ECS: Een AD- of LDAP-serververbinding instellen in de gebruikersinterface

Bevestig de EXACTE AD- of LDAP-informatie die moet worden gebruikt.

Het kan voorkomen dat de waarden die zijn ingevoerd in ECS (zie hieronder) niet overeenkomen met de gegevens op de AD- of LDAP-server, en dit kan leiden tot een foutuitvoer voor ongeldige referenties voor de aanmeldingspogingen van de domeingebruiker.

De waarden op de AD- of LDAP-server weergeven en controleren.

Lees het gedeelte over de ECS beheerdershandleiding over het hoofdstuk Verificatieproviders en Een AD- of LDAP-verificatieprovider toevoegen.

Sectie 1)
Het is verplicht om de authenticatieprovidercorrect in te stellen.
De verificatieprovider is de plaats waar de ECS-verbinding met de AD- of LDAP-server wordt gedefinieerd.

Afdeling 2 en 3)
ECS kan worden ingesteld om de AD- of LDAP-gebruikers te gebruiken als objectgebruikers of als beheergebruikers om zich aan te melden bij de ECS-gebruikersinterface.

Begin bij het instellen of oplossen van problemen met het minimaliseren van de complexiteit van de mogelijke problemen en ga verder in verschillende stappen.

1. Ga naar de ECS UI > Authentication Provider en stel een Authentication Provider in op één AD- of LDAP-server met één server-URL. Dit om de complexiteit tot een minimum te beperken.
   1. Probeer indien mogelijk in het vak voor de server-URL LDAP te gebruiken in plaats van LDAPS voor het testen. Als LDAP niet werkt, dan werkt LDAPS ook niet. 
   2. Zorg voor een correcte manager-DN.
   3. Stel de zoekbasis in een exacte gebruikersmap in, niet in een grote zoekbasis, dit is om de LDAP time-outwaarde die wordt overschreden te verdisconteren.
   4. Selecteer als zoekfilter het juiste type, de gebruikerskenmerken op de AD- of LDAP-server laten zien welke moeten worden gebruikt. Zie hieronder. Mogelijke zoekfilteropties: sAMAccountName=%U, userPrincipalName=%u, uid=%U
   5. Opmerking: een veelgestelde vraag is welk type verificatieprovider u moet gebruiken; AD, Keystone of LDAP? Het advies is dat als de server een Windows Active Directory is, gebruik dan AD-type. Als de server een Linux openLDAP is, gebruikt u het LDAP-type. Als de server een Keystone is, gebruik dan Keystone. 
2. Voeg de testgebruiker toe als domeinbeheergebruiker en test de login.
   1. De testgebruiker toevoegen aan gebruikers die ECS gebruikersbeheer>>>toevoegt
   2. De juiste indeling zou username@domainname zijn. ECS gebruikt het @-symbool om te detecteren dat het moet zoeken naar een domeingebruiker zoals gedefinieerd in de authenticatieprovider.
   3. U moet gebruikers toevoegen aan de gebruikerslijst om hun rechten op ECS te definiëren, dat wil zeggen beheerders- of monitorgebruikersrechten.
3. Test de aanmelding van de gebruiker.
   1. Als het aanmelden van een gebruiker op het domein niet lukt, onderzoekt u het probleem en lost u het probleem op  
      1. Als dit lukt, verander dan de zoekbasis in de hoofdzoekbasis die de gebruikers willen, dat is de hoofdlocatie,
         1. Als dit vervolgens mislukt, is de enige verandering tussen succesvol en mislukt een wijziging van de zoekbasis, zie knowledge article ECS: Onregelmatig optredende aanmeldingsfout van domeingebruikers doordat AD/LDAP-time-outwaarde wordt overschreden
         2. Als dit lukt, kunnen de domeingroepen nu worden getest.
   2. Als een gebruiker kan inloggen, kan er ook een gebruikersgroep worden gebruikt.
      1. Zorg ervoor dat de groep en de gebruikers van de vereiste groep zich binnen het bereik van de zoekbasis bevinden.
      2. Het beste is om een testgebruiker zoals hierboven te testen om te bepalen of de verbinding werkt.
      3. Verwijder de testgebruiker van de groep uit de ECS-beheerlijst en voeg in plaats daarvan de testgroep waartoe de gebruiker behoort toe aan de lijst met ECS-beheergebruikers. Dat is net als de bovenstaande stappen, we proberen mogelijke probleemoplossing te minimaliseren. Het enige verschil is dat ECS nu op de hoogte is van de groep en niet van de directe gebruiker.
      4. Lees het Knowledge-artikel (aanmelden bij Dell Support-account vereist om toegang te krijgen tot het artikel). Dat wil zeggen, als u groepen wilt gebruiken, moet u op de hoogte zijn van dit kennisartikel.
4. Als een beheergebruiker of -groep zich kan aanmelden, is dat handig om te weten, omdat het gemakkelijker is om problemen met het instellen van domeinbeheergebruikers op te lossen dan met het instellen van domeinobjectgebruikers, dus het is goed om te testen.
   1.  Als een gebruiker vervolgens een domeinobject wil gebruiken en voor zichzelf kan bewijzen dat dezelfde domeingebruikers werken als UI-beheergebruiker, dan is dat handig om te weten, want als een gebruiker als UI-beheergebruiker kan werken, moet hij als objectgebruiker werken.
5. Voor LDAP-certificaten (LDAP via SSL of TLS) raadpleegt u de beheerdershandleiding en het Knowledge Article-ECS: Alle certificaten via LDAPS op ECS instellen en accepteren
   1. Het is raadzaam om te bevestigen dat de LDAP-verbindingen werken en dat gebruikers kunnen inloggen op LDAP, voordat u kijkt naar het instellen van LDAPS.
   2. Let op, een geldige en volledige certificaatketen kan vereist zijn.
   3. Als u LDAPS gebruikt, moeten de server-URL's in de verificatieprovider de FQDN-indeling hebben in plaats van het IP-adres, zodat ze overeenkomen met de LDAPS-certificaten die de FQDN van de LDAP-servers weergeven in plaats van het IP-adres.   
       

