PowerStore. Изменение безопасности для входа пользователя LDAP в версии 3.5

Заказчик не может войти в систему с пользователем LDAP в массиве версии 3.5. Тот же пользователь LDAP продолжает работать на других массивах, работающих под управлением версии 3.2.

LDAP настроен с портом 389 по умолчанию на всех массивах, bind DN настроен успешно и проверка исправна.

Изменения внесены в выпуск 3.5. Короткое имя не работает, для входа требуется полное доменное имя.

Например:

• Пользователь получает лес AD, имя дочерного домена aisa.nsroot.com и americ.nsroot.com
• Домен LDAP настроен как «nsroot.com», а bindDN bind_user@aisa.nsroot.com
• Пользователь войдите в систему с admin_pst@aisa (короткое имя) для входа в PowerStore Manager. (Полный FQDN=admin_pst@aisa.nsroot.com)

В версии 3.2 поиск LDAP работает с портом 389:

Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389   <<<
Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com
Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4]  The number of groups this LDAP account belongs to is : 184
Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst   <<<<
Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role
Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1
Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]

В версии 3.5 массив сообщает о несоответствии доменного имени LDAP.

Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com

Если пользователь изменяет имя пользователя для использования полного FQDN, вход в систему продолжает завершать сбоем, так как input=aisa.nsroot.com и LDAP config=nsroot.com, доменные имена несовпадения.

Войдите с коротким именем и продолжает жаловаться на то, что «учетная запись не найдена» после включения порта 3268:

Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268  search exception:Ldap search error: account not found
Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2]  LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found

Поскольку AD пользователя работает на уровне леса, необходимо включить порт глобального каталога 3268, чтобы система запускала поиск LDAP в разных доменных именах.

Пользователь может продолжать использовать те же домены BindDN и LDAP.
Домен LDAP настроен как «nsroot.com», а bindDN bind_user@aisa.nsroot.com.

В конфигурации LDAP необходимо проверить глобальный каталог.
Для входа в диспетчер PST необходимо добавить пользователя LDAP в разделе Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)

Имя пользователя в формате Full FQDN можно использовать для входа в PST Manager.
  Если AD заказчика не работает в лесу, используйте порт 389 по умолчанию и войдите с полным именем FQDN.