XtremIO: LDAP-Konfigurationsfehler bei Verwendung von ldaps über sicheren Kanal
Zusammenfassung: Authentifizierungsfehler können auftreten, wenn die LDAP-Authentifizierung für externe Nutzer mithilfe von ldaps konfiguriert wird.
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
Hintergrund
Wenn der Kunde die LDAP-Authentifizierung für externe Nutzer konfiguriert, kann es in einigen Fällen zu Authentifizierungsfehlern kommen.
Die folgenden XtremIO-Umgebungen können von diesem Problem betroffen sein:
- Dell EMC Software: XtremIO 6.3.2 und höher
Problem
Wenn der Kunde die LDAP-Authentifizierung für externe Nutzer konfiguriert, können Authentifizierungsfehler auftreten, wenn alle der folgenden Bedingungen zutreffen:
- Der LDAP-Server bedient über einen sicheren Kanal ldaps anstelle von ldap.
- Es ist ein Konfigurationselement TLS_CIPHER_SUITE ALL:!ECDHE in /etc/openldap/ldap.conf vorhanden.
- Die vorhandene serverseitige Zertifizierung wird über die Chiffre ECDHE erzeugt.
Unter den oben genannten Bedingungen wird vom Server ein Fehler ausgegeben, ähnlich
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Ursache
Softwareproblem aufgrund der Inkompatibilität von TLS_CIPHER_SUITE ALL:!ECDHE mit der serverseitigen Zertifizierung, die über Chiffre ECDHE erzeugt wird
Lösung
Um festzustellen, ob LDAP verwendet wird, führen Sie den xmcli-Befehl show-user-accounts aus. Wenn LDAP verwendet wird, ist die Eigenschaft „External-Account“ „True“:
Um zu verhindern, dass dieser Fehler auftritt, führen Sie eine der folgenden Optionen aus:
Wenn der XMS auf XMS 6.3.2 oder höher aktualisiert wird, sollte dies nach dem Upgrade durchgeführt werden.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Um zu verhindern, dass dieser Fehler auftritt, führen Sie eine der folgenden Optionen aus:
- Erzeugen Sie die Zertifizierungsdatei zusammen mit Chiffre über ECDHE hinaus neu. Verwenden Sie das openssl-Tool, um ein neues Zertifikat ohne Verwendung der ECDHE-Cipher-Suite zu erzeugen, und führen Sie dann den Befehl modify-ldap-config in der xmcli-Konsole aus, z. B.:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
oder
- Kommentieren Sie das Konfigurationselement TLS_CIPHER_SUITE ALL:!ECDHE in /etc/openldap/ldap.conf.
Wenn der XMS auf XMS 6.3.2 oder höher aktualisiert wird, sollte dies nach dem Upgrade durchgeführt werden.
Betroffene Produkte
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Artikeleigenschaften
Artikelnummer: 000185589
Artikeltyp: Solution
Zuletzt geändert: 09 Mai 2026
Version: 12
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.