ぽよメモ

ファッション情報学徒の備忘録.

M75q-1 TinyをWindows以外からでもリモート管理したい

[2020/9/30 21:00 追記]
libcurl.so.4の置き換えは推奨されない旨と、bootorderの変更が実際には反映されない旨を追記しました。

M75q-1 Tinyって何?

オタク大好き小型激安高性能マシンです。

楽天リーベイツの20%ポイント還元を使って、35090円の7018ポイント還元で実質28072円で買えました*1。安く買う方法や詳細はのらねこ先生のブログおよびのらねこ先生のバイヤーズガイドをご覧下さい。 スペックは以下の通りです。

  • CPU: Ryzen 5 Pro 3400 GE (4core 8thread)
  • Mem: 8GB
  • SSD: 128GB

DASH

Desktop and mobile Architecture for System Hardware(DASH)とは、M75q-1 Tinyに搭載されているリモート管理機能です。これによって、リモートからマシンの電源を入れたり、BIOSの設定などを変更したりできます。サーバマシンなどに搭載されているIPMIなどと似たものです。BIOSの設定から有効にすることが出来ます(デフォルトはオフになっています)

これを利用するためのアプリケーションとして、Windows向けにAMD Management Console(AMC)というものがAMD公式で用意されており、以下のWebサイトからダウンロードできます。

developer.amd.com

上述したのらねこ先生のバイヤーズガイドでもこちらの利用方法が解説されています。しかしオタクたるもの、GUIアプリケーションよりも黒い画面から操作したいし、Windowsなんて持ってない……*2。そんな要望を満たすアイテムは無いものか…………

f:id:pudding_info:20200926172948j:plain

あるじゃん👉

AMDは神。

Windowsだけでなく、UbuntuおよびFedora向けのdebパッケージが公開されています。Dockerコンテナに押し込めてしまえば、WindowsだろうがMacだろうがLinuxだろうが、関係無くDASH CLIを使えそうな予感がします。というわけでやっていきしましょう。

Docker Image for DASH CLI

大変残念ながらwgetcurlなどを使ってアーカイブを取得することができなかった*3ため、ダウンロードページ( https://developer.amd.com/tools-for-dmtf-dash/#downloads )から手動でdashcli-setup_3.0.0-285-Public_amd64_deb.tar.gzをダウンロードしてください。

同じディレクトリに以下のDockerfileを配置します。

FROM ubuntu:18.04

ARG DASHCLI_VERSION=3.0.0-285

ENV DASHCLI_PKG=dashcli-setup_${DASHCLI_VERSION}-Public_amd64
ENV TZ Asia/Tokyo
ENV DEBIAN_FRONTEND nointeractive

WORKDIR /opt/dashcli

RUN apt-get update \
 && apt-get install -y --no-install-recommends \
        sudo \
        libssl1.0 \
        libsdl1.2debian \
        libsdl2-2.0-0 \
        libxml2 \
        mono-devel \
        libcurl3 \
 && apt-get clean \
 && apt-get autoremove -y --purge \
 && rm -rf /var/lib/apt/lists/*

ADD ${DASHCLI_PKG}_deb.tar.gz .

RUN dpkg -i ${DASHCLI_PKG}_deb/${DASHCLI_PKG}.deb \
 && dashcli version \
 && rm -rf ${DASHCLI_PKG}

ENTRYPOINT ["/usr/bin/dashcli"]

CMD ["help"]

後はdocker buildするだけです。

$ docker build . -t dashcli:3.0.0-285
# 一時的にdashcliというエイリアスを作成しておく
$ alias dashcli="docker run --rm -i dashcli:3.0.0-285"
$ dashcli version
DASH CLI v3.0.0.285

[2020/9/30 21:00 追記]

libcurl.so.4を置き換えないようにDockerfileを修正しました。

追記ここまで

注意
ちゃんとライセンスを読んでいないので確かなことは言えないのですが、勝手にこのバイナリを含むDockerイメージを公開する(==再配布する)行為はライセンス違反となる可能性があります。念のためプライベート・非商用での利用をお勧めします。

