BMC带外IPMI通道不通问题分析与解决方案

问题描述

在使用带外IPMI通道连接BMC时，初始密码无法建立IPMI v2/RMCP+会话，导致通信失败。但通过修改密码后可以恢复正常通信，且后续即使将密码恢复为初始密码，IPMI通道仍然保持可用。

环境信息

• 软件版本：OpenUBMC 25.12 LTS
• IPMI版本：2.0
• BMC固件版本：25.12

重现步骤

第一步：使用原密码连接失败

C:\Users\Administrator>ipmitool -I lanplus -H 192.168.2.186 -U Administrator -P openUBMC@2025 -C 17 mc info
Error: Unable to establish IPMI v2 / RMCP+ session

使用初始密码openUBMC@2025尝试建立IPMI连接时失败。

第二步：修改密码后连接成功

C:\Users\Administrator>ipmitool -I lanplus -H 192.168.2.186 -U Administrator -P Admin@90000 -C 17 mc info
// 返回正常结果，包含以下关键信息：
- Firmware Revision: 25.12
- IPMI Version: 2.0
- Additional Device Support: Sensor, SDR Repository, SEL, FRU Inventory, IPMB Event Generator, Chassis

使用新密码Admin@90000成功建立连接并获取设备信息。

第三步：恢复原密码后仍可连接

C:\Users\Administrator>ipmitool -I lanplus -H 192.168.2.186 -U Administrator -P openUBMC@2025 -C 17 mc info
// 同样返回正常结果

重新设置回原密码openUBMC@2025后，IPMI连接依然正常工作。

分析结论

根本原因

根据知识库中的相关信息，该问题的根本原因与密码加密密钥丢失有关。当进行不保留配置升级时，虽然用户名和密码恢复为默认值，但用于IPMI认证的加密密钥（如DomainId=4, KeyId=1）可能未正确初始化或丢失，导致带外IPMI认证失败。

相关证据包括：

• 在不保留配置升级后，带外ipmi命令发不通问题中，日志显示"Key not found"错误
• 错误信息明确指出：[SDP] GetWorkKeyByIDHash get WK failed 268
• 该问题在每次不保留配置升级后都可复现

为何修改密码后能解决

修改密码的操作会触发以下过程：

1. 重建加密密钥链：重新设置密码时，系统会重新生成相关的加密工作密钥
2. 重建IPMI会话密钥：新的密码会创建完整的认证密钥体系
3. 恢复正常的加密通道：解决了原先因密钥缺失导致的RMCP+会话建立失败问题

为何恢复原密码后仍有效

一旦通过修改密码重建了完整的密钥体系，后续即使恢复为相同的密码字符串，底层的加密密钥体系已经恢复正常，因此通信可以继续保持畅通。

解决方案

临时解决方案

# 方法1：通过Web界面重置密码
# 登录BMC Web界面 → 用户管理 → 修改Administrator用户密码

# 方法2：使用ipmitool修改密码
ipmitool -I lanplus -H <BMC_IP> -U Administrator -P <当前有效密码> user set password 2 <新密码>

# 方法3：使用本地命令行（如果可访问）
ipmcset -t user -d password -v 2,<新密码>

根本性修复建议

1. 固件层面修复：在不保留配置升级流程中，确保加密密钥的正确初始化和生成
2. 配置模板更新：在默认配置模板中预置必要的安全密钥
3. 增加自检机制：在系统启动时检查IPMI密钥完整性，异常时自动重建

预防措施

• 升级前备份配置
• 升级后立即执行密码重置操作以确保加密体系完整
• 检查系统日志中是否存在Key not found或decrypt failed等错误信息

注意：此问题已被确认为已知问题（参考"3351同一个原因，后续版本解决"），建议升级到修复此问题的新版本固件。