPI View erwähnt.
Anyway, das hilft nicht weiter.

An den GRUB-Parametern für den Kernel habe ich ja schon massiv getestet - unter anderem sind schon rausgeflogen:
Code:
rhgb quiet
Das hat aber auch nix gebracht, noch nicht mal einen visuellen Effekt.

Gräfin Klara schrieb:
Ich dachte vielmehr an mögliche settings in deinem grub oder deinen kernel parameters
wie splash, splashimage, vga oder ähnlich, die die Darstellung aushebeln könnten.
Ist nur ein Verdacht.
Ich bin mir ziemlich sicher, dass die eigentliche Ursache irgendwo da liegen muss. Bei GRUB habe ich fast alles ausgelutscht und durchgetestet.
 
Hast du auch schon an den kernel parameters Framebuffer oder splash herumgeschraubt?
Versuche
vga=0x314 (das wäre Framebuffer 800x600 - 16 bits, bzw. wähle selbst einen passenden Wert) und
splash=silent

Wenn das auch nicht hilft, dann würde ich mit wireshark nachsehen, ob diese passphrase Anforderung überhaupt ankommt.
Wenn ja, dann ist es ein Darstellungsproblem, wenn nein, dann liegt es im Bereich des BMC.
Wenigstens wüsste man dann genauer, wo das Problem liegt.
 
OP
gehrke

gehrke

Administrator
Teammitglied
Ich I D I O T ! :zensur:

Wahrscheinlich habe ich schon seit Tagen die richtige Config am Start gehabt, aber mir an anderer Stelle selbst ins Knie geschossen.

Wie ich schon schrieb:
gehrke schrieb:
Etwas bedrückend ist, dass ich dies auf der selben Hardware vor Jahren schon mal mit CentOS 6 am Start hatte.
Im Zuge der Migration von 6 auf 7 (kein Migrationspfad, also Neuinstallation) habe ich auch von Legacy auf UEFI umgestellt. Alles war gut, bis ich anfing, die GRUB-Config zu bearbeiten und neu zu bauen.
Aus der bash-History:
Code:
# grub2-mkconfig -o /boot/grub2/grub.cfg
Build fehlerfrei und die Config habe ich oben ja auch vorgezeigt. Nur wurde die nie gezogen.

Kaum macht man's richtig, schon funktioniert's. Wer hätte das ahnen können?
Code:
# grub2-mkconfig -o  /boot/efi/EFI/centos/grub.cfg
Mein erster Verdacht kam auf, als ich keine Änderung beim Entfernen von 'rhgb quiet' gesehen habe, aber eine Erklärung hatte ich lange nicht.

#EinmalMitProfis

Sorry für den Lärm hier. Ich dokumentiere die korrekte Lösung, sobald sie wasserdicht ist. Jetzt habe ich schon vollständigen Zugriff via IPMI/SOL inklusive Passphrase-Eingabe und Login.
 
Oben