check_ipmi_sensor /usr/sbin/ipmimonitoring: authentication type unavailable for attempted privilege level

This forum was archived to /woltlab and is now in read-only mode.
  • Hi,


    versuche grade ILO Ports mit dem check_ipmi_sensor zu überprüfen.


    Was ich bis jetzt gemacht habe.


    ILO2 Benutzer angelegt (Hat im Moment noch alle Rechte):
    --Auf dem Server mit dem ILO2 Port läuft Windows 2003 64 Bit als Terminalserver.


    Benutzername=monitoring
    Passwort=JuALddas41f



    ts1.cfg (HOST Konfiguration)
    define host{
    host_name ts1
    alias ts1
    address 192.168.10.112
    _ipmi_ip 192.168.10.212
    check_interval 4s
    }
    define service{
    use generic-service
    host_name ts1
    service_description Fan
    check_command check_ipmi_sensor!$USER3$!$USER4$!fan
    }



    commands.cfg
    define command{
    command_name check_ipmi_sensor
    command_line $USER1$/check_ipmi_sensor -H $_HOSTIPMI_IP$ -U $ARG1$ -P $ARG2$ -T $ARG3$ -L user
    }




    resource.cfg
    # Store some usernames and passwords (hidden from the CGIs)
    $USER3$=monitoring
    $USER4$=JuALddas41f




    Das Plugin check_ipmi_sensor habe ich in /usr/local/icinga/libexec kopiert.



    FRAGE1: Habe ich das so richtig verstanden ?
    icinga Server prüft Server per ILO Port (Benutzer werden im ILO Mgmt angelegt)
    FRAGE2: Was könnte hier das Problem sein ? check_ipmi_sensor /usr/sbin/ipmimonitoring: authentication type unavailable for attempted privilege level
    --- Wo kann man den authentication type einstellen ?


    Für Tipps bzw. Links die ich mir durchlesen kann wäre ich sehr dankbar.


    Gruß


    Patrick

  • Wenn ich http://www.thomas-krenn.com/de…Version_3.x_Konfiguration richtig verstehe, gehört User/PW nicht in's Nagios, sondern in die FreeIpmi-config.

    Quote


    FreeIPMI Konfiguration*


    Die FreeIPMI Konfigurationsdatei enthält IPMI-Benutzernamen, -Passwort und Channel-Privilege-Level und kann auch weitere FreeIPMI Konfigurationsparameter enthalten:


    username monitoring
    password ao5$snNc!
    privilege-level user

  • aber wo finde ich diese ?


    unter /etc/ipmi-config/
    sind keine Files


    soll ich da einfach eine ipmi.cfg erstellen ?


    -- Muss gleich weg vielen Dank für deine extrem schnelle Antwort

  • Also Freeipmi hast du aber installiert?
    Der manpage entnehme ich defaultmäßig sollte die hier liegen: /etc/freeipmi/freeipmi.conf

  • Jemand eine Idee was ich weiter machen kann? Es scheint ja etwas mit dem freeipmi Tools nicht zu stimmen da diese Konfigurations Datei fehlt.


    Also sollte ich vielleicht noch mal eine ältere Version davon installieren? oder von einer anderen Quelle ?


    Gruß


    Patrick

  • man pages lesen - dort steht auch die default location, bzw wie man alternative locations fuers config file angibt.


    http://bit.ly/U3juxM

  • okay nun ein kurzes Update.


    Ich konnte nun herraus finden das es scheinbar am freeipmi liegt. Das Tool scheint nicht korrekt zu funktionieren.


    sudo ipmi-sensors --debug


    Caching SDR repository information: /root/.freeipmi/sdr-cache/sdr-cache-monitor.localhost
    ================================================
    Get SDR Repository Info Request
    ================================================
    KCS Header:
    ----------------
    [ 0h] = lun[ 2b]
    [ Ah] = net_fn [ 6b]
    IPMI Command Data:
    ----------------
    [ 20h] = cmd[ 8b]
    ipmi_sdr_cache_create: internal IPMI error


    Ich versuche nun dieses Problem zu lösen.


    ---
    Kann jemand diese Aussage bestätigen ?
    icinga Server prüft Server per ILO Port (Benutzer werden im ILO Mgmt angelegt)

  • Hallo Patrick,


    mein Name ist Werner - ich bin einer der Autoren des Plugins.


    Du hast mit dem Plugin zwei Möglichkeiten die IPMI Zugangsdaten (Benutzername/Passwort) zu übergeben:
    1) über die Nagios/Icinga Konfig
    2) über eine FreeIPMI Konfigurationsdatei (diese musst du selbst erstellen). Sie hat den Vorteil dass die Zugangsdaten nicht in der Prozessliste aufscheinen.


