Dell Unity: In einer Multiprotokollumgebung mit LDAP schlägt der freigegebene Zugriff von Windows-Clients fehl, da keine Zuordnung vom Nutzer korrigierbar ist.
Zusammenfassung: In diesem Artikel werden die Schritte zum Trennen und Umgehen des Problems einer falschen Zuordnung bei der Verwendung von LDAP erläutert, wobei die verwendete Verschlüsselungsmethode die LDAP-Zuordnung beeinflusst. ...
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
Unity LDAP ist korrekt konfiguriert, benutzer werden jedoch nicht zugeordnet.
Wenn Sie den LDAP-Suchbefehl verwenden, um nach Benutzern auf dem LDAP-Server zu suchen, werden sie korrekt angezeigt.
HINWEIS: Der Suchbefehl erfordert die Anmeldung bei der Root-Shell. Wenden Sie sich an den Support, wenn Sie Unterstützung benötigen. Sie können bei der Aktivierung der Root-Shell und der Verwendung des Befehls helfen.
Befehl:
ldapsearch -h <ldapserver ip> -D "<BindDN>" -w <Password> -b "<BaseDN>" -s <scope(base,one,sub)> "cn=<username>"
Beispiel für einen erfolgreichen Befehl:
--------------------- root@solaris11:~# ldapsearch -h 5.6.7.xxx -D "cn=admin,dc=peeps,dc=lab" -w Password123# -b "ou=people,dc=peeps,dc=lab" -s sub "cn=user1" version: 1 dn: uid=user1,ou=People,dc=peeps,dc=lab uid: user1 uidNumber: 1 gidNumber: 1 cn: user1 sn: user1 objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount loginShell: /bin/bash homeDirectory: /home/user1 You have new mail in /var/mail/root ---------------------
Wenn Sie jedoch den SVC NAS-Befehl verwenden, um nach Benutzern zu suchen, schlägt dies mit der folgenden Meldung fehl:
Befehl:
svc_nas <server name> -ldap -lookup -user <user name>
Beispiel für einen fehlgeschlagenen Befehl:
--------------------- service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user2 nas_multi : commands processed: 1 command(s) succeeded output is complete 1659693343: LDAP: 6: LdapService::connect: Connection to Ldap server ***.***.***.*** SUCCEEDED IP[0/1]=***.***.***.*** port=389 1659693343: LDAP: 3: User user2t: User name + password + uid + gid are too large to fit into buffer. 1659693343: LDAP: 6: Unable to get information for user user2 --------------------- ---------------------
Darüber hinaus enthält der fehlgeschlagene Benutzername möglicherweise unnötige Zeichen nach dem Benutzernamen.
Beispiel für einen erfolgreichen Befehl:
--------------------- service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user1 nas_multi : commands processed: 1 command(s) succeeded output is complete 1659694219: LDAP: 6: user: user1, uid: 12333, gid: 12333, homeDir: /home/user1 Command succeeded --------------------- ---------------------
Ursache
Der Kunde hat die LDAP-Verschlüsselungsmethode auf "PBKDF2_SHA256" festgelegt.
Unity unterstützt "PBKDF2_SHA256", aber es gibt eine Einschränkung, die Summe von [Benutzername + Passwort + UID + GID] muss innerhalb von 452 Byte sein.
Wenn bei PBKDF2_SHA256 Verschlüsselung viele Byte für das Passwort verwendet werden, kann das 452-Byte-Limit überschritten werden, wenn uidNumber, gidNumber und uid zur Gesamtanzahl hinzugefügt werden.
Die Überschreitung des 452-Byte-Limits führt dazu, dass der gemeinsame Zugriff von Windows-Clients fehlschlägt, da keine Zuordnung in einer LDAP-Multiprotokollumgebung vorliegt.
Wenn das Kundenpasswort beispielsweise 447 Byte verwendet, beträgt die verbleibende Anzahl von Byte, die für uidNumber, gidNumber und uid verwendet werden sollen, nur 5 Byte.
Beispiel, das in das Limit von 452 Byte passt:
userPassword= 404 Byte
uidNumber = 16 Byte
gidNumber = 16 Byte
uid = 16 Byte
insgesamt = 452 Byte
Unity unterstützt "PBKDF2_SHA256", aber es gibt eine Einschränkung, die Summe von [Benutzername + Passwort + UID + GID] muss innerhalb von 452 Byte sein.
Wenn bei PBKDF2_SHA256 Verschlüsselung viele Byte für das Passwort verwendet werden, kann das 452-Byte-Limit überschritten werden, wenn uidNumber, gidNumber und uid zur Gesamtanzahl hinzugefügt werden.
Die Überschreitung des 452-Byte-Limits führt dazu, dass der gemeinsame Zugriff von Windows-Clients fehlschlägt, da keine Zuordnung in einer LDAP-Multiprotokollumgebung vorliegt.
Wenn das Kundenpasswort beispielsweise 447 Byte verwendet, beträgt die verbleibende Anzahl von Byte, die für uidNumber, gidNumber und uid verwendet werden sollen, nur 5 Byte.
Beispiel, das in das Limit von 452 Byte passt:
userPassword= 404 Byte
uidNumber = 16 Byte
gidNumber = 16 Byte
uid = 16 Byte
insgesamt = 452 Byte
Lösung
Erwägen Sie die Verwendung eines anderen Verschlüsselungsschemas als PBKDF2_SHA256, z. B. verwenden Sie SSHA-512.
Von Unity unterstützte LDAP-Verschlüsselungsschemata:
Ab August 2022 sind die folgenden Chiffren in OE 5.2 verfügbar:
SHA, SHA-256, SHA-384, SHA-512, SSHA, SSHA-256, SSHA-384, SSHA-512, MD5, SMD5, PKCS5S2, CRYPT, CRYPT-MD5, CRYPT-SHA-256, CRYPT-SHA-512, PBKDF2_SHA256****
Bei Verwendung von PBKDF2_SHA256 ist die Summe von [Benutzername + Kennwort + uid + gid] auf 452 Byte begrenzt.
Betroffene Produkte
Dell EMC UnityArtikeleigenschaften
Artikelnummer: 000204586
Artikeltyp: Solution
Zuletzt geändert: 15 Mai 2026
Version: 6
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.