XtremIO：使用安全通道 ldaps 时出现 LDAP 配置错误

背景

在某些情况下，当客户为外部用户配置 LDAP 验证时，可能会出现验证错误。

以下 XtremIO 环境可能会受到此问题的影响：

• Dell EMC 软件：XtremIO 6.3.2 及更高版本。

问题

当客户为外部用户配置 LDAP 验证时，如果存在以下所有情况，则可能会发生验证错误：

1. LDAP 服务器通过安全通道 ldaps 而不是 ldap 提供服务
2. 在 /etc/openldap/ldap.conf 中存在配置项 TLS_CIPHER_SUITE ALL:!ECDHE
3. 现有服务器端认证是通过密码 ECDHE 生成的。

如果出现上述情况，服务器端将返回如下错误：

[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never  ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

 (tech)> show-user-accounts
Name             Index Role          External-Account Inactivity-Timeout
tech              1    technician      False            10
sara              2    admin           True             10

• 重新生成认证文件以及 ECDHE 以外的密码。  通过 openssl 工具在不使用 ECDHE 密码组的情况下生成新证书，然后在 xmcli 控制台中运行 modify-ldap-config 命令，示例如下：

xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]

• 对 /etc/openldap/ldap.conf 中的配置项 TLS_CIPHER_SUITE ALL:!ECDHE 进行批注。