PowerStore: Beveiligingswijziging voor LDAP-gebruikersaanmelding in versie 3.5
Samenvatting: In dit artikel wordt een LDAP-probleem beschreven nadat de arraycode is geüpgraded naar versie 3.5.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
De klant kan zich niet aanmelden met LDAP-gebruiker op versie 3.5 array. Dezelfde LDAP-gebruiker blijft werken op andere arrays die worden uitgevoerd op versie 3.2.
De LDAP is geconfigureerd met standaardpoort 389 op alle arrays, Bind DN is ingesteld en verificatie is goed.
De LDAP is geconfigureerd met standaardpoort 389 op alle arrays, Bind DN is ingesteld en verificatie is goed.
Oorzaak
Er zijn wijzigingen in release 3.5. Een korte naam werkt niet, volledige FQDN is vereist om u aan te melden.
Bijvoorbeeld:
Meld u aan met de korte naam en klaag dat "account is not found" na het inschakelen van poort 3268:
Bijvoorbeeld:
- De gebruiker krijgt AD-forest, onderliggende domeinnaam aisa.nsroot.com en americ.nsroot.com
- LDAP-domein is geconfigureerd als 'nsroot.com' en BindDN is bind_user@aisa.nsroot.com
- De gebruiker meldt zich aan met admin_pst@aisa (korte naam) voor aanmelding bij PowerStore Manager. (Volledige FQDN=admin_pst@aisa.nsroot.com)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]In versie 3.5 meldt de array "LDAP domain name mismatch".
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com Als de gebruiker de gebruikersnaam van de aanmelding wijzigt om de full FQDN te gebruiken, mislukt de aanmelding omdat de input=acatalogi.nsroot.com en LDAP config=nsroot.com niet overeenkomen, komen domeinnamen niet overeen.
Meld u aan met de korte naam en klaag dat "account is not found" na het inschakelen van poort 3268:
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
Aangezien de gebruikers-AD wordt uitgevoerd op forest-niveau, moeten we Global Catalog-poort 3268 inschakelen om het systeem in staat te stellen LDAP-zoekopdracht uit te voeren in verschillende domeinnamen.
De gebruiker kan hetzelfde BindDN- en LDAP-domein blijven gebruiken.
LDAP-domein is geconfigureerd als 'nsroot.com' en BindDN is bind_user@aisa.nsroot.com.
De Globale catalogus moet worden gecontroleerd op LDAP-configuratie.
LDAP gebruiker om in te loggen PST Manager moet worden toegevoegd onder Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
User name in Full FQDN format can be used for login PST manager.
De gebruiker kan hetzelfde BindDN- en LDAP-domein blijven gebruiken.
LDAP-domein is geconfigureerd als 'nsroot.com' en BindDN is bind_user@aisa.nsroot.com.
De Globale catalogus moet worden gecontroleerd op LDAP-configuratie.
LDAP gebruiker om in te loggen PST Manager moet worden toegevoegd onder Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
User name in Full FQDN format can be used for login PST manager.
OPMERKING: De accountnaam moet de waarde zijn van het ID-kenmerk dat is gedefinieerd in Geavanceerde instellingen onder Domeininstellingen in het schuifpaneel van Directory Services.
Bijvoorbeeld:
Als de AD van de klant niet wordt uitgevoerd als forest, gebruikt u standaardpoort 389 en meldt u zich aan met de volledige FQDN-naam.Bijvoorbeeld:
- Wanneer Global Catalog (forest-level authentication) is geselecteerd voor het configureren van de PowerStore LDAP-server, is de standaardwaarde voor het kenmerk User ID onder Advanced Settings UserPrincipalName. De accountnaam moet een gebruikersnaam zijn die uniek is en de indeling is username@DomainName.com
- Wanneer Global Catalog niet is geselecteerd, is de standaardwaarde voor het kenmerk User ID onder Advanced Settings sAMAccountName. De accountnaam moet een sAM-accountnaam zijn.
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.