VPLEX: MMCS/Management-Server zeigt falschen Nutzer nach erfolgreicher LDAP-Anmeldung an
Zusammenfassung: Der Zweck dieses Artikels besteht darin, LDAP-Anmeldeprobleme (Lightweight Directory Access Protocol) bei der UNIX/Linux-Shell auf einem MMCS (VS6) oder Managementserver (VS2) zu beheben. Nach erfolgreicher LDAP-Anmeldung unterscheidet sich der angezeigte Nutzer von dem Nutzer, dessen Zugangsdaten eingegeben wurden. ...
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
Management-Server oder MMCS zeigt falschen Nutzer nach erfolgreicher LDAP-Anmeldung an.
Annahmen:
- EndnutzerIn verwendet Windows Server 2008/2012/2016 Active Directory (AD) für die LDAP-Authentifizierung.
- Der Endnutzer verfügt bereits über eine funktionierende LDAP-Konfiguration, in der sich Active Directory-Nutzerkonten über LDAP authentifizieren können, um sich bei VPLEX anzumelden.
- Die Managementserver-/MMCS-Einstellungen haben das rollenbasierte Zugriffstypkonto "vplexuser" mit Shell-Zugriff bereitgestellt. In der Regel wird LDAP-Nutzern für den VPLEX-Zugriffdie Standardrolle "vplexuser" zugewiesen.
Hinweis: Diese Informationen werden im "VPLEX GeoSynchrony [Version] Administration Guide" mit Anweisungen zum Aktivieren des Shell-Zugriffs für die vplex-Rolle im Abschnitt "Managen von Nutzerkonten" im Unterabschnitt "Anzeigen oder Ändern von Nutzerkontodetails" ausführlicher behandelt. Weitere Informationen zum Zuweisen von Rollen und Berechtigungen mithilfe des rollenbasierten Zugriffs finden Sie im "VPLEX Security Configuration Guide".
Beispiel:
Einloggen als: john.smith
Tastaturinteraktive Authentifizierungsaufforderungen von server:
Password:
jane.doe@ManagementServer:~ whoami
jane.doe
Hinweis: Im obigen Beispiel versucht der Endnutzer, sich mit dem AD-Nutzer "john.smith" bei VPLEX anzumelden. Nach erfolgreicher Anmeldung wird das Nutzerkonto jedoch auf "jane.doe" umgestellt, was nicht das erwartete Verhalten ist. Die erwartete Ausgabe hätte "john.smith" anstelle von "jane.doe" auflisten sollen.
Tastaturinteraktive Authentifizierungsaufforderungen von server:
Password:
jane.doe@ManagementServer:~ whoami
jane.doe
Hinweis: Im obigen Beispiel versucht der Endnutzer, sich mit dem AD-Nutzer "john.smith" bei VPLEX anzumelden. Nach erfolgreicher Anmeldung wird das Nutzerkonto jedoch auf "jane.doe" umgestellt, was nicht das erwartete Verhalten ist. Die erwartete Ausgabe hätte "john.smith" anstelle von "jane.doe" auflisten sollen.
Ursache
Es sind doppelte Werte (nicht eindeutig) für das Objektattribut "uidNumber" in einem oder mehreren Active Directory (AD)-Nutzerkonten vorhanden. Dies führt dazu, dass der authentifizierte Benutzer zum ersten AD-Konto wechselt, das die "uidNumber" aufgelistet hat.
Lösung
Stellen Sie sicher, dass für die AD-Nutzerkonten ein eindeutiger Wert für uidNumber und gidNumber festgelegt ist, sodass kein anderes AD-Nutzerkonto in der Domain dieselbe uidNumber oder gidNumber hat.
Eine uidNumber und gidNumber können dieselbe ID haben, aber da die ID in unterschiedlichen Attributen festgelegt ist, gibt es keinen Konflikt für das AD-Nutzerkonto.
