XtremIO: Erro de configuração LDAP ao usar ldaps de canal seguro
Summary: Erros de autenticação podem ocorrer quando a autenticação LDAP, usando ldaps, é configurada para usuários externos.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Informações gerais
Em alguns casos, quando o cliente configura a autenticação LDAP para usuários externos, podem ocorrer erros de autenticação.
Os seguintes ambientes XtremIO podem ser afetados por esse problema:
- Software Dell EMC: XtremIO 6.3.2 e posterior.
Problema
Quando o cliente configura a autenticação LDAP para usuários externos, os erros de autenticação podem ocorrer quando todas as condições a seguir existirem:
- O servidor LDAP faz a distribuição por ldaps de canal seguro, em vez de ldap
- Existe um item de configuração TLS_CIPHER_SUITE ALL:!ECDHE em /etc/openldap/ldap.conf
- A certificação existente no servidor é gerada por meio da codificação ECDHE.
Nas condições acima, o lado do servidor retornará um erro como,
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Problema de software devido à incompatibilidade de TLS_CIPHER_SUITE ALL:!ECDHE com a certificação no servidor sendo gerada via codificação ECDHE
Resolution
Para determinar se o LDAP está sendo usado, execute o comando xmcli show-user-accounts. A propriedade External-Account é True quando o LDAP está sendo usado:
Para impedir que esse erro ocorra, realize uma das seguintes opções:
Se o XMS estiver sendo atualizado para XMS 6.3.2 ou posterior, isso deve ser realizado após o upgrade.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Para impedir que esse erro ocorra, realize uma das seguintes opções:
- Gere novamente o arquivo de certificação junto com codificações além de ECDHE. Use a ferramenta openssl para gerar um novo certificado sem usar o pacote de codificações ECDHE e, em seguida, execute o comando modify-ldap-config no console xmcli, por exemplo:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
ou
- Comente o item de configuração TLS_CIPHER_SUITE ALL:!ECDHE em /etc/openldap/ldap.conf.
Se o XMS estiver sendo atualizado para XMS 6.3.2 ou posterior, isso deve ser realizado após o upgrade.
Affected Products
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Article Properties
Article Number: 000185589
Article Type: Solution
Last Modified: 19 Sept 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.