Het doel van de stappen die worden vermeld, is om mogelijke problemen te negeren door de problemen te vereenvoudigen tot stappen om te controleren.

Deel 1: Verificatieprovider
Raadpleeg de ECS beheerdershandleiding voor alle stappen.

U kunt verificatieproviders toevoegen aan ECS als u wilt dat gebruikers worden geverifieerd door systemen buiten ECS.

Een verificatieprovider is een extern systeem dat gebruikers namens ECS kan verifiëren.

ECS slaat de informatie op waarmee verbinding kan worden gemaakt met de verificatieprovider, zodat ECS verificatie van een gebruiker kan aanvragen.

In ECS zijn de volgende typen verificatieproviders beschikbaar:

• Active Directory (AD)-verificatie of LDAP-verificatie (Lightweight Directory Access Protocol): Wordt gebruikt voor het verifiëren van domeingebruikers die zijn toegewezen aan beheerrollen in ECS.
• Sluitsteen: Wordt gebruikt om gebruikers van OpenStack Swift-objecten te verifiëren.

1. Maak de gebruiker of groep in AD met de specifieke gebruikers die zich moeten aanmelden bij ECS:

1. Navigatie: Beheren >Authenticatie

2.  Voer het veld Name en Description in en selecteer het juiste servertype:

 
Opmerking: Er kan een foutmelding optreden als wordt geprobeerd een onjuist type op te slaan.

3. Voer de te gebruiken domeinen in.

4. URL van AD- of LDAP-server:

ldap://<Domain controller IP>:<port> Or ldaps://<Domain controller IP>:<port>

5. De beheerders-DN wijzigen of bijwerken.

 
Bijvoorbeeld: Manager DN: CN=Administrator,CN=Users,DC=nas2008test,DC=com
Moet de juiste locatie van de Manager DN-gebruiker op de AD- of LDAP-server zijn.