DASH CLIの使い方

使い方に関するドキュメントが非常に少ないです*4。僕自身もしばらく触っただけで、まだ全く活用は出来ていません。
実はdebパッケージにドキュメントが含まれており、 /usr/share/doc/dashcli-setup/ 以下に配置される……はずなんですがこのディレクトリは空になっています(なんで?)。debパッケージを手動で展開し、手元にドキュメントを用意します。以下のコマンドで可能です。

$ DASHCLI_VERSION=3.0.0-285
$ docker run --rm -v $PWD/doc:/doc --entrypoint /bin/bash dashcli:${DASHCLI_VERSION} -c "dpkg-deb -x dashcli-setup_${DASHCLI_VERSION}-Public_amd64_deb/dashcli-setup_${DASHCLI_VERSION}-Public_amd64.deb dash_deb && cp -r ./dash_deb/usr/share/doc/dashcli-setup/* /doc/"
$ ls doc/
DASHActiveDirectory.pdf  License                         LinuxDASHCliUserGuide.pdf
DASHCertificates.pdf     LinuxDASHCliDeveloperGuide.pdf  LinuxReleaseNotes.pdf

LinuxDASHCliUserGuide.pdfよりもLinuxDASHCliDeveloperGuide.pdfの方が情報が豊富でおすすめです。

ヘルプの表示

$ dashcli help

DASH CLI v3.0.0.285
Command line utility to manage DASH capable systems.

Usage: dashcli [options] commands

Options allowed:
        -h <host>               Host Name
        -p <port(s)>            Server Port(s)(For discovery more than one ports can be specified seperated by commas)
        -u <username>           User Name
        -P <password>           Password
        -a <digest|basic|gss>   Authentication Type [default=digest]
        -S <http|https>         HTTP Scheme [default=http]
        -c <certificate>        Certificate file (Alternatively certificate can be stored in certificate store)
        -C                      Ignore certificate/do not verify certificate
        -t <targetpath>         Target Path
        -s <startip>            Start IP address for discovery (only for discovery)
        -e <endip>              End IP address for discovery (only for discovery)
        -T <timeout>            Timeout in seconds
        -v <1|2>                Verbose Level [ 1 - More explanation on error or 2-Dump WSMAN data]
        -o <verboseoutput>      Verbose output file to dump wsman data [default is sdtout].

Commands allowed:
        help                    Display help
        version                 Show dashcli version
        enumerate               Enumerate targets
        discover                Perform discovery
        registeredprofile       Checks the profile support
        indication              Indication commands(subscribe for indication, create filters/destinations
        listenevents            Listen for events/alerts
        textredirection         Configure Text Redirection services
        usbredirection          Configure USB Redirection services
        kvmredirection          Configure KVM Redirection services
        raw                     Issue raw commands
        account                 Creates,Deletes and Manages the Account
        roles                   Manages the Roles
        shell                   Launch interactive DASH shell
        capabilities           Display Capabilities of a target

For commands specific to targets
        dashcli help target

Where allowed targets are
        alertdestination
        asset
        battery
        bios
        bootconfig
        computersystem
        dhcpclient
        dnsclient
        ethernetport
        fan
        filtercollection
        indicationfilter
        indicationsubscription
        indicatorled
        ipconfiguration
        ipinterface
        kvmredirection
        logentry
        memory
        mediaredirection
        networkport
        opaquemanagementdata
        operatingsystem
        pcidevice
        physicalcomputersystemview
        platformwatchdog
        powersupply
        processor
        recordlog
        registeredprofile
        role
        sensor
        serviceprocessor
        software
        textredirection
        usbredirection
        user

Example usage:
Discovery example:
dashcli -s 192.168.0.4 -e 192.168.0.15 -u admin -P admin -p 623 discover
dashcli -s 192.168.0.4 -e 192.168.0.15 -p 623 discover
dashcli -s 192.168.0.4 -e 192.168.0.15 -p 623,664,8889 discover
dashcli -s 192.168.0.4 -e 192.168.0.15 -S http  -p 623 discover
dashcli -s 192.168.0.4 -e 192.168.0.15 discover info
dashcli -h hounds-demo -S http -p 623 discover
dashcli -h 192.168.0.8 -S http -p 623 discover
dashcli -h hounds-demo -S http -p 623 discover info
dashcli -h 192.168.0.8 -S http -p 623 discover info

