XtremIO: Chyba konfigurace LDAP při použití zabezpečeného kanálu ldaps
Summary: Při konfiguraci ověřování LDAP pomocí protokolu ldaps pro externí uživatele může dojít k chybám ověření.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Pozadí
V některých případech, kdy zákazník konfiguruje ověřování LDAP pro externí uživatele, může dojít k chybám ověření.
Tento problém může mít vliv na následující prostředí XtremIO:
- Software Dell EMC: XtremIO 6.3.2 a novější.
Problém
Pokud zákazník konfiguruje ověřování LDAP pro externí uživatele, mohou se chyby ověření vyskytnout za všech následujících podmínek:
- Server LDAP slouží prostřednictvím zabezpečeného kanálu ldaps namísto ldap.
- V souboru /etc/openldap/ldap.conf existuje položka konfigurace TLS_CIPHER_SUITE ALL:!ECDHE.
- Stávající certifikace na straně serveru je generována prostřednictvím šifry ECDHE.
Za výše uvedených podmínek se na straně serveru zobrazí chyba, jako například:
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Problém se softwarem kvůli nekompatibilitě TLS_CIPHER_SUITE ALL:!ECDHE s certifikací na straně serveru je generován prostřednictvím šifry ECDHE
Resolution
Chcete-li zjistit, zda se používá protokol LDAP, spusťte příkaz xmcli show-user-accounts. Při použití protokolu LDAP je vlastnost External-Account nastavena na hodnotu True:
Chcete-li zabránit výskytu této chyby, proveďte jednu z následujících možností:
Pokud systém XMS upgradujete na verzi XMS 6.3.2 nebo novější, je třeba tento postup provést po upgradu.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Chcete-li zabránit výskytu této chyby, proveďte jednu z následujících možností:
- Znovu vygenerujte soubor certifikace spolu s šifrou mimo ECDHE. Pomocí nástroje openssl vygenerujte nový certifikát bez použití šifrovací sady ECDHE a poté spusťte příkaz modify-ldap-config v konzoli xmcli, například:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
nebo
- Okomentujte položku konfigurace TLS_CIPHER_SUITE ALL:!ECDHE v souboru /etc/openldap/ldap.conf.
Pokud systém XMS upgradujete na verzi XMS 6.3.2 nebo novější, je třeba tento postup provést po upgradu.
Affected Products
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Article Properties
Article Number: 000185589
Article Type: Solution
Last Modified: 19 Sept 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.