De Manager DN:
Dit is het Active Directory Bind-gebruikersaccount dat ECS gebruikt om verbinding te maken met de Active Directory- of LDAP-server. Dit account wordt gebruikt om in Active Directory te zoeken wanneer een ECS-beheerder een gebruiker opgeeft voor roltoewijzing.

Dit gebruikersaccount moet Read all inetOrgPerson information in Active Directory hebben. De InetOrgPerson-objectklasse wordt gebruikt in verschillende niet-Microsoft-, LDAP- en X.500-directoryservices om personen in een organisatie te vertegenwoordigen.

6. Opties voor providers

7. Groepskenmerken instellen:

8. De whitelisting van de Groep bijwerken of wijzigen

9. Het zoekbereik bijwerken of wijzigen

10. De zoekbasis bijwerken of wijzigen.

11. Zoekfilter

1. Bevestig het juiste zoekfilter dat de gebruikers moeten gebruiken:

dn:CN=user1,CN=Users,DC=marketing,DC=example,DC=com
userPrincipalName: user1@marketing.example.com
memberOf: CN=marketing,CN=Users,DC=example,DC=com

dn: uid=ldapuser1,ou=People,dc=example,dc=com
uid: ldapuser1
cn: ldapuser1
sn: ldapuser1

12. Forest-instellingen met meerdere domeinen.

In een multidomeinforest zijn er domeinen die met elkaar zijn verbonden, bijvoorbeeld een bovenliggend en onderliggende domein.

Bovenliggend voorbeeld: dell.com
Voorbeelden van onderliggende domeinen: amer.dell.com, emea.dell.com, apac.dell.com

1) Een groep kan zich in een van de domeinen bevinden en sommige gebruikers kunnen zich in andere domeinen bevinden.
2) Normaal gesproken zijn de domeinen niet zichtbaar voor elkaar, maar het bovenliggende domein kan alle onderliggende domeinen zien, daarom gebruikt u bij het opzetten van een bosverbinding met meerdere domeinen het bovenliggende domein als het primaire domein voor de authenticatieprovider. 

Stappen die anders zijn:
A) Geef het domein een naam na het bovenliggende domein.
B) Maak een lijst van alle domeinen die van belang zijn in het vak domeinen van de authenticatieprovider.
C) Als de authenticatieprovider een forest met meerdere domeinen ondersteunt, gebruikt u het IP-adres van de globale catalogusserver en geeft u altijd het poortnummer op. Standaardpoorten: LDAP: 3268, LDAPS: 3269
D) Stel de zoekbasis in op de hoofdmap van het bovenliggende domein.
E) Houd er rekening mee dat de naam van de verificatieprovider de primaire id is voor het gebruik van de domeingebruiker. Dat is voor dit voorbeeld, voeg gebruikers of groepen toe zoals bijvoorbeeld: group1@dell.com, niet een subdomein zoals group1@amer.dell.com
Zie de sectie Beheer en object dat gebruikers instellen.

 
 

Deel 2: Beheer en object dat gebruikers instellen 

1. Voeg de groep toe als beheergebruiker en kies de juiste rollen:

2. Test de aanmelding met de andere gebruiker in de groep.

Deel 3: AD- of LDAP-gebruikers als ingesteld object door gebruikers
Het maken van een beheergebruiker is handig om de verbinding met de AD of LDAP te testen en moet worden gedaan voordat u een objectgebruiker maakt.

Zie de beheerdersgids EN de gids voor datatoegang.

1. Domeingebruikers toevoegen aan een naamruimte voor objectgebruikersgebruik:

U moet domeingebruikers toevoegen (toewijzen) aan een namespace als u wilt dat deze gebruikers ECS-objectgebruikersbewerkingen uitvoeren. Om toegang te krijgen tot het ECS-objectarchief moeten objectgebruikers en namespacebeheerders aan een namespace worden toegewezen. U kunt een volledig domein van gebruikers toevoegen aan een namespace, of u kunt een subset van de domeingebruikers toevoegen aan een namespace door een bepaalde groep of kenmerk op te geven dat aan het domein is gekoppeld.