Enumerate target example:
dashcli -h 192.168.0.4 -S https -p 664 -u admin -P admin -C enumerate computersystem
dashcli -h 192.168.0.4 -S https -p 664 -u admin -P admin -C enumerate processor
dashcli -h 192.168.0.4 -S https -p 664 -u admin -P admin -C enumerate bootconfig

Executing commands on a target example:
dashcli -h 192.168.0.4 -S https -p 664 -u admin -P admin -C -t computersystem[0] power on
dashcli -h 192.168.0.4 -S https -p 664 -u admin -P admin -C -t processor[0] enumerate memory
dashcli -h 192.168.0.4 -S https -p 664 -u admin -P admin -C -t bootconfig[0] changebootorder 1 0

DASH CLIにはCommandsとtargetというものがあるようです。Commandsは操作するコマンド、targetはコマンドによって操作される対象を表しています。ただ、上記helpに表示されているCommandsというものは、どのtargetに対しても有効な物です。各target特有のCommandは、 dashcli help ターゲット名 で表示することができます。

DASHが有効なホストの探索

IPアドレスの範囲を指定することで、自動で探索してくれます。DASHを有効化した後、IPアドレスを固定せず、MACアドレスも控え忘れたままディスプレイから引っこ抜いてしまったときに使えそうですね。

$ dashcli -s 192.168.0.2 -e 192.168.0.4 discover

Checking 192.168.0.2 ...
Checking 192.168.0.3 ...
Checking 192.168.0.4 ...

DASH system(s) discovered:
        192.168.0.4:623

電源状態の取得・変更

各ホストの詳細の表示・変更にはログイン情報を渡す必要があります。デフォルトのユーザ名とパスワードは以下の通りです。

  • ユーザ名:Administrator
  • パスワード:Realtek

BIOSのUI上からではこれらを変更する方法はなく、このコマンド経由でのみパスワード変更等が可能です。 アカウントの作成・削除もできるため、後述する方法で新規ユーザの作成と、Administratorの無効化を行う方がセキュリティ的には良いかと思います。

電源状態を表示してみます。

$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C -t computersystem[0] power status

Power state   : On

-C を付けないと Error: Connection Failed : Trnasport initailization failed というエラーが出ます。
電源のオン・オフ・再起動は以下のコマンドで可能です。

# 電源オン
$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C -t computersystem[0] power on
# 電源オフ
$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C -t computersystem[0] power off
# 再起動
$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C -t computersystem[0] power restart

注意点として、これらのコマンドはその実行結果を保証しません。つまり、状態のリクエストはしますが、その状態に移行したことは保証してくれません。power onした後に実際にそのホストが起き上がってくるかどうかは、別の方法で検証する必要があります。

boot順の表示・変更

[2020/9/30 21:00 追記]

boot順の変更はSuccessするものの、試した限りではそれが実際のブートに反映されることはありませんでした。
変更後、setdefaultsetnextsetnextsingleuse も試しましたが変化はありませんでした。
Windows版DASH CLIAMD Management Console、Realtek Management Consoleのいずれでも同様でした。もし成功する方が居られれば、情報頂きたいです。

この事象についてLenovoにメール問い合わせをしましたが、技術的な内容はオンサイトの技術サポートに問い合わせて欲しいと言われました。
オンサイトは電話窓口しかないため、電話する気力が湧けば確かめてみたいと思っては居ます(BIOS経由でEnableできる特殊な機能のため、回答はあまり期待していません)。
一応AMDのDASHサポートにも問い合わせてみてみましたが、おそらくM75q-1 TinyのUEFIおよびRealtekのDASH firmwareの問題だと思われるため、こちらも良い回答は期待していません。

追記ここまで

まずはブート順の表示

$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C enumerate bootconfig


Boot Config Instance 0
Element Name             : Bootcfgsetting:0
Instance ID              : Bootcfgsetting:0
Is Default Configuration : No
Is Current Configuration : No
Is Next Configuration    : Yes
Is Next Single Configurat: No
Boot Device(s)           :
        Device 0         : CIM:Windows Boot Manager:1
        Device 1         : CIM:UEFI: PXE IPV4 Realtek PCIe GBE Family Controller:1
        Device 2         : CIM:UEFI: PXE IPV6 Realtek PCIe GBE Family Controller:1