    Infos dazu findest du in der Hilfe des Plugins (-h Option), der Einfachheit halber auch hier: http://www.thomas-krenn.com/en…k_ipmi_sensor_-h_v3.x.txt


    Für das Plugin haben wir übrigens auch eine eigene Mailingliste: http://lists.thomas-krenn.com/…listinfo/ipmi-plugin-user
    Hier bekommst du immer rasch Antworten auf Fragen (das Posting hier auf monitoring-portal.org hab ich aber eh zufällig gesehen).


    Viele Grüße,
    Werner

  • PS: bezüglich deines ipmi-sensor Problems:


    1) Hast du ipmi-sensors direkt auf dem Server aufgerufen?
    2) Falls ja: falls ipmitool/OpenIPMI parallel läuft, musst du das stoppen - es lädt einige IPMI Module, die bewirken dass FreeIPMI nicht mehr direkt zugreifen kann - Infos siehe auch http://www.thomas-krenn.com/de…it_Script_f%C3%BCr_Debian


    Wenn du ipmi-sensors übers Netzwerk aufrufen willst (sprich: z.B. von deiner Nagios/Icinga Maschine aus direkt einen IPMI-BMC eines anderen Servers über dessen IPMI IP abfragen willst),
    verwende zum Testen


    ipmi-sensors -h [IP] -l [Level - meist User] -u USERNAME -p PASSWORD


    wenn du schon eine Konfigdatei erstellt hast, dann
    ipmi-sensors -h [IP] -f [/pfad/zu/configfile]


    Das configfile sieht zb so aus:
    username monitoring
    password ao5$snNc!
    privilege-level user

  • Hallo Werner,


    vielen Dank für deine Antwort ich habe nun ein Snapshot meiner Icinga Installation genommen wo nur Ubuntu 12.04 .1 LTS und Icinga 1.7.2 installiert ist.


    Nun habe ich folgendes getan (http://www.thomas-krenn.com/de/wiki/FreeIPMI):


    wget http://ftp.gnu.org/gnu/freeipmi/freeipmi-1.2.1.tar.gz
    tar xzvf freeipmi-1.2.1.tar.gz
    cd freeipmi-1.2.1/
    sudo apt-get install build-essential libgcrypt11-dev
    --Die folgenden NEUEN Pakete werden installiert: libcrypt11-dev libgpg-error-dev
    ./configure
    make
    sudo make install
    sudo ldconfig (keine rückgabe)


    Nun wollte ich das freeipmi Tool testen:


    sudo ipmi-sensors -h 10.1.102.10 -u mon -p PASSWORD -l Admin
    sudo ipmi-sensors -h 10.1.102.10 -u mon -p PASSWORD -l User


    ipmi-sensors: authentication type unavailable for attempted privilege level


    Infos zur ILO2 Schnitstelle:
    License Type: iLO 2 Advanced
    iLO 2 Firmware Version: 2.09 04/11/2012


    -----
    IPMI/DCMI User Privileges


    Login Name mon has IPMI administrator privileges
    -----


    Ich denke mal bevor dieser Test nicht funktioniert muss ich nicht weiter machen oder ? Und was will mir authentication type unavailable genau sagen.


    Ich muss jetzt erstmal zur Pause wollte schon mal einen Stand abgeben und versuch es später noch mal bei anderen Servern/ILO



    Vielen Dank!


    Bis dann


    PS: Soll ich die Fragen dann lieber direkt in der Mailing List stellen ?

  • > Ich denke mal bevor dieser Test nicht funktioniert muss ich nicht weiter
    machen oder ?
    Ja, das ist korrekt. Es muss zuerst mal auf der Kommandozeile klappen.


    > Und was will mir authentication type unavailable genau
    sagen.
    Die manpage http://www.gnu.org/software/fr…/man8/ipmi-sensors.8.html sagt dazu folgendes:
    "authentication type unavailable for attempted privilege level" - The
    authentication type you wish to authenticate with is not available for
    this privilege level. Please try again with an alternate
    authentication type or alternate privilege level. It may also be
    possible the available authentication types you can authenticate with
    are not correctly configured on the remote BMC.


    Ich vermute, dass es daran liegt:
    "It may also be
    possible the available authentication types you can authenticate with
    are not correctly configured on the remote BMC."


    Im BMC muss nämlich konfiguriert sein, dass man über den IPMI LAN Channel diese Authentifizierung verwenden darf.
    Bei den Systemen mit Supermicro-Mainboards, die wir bei der Thomas-Krenn.AG einsetzen und vertreiben, wird dies automatisch konfiguriert wenn ich dort im Webinterface einen Benutzer ergänze.


    Ev. muss es bei Dir manuell konfiguriert werden.
    Mit FreeIPMI hab ich das leider noch nicht getestet - mit ipmitool hab ich's aber mal dokumentiert wie das funktioniert:
    http://www.thomas-krenn.com/de…er_Linux_mittels_ipmitool


    Wichtiger Tip:
    Du hast geschrieben:
    > IPMI/DCMI User Privileges
    > Login Name mon has IPMI administrator privileges


    Den User mon würde ich keine administrator privileges geben, sondern nur user privileges!!!
    Falls dir wer deinen Icinga Server hacken sollte und irgendwie an das Passwort kommt, könnte er damit sonst den Server, dessen IPMI Sensoren du überwachst, ausschalten, neu starten, etc...