Een domein kan gebruikers voor meerdere namespaces bieden. U kunt bijvoorbeeld besluiten om gebruikers zoals de afdeling Accounts in het domein "yourco.com" toe te voegen aan naamruimte1 en gebruikers zoals de afdeling Financiën in het domein "yourco.com" aan naamruimte2. In dit geval biedt het domein "yourco.com" gebruikers voor twee namespaces.

Een heel domein, een bepaalde groep gebruikers of een bepaalde gebruiker kan niet aan meer dan één naamruimte worden toegevoegd. Het domein "yourco.com" kan bijvoorbeeld worden toegevoegd aan naamruimte1, maar het domein kan niet ook worden toegevoegd aan naamruimte2.

Het volgende voorbeeld laat zien dat een systeem- of namespacebeheerder een subset van gebruikers in het domein "yourco.com" aan een namespace heeft toegevoegd; de gebruikers met hun afdelingskenmerk = Accounts in Active Directory. De systeem- of namespacebeheerder heeft de gebruikers van de afdeling Accounts uit dit domein toegevoegd aan een namespace met behulp van de naamruimte Bewerken in de ECS Portal.

Figuur 1. Een subset van domeingebruikers toevoegen aan een naamruimte met behulp van één AD-attribuut
Domeinobjectgebruikers die zijn geselecteerd onder de selectie "domein" zijn niet-admin-objectgebruikers met alleen toegangsrechten voor hun eigen gemaakte buckets.

 
Attributen zijn een subsetoptie die kan worden verwijderd door op "X" te klikken.
De subset Attributen moet overeenkomen met de Attributen van de domeingebruikers op de AD-server.

In het volgende voorbeeld ziet u een ander voorbeeld waarbij de beheerder van het systeem of de naamruimte meer granulariteit gebruikt bij het toevoegen van gebruikers aan een naamruimte. In dit geval heeft de systeem- of namespacebeheerder de leden in het domein "yourco.com" toegevoegd die behoren tot de groep Storagebeheerders met het kenmerk Department = Accounts EN regiokenmerk = Pacific, OF behoren tot de groep Storage Admins met het kenmerk Department = Finance.

Afbeelding 2. Een subset van domeingebruikers toevoegen aan een naamruimte met behulp van meerdere AD-kenmerken

2. Domeingebruiker moet een geheime sleutel maken volgens de ECS-handleiding voor datatoegang

user@device:~$ curl -ik -u TestUser@TestDomain.com https://10.xxx.xxx.xxx:4443/login
Enter host password for user 'TestUser@TestDomain.com':
HTTP/1.1 200 OK
Date: Thu, 09 Apr 2020 14:30:04 GMT
Content-Type: application/xml
Content-Length: 106
Connection: keep-alive
X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=
X-SDS-AUTH-USERNAME: TestUser@TestDomain.com
X-SDS-AUTH-MAX-AGE: 28800

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><loggedIn><user>TestUser@TestDomain.com</user></loggedIn>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_keys>
  <secret_key_1/>
  <secret_key_1_exist>false</secret_key_1_exist>
  <secret_key_2/>
  <secret_key_2_exist>false</secret_key_2_exist>
  <key_timestamp_1/>
  <key_timestamp_2/>
</user_secret_keys>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" -H "Content-Type:application/json" -X POST -d "{}" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_key>
  <link rel="self" href="/object/user-secret-keys/TestUser@TestDomain.com"/>
  <secret_key>6C7fW_Secret_Key_COl38yzAHIRorJ3oiK</secret_key>
  <key_expiry_timestamp/>
  <key_timestamp>2020-04-09 14:44:27.431</key_timestamp>
</user_secret_key>

Aanmeldingsfout gebruiker:

"Access is denied due to invalid or expired credentials."