Weitere Informationen
Der UNIX/Linux-Befehl 'ldapsearch' kann für das Troubleshooting von AD-Nutzerkontoattributen nützlich sein, um festzustellen, welche Werte für die Objektattribute uidNumber und gidNumber angezeigt werden, damit doppelte Werte geprüft und bei Bedarf korrigiert werden können.
| Verwendung: | ldapsearch -x -lll -h <IP-Adresse des LDAP-Servers> -b "<Basis-DN"> -D "<Bindungs-DN"> -W "(cn=Benutzername)" uidNumber gidNumber |
|
Fehlgeschlagene LDAP-Anmeldung |
Die LDAP-Authentifizierung auf der VPLEX mit dem vorhandenen AD-Konto "john.smith" war nicht erfolgreich, aber nach erfolgreicher Anmeldung wird ein anderer Nutzer "jane.doe" angezeigt, wenn er angemeldet ist. Beispiel:
|
| Erfolgreiche
LDAP-Anmeldung |
Erfolgreiche LDAP-Authentifizierung bei VPLEX mit dem vorhandenen AD-Konto "johnny.appleseed", das bei erfolgreicher Anmeldung den richtigen Nutzer anzeigt.
Beispiel:
Melden Sie sich an als: johnny.appleseed Verwenden Sie die Tastatur-interaktive Authentifizierung. Kennwort: johnny.appleseed@ManagementServer:~>whoami johnny.appleseed |
| Ausführen von ldapsearch
|
Das Ausführen von ldapsearch auf dem vorhandenen AD-Konto "john.smith" zeigt, dass uidNumber und gidNumber beide auf 10000 festgelegt sind.
Beispiel:
service@ManagementServer:~> ldapsearch -x -lll -h 192.168.100.200 -b "DC=vplexlab,DC=com" -D "CN=VPLEX Bind,OU=VPLEXLAB Accounts,DC=vplexlab,DC=com" -W "(cn=John Smith)" uidNumber gidNumber LDAP-Kennwort eingeben: Dn: CN=John Smith,OU=Nutzer,OU=VPLEXLAB-Konten,DC=vplexlab,DC=com uidNumber: 10000 gidZahl: 10000 service@ManagementServer:~> Das Ausführen von ldapsearch auf dem vorhandenen AD-Konto "jane.doe" zeigt, dass uidNumber und gidNumber beide auf 10000 festgelegt sind, was doppelte Werte für uidNumber und gidNumber aus dem vorhandenen AD-Konto "john.smith" enthält.
Beispiel:
service@ManagementServer:~> ldapsearch -x -lll -h 192.168.100.200 -b "DC=vplexlab,DC=com" -D "CN=VPLEX Bind,OU=VPLEXLAB Accounts,DC=vplexlab,DC=com" -W "(cn=Jane Doe)" uidNumber gidNumber LDAP-Kennwort eingeben: Dn: CN=Jane Doe,OU=Nutzer,OU=VPLEXLAB-Konten,DC=vplexlab,DC=com uidNumber: 10000 gidZahl: 10000 service@ManagementServer:~> Das Ausführen von ldapsearch auf dem vorhandenen AD-Konto "johnny.appleseed" zeigt, dass uidNumber und gidNumber beide auf 10025 festgelegt sind, was sich eindeutig von den AD-Konten "john.smith" und "jane.doe" und von anderen AD-Konten unterscheidet.
Beispiel:
service@ManagementServer:~> ldapsearch -x -lll -h 192.168.100.200 -b "DC=vplexlab,DC=com" -D "CN=VPLEX Bind,OU=VPLEXLAB Accounts,DC=vplexlab,DC=com" -W "(cn=Johnny Appleseed)" uidNumber gidNumber LDAP-Kennwort eingeben: Dn: CN=Johnny Appleseed,OU=Nutzer,OU=VPLEXLAB-Konten,DC=vplexlab,DC=com uidNumber: 10025 gidZahl: 10025 service@ManagementServer:~> |
Weitere Informationen zur LDAP-Übersicht finden Sie im folgenden externen Oracle-Artikel:
Weitere Informationen zu UNIX-Nutzerobjektattributen für uidNumber und gidNumber finden Sie im folgenden externen Artikel:
Weitere Informationen und Beispiele für die Verwendung des Linux-/UNIX-Befehls ldapsearch finden Sie im folgenden externen Artikel:
Weitere Informationen zum Active Directory-Schema finden Sie im folgenden externen MS-Artikel:
Weitere Informationen zum Erstellen von Active Directory-Nutzerkonten finden Sie im folgenden externen Artikel:
Betroffene Produkte
VPLEX SeriesProdukte
VPLEX for All Flash, VPLEX Series, VPLEX VS2, VPLEX VS6Artikeleigenschaften
Artikelnummer: 000170875
Artikeltyp: Solution
Zuletzt geändert: 05 Mai 2026
Version: 5
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.