WIndowsのブートマネージャーが最初に、次にIPv4でのPXEブートが来ているようです。この順序を逆にしてみます。

$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C -t bootconfig[0] changebootorder 1 0

Boot Order Changed Successfully
$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C enumerate bootconfig


Boot Config Instance 0
Element Name             : Bootcfgsetting:0
Instance ID              : Bootcfgsetting:0
Is Default Configuration : No
Is Current Configuration : No
Is Next Configuration    : Yes
Is Next Single Configurat: No
Boot Device(s)           :
        Device 0         : CIM:UEFI: PXE IPV4 Realtek PCIe GBE Family Controller:1
        Device 1         : CIM:Windows Boot Manager:1
        Device 2         : CIM:UEFI: PXE IPV6 Realtek PCIe GBE Family Controller:1

元に戻すときは再度 changebootorder 1 0 をすることで入れ替わります。この状態で前述のコマンドを使って再起動をかければ、PXEブートするはずです。
ただ、多くの場合は一時的にブート順序を変えたいのではないでしょうか?このコマンドは恒久的に変更してしまうため、このような変更を行うにはいいかんじのタイミングで再度ブート順序を変更する必要がありそうです。

他にもどうもsetnextとかsetnextsingleuseとかいうコマンドがあるようですが、使い方も意味も分かりません……*5

ユーザの作成・削除

さすがにデフォルト値のユーザを使い続けるのはセキュリティ的に良くありません。ユーザ一覧を見てもAdministratorしかいないことが分かります。

$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C enumerate user


User Instance 0
Name                       : Administrator
User id                    : Administrator
Element Name               : Account
Organization Name(s)       : DMTF
Enabled State              : Enabled
Requested State            : Not Applicable
Associated Role(s)         : Role:0,  Role:1,  Role:2

DASHはRole Based Access Controlを採用しているようで、Roleごとに権限が与えられており、このRoleを特定のユーザに付与することで、そのユーザに実行可能な操作を限定できるようです。デフォルトのAdministratorには多くの権限が付与されているため非常に危険です。

$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C enumerate role


Role Instance 0
Role Name   : Role:0
Privileges  : priv:0 (BaseDesktopAndMobile(Execute)),
              priv:11 (SimpleIdentityManagement(Execute)),
              priv:12 (RoleBasedAuthorization(Execute))

Role Instance 1
Role Name   : Role:1
Privileges  : priv:13 (TextConsoleRedirection(Execute)),
              priv:14 (USBRedirection(Execute)),
              priv:21 (KVMRedirection(Execute))

Role Instance 2
Role Name   : Role:2
Privileges  : priv:0 (BaseDesktopAndMobile(Execute)),
              priv:1 (CPU(Execute)),
              priv:2 (BootControl(Execute)),
              priv:3 (PowerStateManagement(Execute)),
              priv:4 (Indications(Execute)),
              priv:5 (SystemMemory(Execute)),
              priv:6 (SoftwareInventory(Execute)),
              priv:7 (Sensors(Execute)),
              priv:8 (Fan(Execute)),
              priv:9 (PowerSupply(Execute)),
              priv:10 (PhysicalAsset(Execute)),
              priv:15 (DHCPClient(Execute)),
              priv:16 (IPInterface(Execute)),
              priv:17 (BIOSManagement(Execute)),
              priv:18 (OperatingSystem(Execute)),
              priv:19 (RecordLog(Execute)),
              priv:23 (EthernetPort(Execute)),
              priv:24 (NetworkPort(Execute))

まずはユーザを作成します。

$ dashcli -h 192.168.16.51 -u Administrator -P Realtek -C \
    -t computersystem[0] \
    user add ユーザ名 パスワード Organization名