 
 

Voorbeeld uit 3.4 ECS UI:

 
    

1. De gebruikersnaam of het wachtwoord is onjuist.
2. Gebruiker niet gevonden en Gebruiker niet gevonden kan te wijten zijn aan een onjuiste zoekbasis in de verificatieprovider voor die gebruiker.
3. Het kan enkele minuten duren voordat wijzigingen in een ECS-authenticatieprovider van kracht worden en de gecorrigeerde authenticatieprovider is de verbinding nog steeds aan het bijwerken naar AD of LDAP.
4. De AD-parameter van de gebruiker "Gebruiker moet wachtwoord wijzigen bij volgende aanmelding" is actief voor die gebruiker. Opmerking: ECS kan het wachtwoord van de domeingebruiker op de AD- of LDAP-server niet wijzigen. Dit veroorzaakt daarom een fout, omdat de AD- of LDAP-server de parameter probeert af te dwingen. Wijzig het wachtwoord van een andere applicatie of schakel het parameterselectievakje uit. Het wordt ook aanbevolen om 3.6.2.0 of hoger te gebruiken voor dit probleem, omdat ECS gebruikers dan vraagt om het AD-serververzoek om "User must change password at next login."
5. gebruiker van het sAMAccountName-type mist de juiste domeinwaarde die is username@domain.
6. Mogelijk hebt u de zoekbasis ingesteld op:

"Error 1008 (http:400): invalid parameter"

 
"Connection to the LDAP server succeeded, but the Manager DN CN=Users,DC=CAS,DC=EMC,DC=com or its password failed to authenticate"
 

1. Is ingesteld op de exacte juiste gebruikerslocatie, CN=Administrator,CN=Users,DC=CAS,DC=EMC,DC=com en CN=Users,DC=CAS,DC=EMC,DC=com 
2. Het wachtwoord is correct.
3. De gebruiker heeft de vereiste autorisatie om de Manager DN-gebruiker te zijn.  

command type REQUEST_AUTHPROVIDER_CREATE failed with error code ERROR_RG_NOT_FOUND and message 'replication group urn:storageos:ReplicationGroupInfo:00000000-0000-0000-0000-000000000000:global not found'

Als een gebruiker de LDAP-server heeft gewijzigd, terwijl de FQDN van de nieuwe LDAP-server overeenkomt met de FQDN van de oude LDAP-server.

Het huidige LDAP SSL-certificaat kan verwijzen naar de oude LDAP-server, daarom moet het LDAP SSL-certificaat worden vervangen door een bijgewerkt LDAP SSL-certificaat.

Mogelijke foutmelding:

 

Controleer of het certificaat is uitgegeven en zorg ervoor dat FQDN exact overeenkomt met de URL die wordt gebruikt in de ECS-gebruikersinterface. U kunt ook de Subject Alternative Names controleren die exact overeenkomen met certificate:

Command:

sudo openssl s_client -connect :636 < /dev/null | openssl x509 -noout -text | grep DNS:

Voorbeeld:

node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636 < /dev/null| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS1.LOCAL


node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS.LOCAL

 
Controleer uw LDAPS-certificaat op ECS-overeenkomsten, zo niet, dan kan het zijn dat een nieuw, correct certificaat vereist is voor ECS. 

Als dit het geval is, kan een gebruiker een SR openen met ECS-ondersteuning voor hulp.

---

 

1. Is het veld Authenticatieprovider correct ingevuld door de gebruiker?
2. Is de beheergebruiker gemaakt?
3. Zijn de testgebruiker en het wachtwoord correct ingevoerd bij de ECS-aanmelding?
4. Kunnen ze zich aanmelden met een andere gebruiker van een domein?
5. Is dit de eerste keer dat de AD of LDAP op het ECS wordt ingesteld?
6. Als er geen nieuwe AD of LDAP is ingesteld op ECS, hebben ze zich dan ooit kunnen aanmelden met deze referenties? Zo ja, ga dan na of er wijzigingen zijn geweest die van invloed zijn op de autorisatie?