    Tip: Hier findest du noch ein Video des Vortrags von mir zum Plugin von der letzten OSMC: Es ging dabei zwar noch um das Plugin v2, der Hauptunterschied ist aber nur dass das v3 Plugin auf Perl basiert (v2 war BASH):
    http://www.thomas-krenn.com/de…th_the_new_IPMI_Plugin_v2


    Viele Grüße,
    Werner

  • bzgl dem mon user ist nur temporärer bis es funktioniert. Trotzdem vielen Dank für diesen Hinweis.


    Ich werde HP mal kontaktieren wie das bei enem ILO Port ablaufen soll.

  • > bzgl dem mon user ist nur temporärer bis es funktioniert. Trotzdem vielen Dank für diesen Hinweis.
    Gerne!


    > Ich werde HP mal kontaktieren wie das bei enem ILO Port ablaufen soll.
    Gute Idee.
    Ansonsten kannst du es noch auf der FreeIPMI Users Mailingliste versuchen - dort gibt es sicher auch einige Leute, die FreeIPMI mit HP im Einsatz haben:
    https://lists.gnu.org/mailman/listinfo/freeipmi-users

  • Das werd ich machen !


    Ich habe grad mit HP gesprochen und die meinten ein Agentless Monitoring ist erst ab ILO4 möglich


    http://bizsupport1.austin.hp.c…l/c03488111/c03488111.pdf


    Ich bekomme nun von HP eine PDF in der vielleicht noch etwas genauer beschrieben ist wie das ganze per Agent auf OS ebene geht. Wäre natürlich praktisch wenn ich da auch das Plugin check_ipmi_sensor benutzen kann.


    Gruß


    Patrick

  • Soweit ich im PDF sehe, geht es da um SNMP, nicht um IPMI.
    IPMI gibt's als Standard seit 1998 und wurde von HP mit verabschiedet: siehe http://www.thomas-krenn.com/de/wiki/IPMI_Grundlagen und http://www.intel.com/design/servers/ipmi/ und http://download.intel.com/desi…MI2_0E4_Markup_061209.pdf


    Ich kann's mir irgendwie kaum vorstellen, dass dein Server das noch nicht kann...
    Vielleicht kannst du bei HP ja nochmal genau nachhaken, ob da wirklich kein IPMI geht...

  • Also ich habe erneut mit HP gesprochen und laut HP ist es erst ab ILO4 möglich.


    Ich muss sagen ich verstehe das auch nicht wie schon gesagt ist es ja mit von HP (1998) ich werde das noch mal in der Mailinglist ansprechen.


    Danke bis jetzt erstmal.

  • O MAN ich glaub ich habs!


    sudo ipmi-sensors -h xxxxxx -u mon -p PASSWORD -l user --config-file=/etc/freeipmi.conf


    UND ZACK!



    ich hab hier leider noch keine Infos zum Raid Controller und den Festplatten aber das sieht schon gut aus !


    Den entscheidenen Hinweis habe ich hier gefunden:
    http://lists.gnu.org/archive/h…vel/2010-08/msg00040.html


    .....................
    attempted
    > > privilege level
    > > > # ipmipower -h cut0iogw1-ilo -D LAN_2_0 -s
    > > > cut0iogw1-ilo: on
    > > > # ipmipower -h cut0iogw1-ilo -D LAN_2_0 -f
    > > > cut0iogw1-ilo: ok
    > > > # ipmipower -h cut0iogw1-ilo -D LAN_2_0 -s
    > > > cut0iogw1-ilo: off
    > > > # ipmipower -h cut0iogw1-ilo -D LAN_2_0 -n
    > > > cut0iogw1-ilo: ok
    > > > # ipmipower -h cut0iogw1-ilo -D LAN_2_0 -s
    > > > cut0iogw1-ilo: on
    > > > ---
    > > >
    > > > I set the following in /etc/freeipmi.conf:
    > > > ---
    > > > driver-type LAN_2_0> > > ---
    > > >
    > > > and it seems to work ok for the lo100 and ilo2
    > servers just
    > > fine.
    > > > ---
    > > > # ipmipower -h cut0iogw1-ilo -s
    > > > cut0iogw1-ilo: on
    > > > # ipmipower -h cut0admin1-lo -s
    > > > cut0admin1-lo: on
    > > > ---
    > > >
    > > > I figure there may be other functional tests for
    > ipmi
    .......................


    Der Hinweis in den Maillisten zu suchen war sehr gut !


    Nun dann mal schauen wie ich jetzt an Festplatten/RAID-Controller Informationen komme.


    -- Was aber auch bedeutet das es sehr wohl geht mit IPMI und ILO2 oder ?


    Gruß


    Patrick