User Added Successfully

なぜかOrganization名は反映されませんでした。

$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C -t user[1] show

User Instance 1
Name                       : ユーザ名
User id                    : ユーザ名
Element Name               : Account
Organization Name(s)       : DMTF
Enabled State              : Enabled
Requested State            : Not Applicable
Associated Role(s)         : N/A

この状態ではRoleが付与されていないのでこのユーザでは何も出来ません。Administratorと同じRoleを付与します。

$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C -t user[1] assignroles Role:0 Role:1 Role:2

Roles assigned Successfully
$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C -t user[1] show

Name                       : ユーザ名
User id                    : ユーザ名
Element Name               : Account
Organization Name(s)       : DMTF
Enabled State              : Enabled
Requested State            : Not Applicable
Associated Role(s)         : Role:0,  Role:1,  Role:2

これでこのユーザを使えるようになったはずです。

$ dashcli -h 192.168.XX.YY -u ユーザ名 -P パスワード -C -t computersystem[0] power on

Power state 'On' was applied successfully

使えることが分かったので、Administratorは無効にしておきます。

$ dashcli -h 192.168.XX.YY -u ユーザ名 -P パスワード -C -t user[0] disable
Error: Disabling User

えぇ…………
仕方が無いのでパスワード変更にします。

$ dashcli -h 192.168.XX.YY  -u ユーザ名 -P パスワード -C -t user[0] changepassword 新パスワード

User password changed Successfully

これで多少は安心できそうですね。

LEDも操作できる!?

できませんでした……。

$ dashcli -h 192.168.XX.YY -u Administrator -P Realtek -C enumerate indicatorled


Indicator LED(s) not found

何台もM75q-1 Tinyがある場合に点滅させたりできたら楽しそうだなと思ったんですが残念……我々はテプラから逃れられないようです。

JSON形式での実行と表示

こんなよく分からない形式のデータを扱うのつらそう……と思いましたが、調べてみるとどうもJSONでのコマンド実行・出力が出来るようです。すごいですね。
ただちょっとクセがあります。

入力するJSONは位置引数以外は単にオプション名をキーに、その値をバリューとするように構成します。ただし、-C のような値を取らないフラグは1を値として与えます。
また、位置引数は Commands というキーに対して、文字列を空白区切りのarrayとして与えます。JSONとして成立しない壊れたものも頑張って読み込もうと知るため、思っているのとは違うエラーが出ることにも注意が必要です。

-jdo を使う方法

-jdo を付けると、標準入力からJSONを受け付け、実行結果をJSONで表示します。

$ echo '{"h": "192.168.XX.YY", "u": "ユーザ名", "P": "パスワード", "C": 1, "Commands": ["enumerate", "bootconfig"]}' > enumerate_bootconfig.json
$ cat enumerate_bootconfig.json | dashcli -jdo | jq
{
  "@odata.id": "/DASH/v1/BootConfigurationCollection",
  "@odata.type": "#BootConfigurationCollection.v1_0_0.BootConfigurationCollection",
  "Id": "BootConfigurationCollection",
  "Members": [
    {
      "@odata.id": "/DASH/v1/BootConfigurationCollection/BootConfiguration",
      "@odata.type": "#BootConfiguration.v1_0_0.BootConfiguration",
      "BootDevices": [
        {
          "Name": "CIM:Windows Boot Manager:1",
          "Value": 0
        },
        {
          "Name": "CIM:UEFI: PXE IPV4 Realtek PCIe GBE Family Controller:1",
          "Value": 1
        },
        {
          "Name": "CIM:UEFI: PXE IPV6 Realtek PCIe GBE Family Controller:1",
          "Value": 2
        }
      ],
      "ElementName": "Bootcfgsetting:0",
      "Id": "BootConfiguration",
      "InstanceId": "Bootcfgsetting:0",
      "InstanceNumber": 0,
      "IsCurrentConfiguration": "No",
      "IsDefaultConfiguration": "No",
      "IsNextConfiguration": "Yes",
      "Name": "Boot Configuration"
    }
  ],
  "Name": "Boot Config Collection"
}

ちゃんとjqで読み込める、まともなJSONが返ってきます。最高かな?

-ji-jo を使う方法

入力するJSONファイルと、出力するJSONファイルのパスをそれぞれ指定する方法です。
Dockerを使う関係上少し面倒になってしまいますが、以下の様な感じです。

# カレントディレクトリを/workdirとしてマウント
# /workdirを実行時のカレントディレクトリにする
# 実行ユーザのUID・GIDをDockerホストと統一
$ alias dashcli="docker run --rm -i -v $PWD:/workdir --workdir /workdir -u $(id -u):$(id -g) dashcli:3.0.0-285"
$ dashcli -ji enumerate_bootconfig.json -jo result.json
$ jq "." result.json
# 省略

微妙なところ

結構よくできている印象のCLIですが、やはりメインはWindows向けなのかいくつか微妙な点があります。

変なエラーが出る

[2020/9/30 21:00 追記]

AMDのDASHサポートにメールしたところ、このエラーが出る事象は把握しており、動作には問題が無いとのこと。
置き換えることでテストケースがfailするようなので、少々邪魔くさいですが諦めてエラーが表示されることは許容しようと思います。
また、修正版をリリースする予定もあるとのことなので、それを待つことにします。

(libcurl.so.4を置き換えないようにDockerfileも修正しました。)

追記ここまで

Dockerfile内で勝手に潰しているのですが、単にインストールするだけでは以下の様なエラーメッセージを毎回吐きます。

$ dashcli version
/usr/bin/dashcli: /usr/bin/libcurl.so.4: no version information available (required by /usr/bin/libwsman_curl_client_transport.so.1)
DASH CLI v3.0.0.285

この /usr/bin/libcurl.so.4 はdashcli-setupのdebパッケージ内に含まれており、インストール時に勝手に配置されます*6
自分でlibcurl3をインストールして、そのlibcurl.so.4へのシンボリックリンクに勝手に置き換えるとちゃんと動いている上にエラーメッセージも出ません。これについてはサポートに問い合わせているので、何か返事があれば追記します。

インストール後に実行されるスクリプトがsudoを使う

debパッケージを展開するとわかるのですが、インストール後に実行されるpostinstというスクリプト内でsudoが使われています。
そのため、Docker内で実行すると sudo をインストールしていないとコケます。

うーん、 どうせパッケージインストール時に権限が必要なので、rootでないユーザは sudo dpkg -i するだろうからこれは不要なのでは……*7

出力に毎回変な改行が混ざる

できるだけ出力はそのままコピペしているので分かると思うんですが、毎回変な改行が先頭に入っています。なんやねんこれ。 -ji-jo を使うときですらなぜかそうなるので微妙な気持ちになります。あんまり実害はないのでまだ許せますが。

まとめ

Linuxで使えるDASH CLIと、それをDockerコンテナに閉じ込めて使う方法の紹介でした。軽くググった限りでは日本語の記事はこれが初出なのではないでしょうか。
今後の展望としてPXEブートできる環境を用意し、このCLIを使用して電源操作・ブート順操作の自動化をすることで、物理マシンに任意のOSをインストールしゼロからシステムをデプロイできる環境の作成を目指しています。

[2020/9/30 21:00 追記]

ブート順を変更できないっぽいため、どうするか少し悩んでいます。PXE→iPXE→HTTPでiPXEスクリプトを問い合わせというフローでブートできることを確認したので、必要な時以外は単にexitするスクリプトを配布すればその後SSDからブートするため、常にPXEブートを最上位に持ってきておくことで対応出来るのでは?と考えています。

追記ここまで

自宅で物理マシンを使ってImmutable InfrastructureとInfrastructure as Codeを実現できそうなのは結構面白いのではないでしょうか。できればあと数台M75q-1 Tinyが欲しいところです。収入が足りない😢


*1:週末は約3.2万で買えるようになっており、ポイント還元キャンペーンが無くても十分安いです

*2:僕はオタクではないのでWindowsマシンも持っています

*3:やり方が分かる人は是非教えてください

*4:というか日本語の情報は存在しない……?

*5:DeveloperGuideには記載が無く、UserGuidにはコマンド例のみが掲載されています

*6:こんなとこに置くの辞めて欲しい……これは問い合わせメールに書くの忘れました

*7:これも問い合わせメールには書き忘れました