ECS: Sådan konfigureres en AD- eller LDAP-serverforbindelse i brugergrænsefladen

Bekræft de NØJAGTIGE AD- eller LDAP-oplysninger, der skal bruges.

Det kan forekomme, at de værdier, der indtastes i ECS (se nedenfor), ikke stemmer overens med oplysningerne på AD- eller LDAP-serveren, og dette kan generere et ugyldigt legitimationsfejloutput for domænebrugerens logonforsøg.

Se og sørg for værdierne på AD- eller LDAP-serveren.

Læs afsnittet ECS-administratorvejledning i kapitlet Godkendelsesudbydere og "Tilføj en AD- eller LDAP-godkendelsesudbyder".

Afsnit 1)
Det er obligatorisk at have godkendelsesudbyderen konfigureretkorrekt.
Godkendelsesudbyderen er det sted, hvor ECS-forbindelsen til AD- eller LDAP-serveren er defineret.

Afsnit 2 og 3)
ECS kan konfigureres til at bruge AD- eller LDAP-brugere som objektbrugere eller som administrationsbrugere til at logge på ECS-brugergrænsefladen.

Under opsætningen eller fejlfindingen skal du begynde med at minimere kompleksiteten af de mulige problemer og fortsætte i flere trin.

1. Gå til ECS UI-godkendelsesudbyderen > , og indstil en godkendelsesudbyder til én AD- eller LDAP-server med én server-URL. Dette er for at minimere kompleksiteten.
   1. I serverens URL-boks skal du prøve at bruge LDAP i stedet for LDAPS til test, hvis det er muligt. Som om LDAP ikke virker, så gør LDAPS det heller ikke. 
   2. Har en korrekt leder DN.
   3. Indstil søgebasen i en nøjagtig brugermappe, ikke en stor søgebase, dette er for at diskontere LDAP-timeoutværdien, der overskrides.
   4. Som et søgefilter skal du vælge den korrekte type, brugerens attributter på AD- eller LDAP-serveren viser, hvilken der skal bruges. Se nedenfor. Mulige søgefilterindstillinger: sAMAccountName=%U, userPrincipalName=%u, uid=%U
   5. Bemærk, at et almindeligt spørgsmål er, hvilken godkendelsesudbydertype der skal bruges; AD, Keystone eller LDAP? Rådet er, at hvis serveren er en Windows Active Directory, skal du bruge AD-type. Hvis serveren er en Linux openLDAP, skal du bruge LDAP-typen. Hvis serveren er en Keystone, skal du bruge Keystone. 
2. Tilføj testbrugeren som domæneadministrationsbruger, og test login.
   1. Tilføj testbrugeren på ECS-brugergrænsefladen>>, brugeradministrationsbrugertilføjelse>
   2. Det korrekte format ville være username@domainname, ECS bruger @-symbolet til at registrere, at det skal lede efter en domænebruger som defineret i godkendelsesudbyderen.
   3. Du skal føje brugere til listen over brugere for at definere deres rettigheder på ECS, dvs. administrator- eller overvågningsbrugerrettigheder.
3. Test brugerlogin.
   1. Hvis det ikke lykkes domænebrugeren at logge på, skal du undersøge og foretage fejlfinding  
      1. Hvis det lykkes, skal du ændre søgebasen til den primære søgebase, som brugerne ønsker, det vil sige rodplaceringen,
         1. Hvis det derefter mislykkes, er den eneste ændring mellem et vellykket log-in og mislykket en ændring af søgebasen, se vidensartiklen ECS: Midlertidig loginfejl for domænebrugere på grund af en overskridelse af AD/LDAP-timeoutværdien
         2. Hvis det lykkes, kan domænegrupperne nu testes.
   2. Hvis en bruger kan logge ind, kan en brugergruppe også bruges.
      1. Sørg for, at gruppen og brugerne af den påkrævede gruppe er inden for søgebasens omfang.
      2. Bedst at teste en testbruger som ovenfor for at bestemme, at forbindelsen fungerer.
      3. Fjern testbrugeren af gruppen fra ECS-administrationslisten, og føj i stedet den testgruppe, som brugeren tilhører, til ECS-administrationsbrugerlisten. Det er ligesom ovenstående trin, vi forsøger at minimere mulig fejlfinding. Den eneste forskel er, at ECS nu er opmærksom på gruppen og ikke den direkte bruger.
      4. Vær opmærksom på vidensartiklen (Log på Dell Support-konto kræves for at få adgang til artiklen). Det vil sige, hvis du vil bruge grupper, skal du være opmærksom på denne vidensartikel.
4. Med en administrationsbruger eller -gruppe, der kan logge på, er det nyttigt at vide, da det er lettere at foretage fejlfinding af brugeropsætning af domæneadministration end opsætning af domæneobjektbrugere, så det er godt at teste.
   1.  Hvis en bruger derefter ønsker at bruge domæneobjekt og kan bevise over for sig selv, at de samme domænebrugere fungerer som brugergrænsefladeadministrationsbruger, er det nyttigt at vide, som om en bruger kan arbejde som en brugergrænsefladeadministrationsbruger, skal de arbejde som en objektbruger.
5. For LDAP-certifikater (LDAP over SSL eller TLS) henvises til administratorvejledningen og vidensartiklen ECS: Sådan opsættes og accepteres alle certifikater via LDAPS på ECS
   1. Det anbefales at bekræfte, at LDAP-forbindelserne fungerer, og brugere kan logge ind på LDAP, før de ser på opsætning af LDAPS.
   2. Bemærk, at en gyldig og komplet certifikatkæde kan være påkrævet.
   3. Hvis du bruger LDAPS, skal serverens URL-adresser i godkendelsesudbyderen være i FQDN-format i stedet for IP-adressen, så de stemmer overens med LDAPS-certifikaterne, der viser LDAP-servernes FQDN i stedet for IP-adressen.   
       

Formålet med de trin, der er angivet, er at diskontere mulige problemer ved at forenkle problemerne ned i trin til kontrol.

Afsnit 1: Godkendelsesudbyder
Se ECS-administratorvejledningen for alle trin.

Du kan føje godkendelsesudbydere til ECS, hvis du ønsker, at brugere skal godkendes af systemer uden for ECS.

En godkendelsesudbyder er et system, der er eksternt i forhold til ECS, og som kan godkende brugere på vegne af ECS.

ECS gemmer de oplysninger, der gør det muligt at oprette forbindelse til godkendelsesudbyderen, så ECS kan anmode om godkendelse af en bruger.

I ECS findes følgende typer godkendelsesudbydere:

• Active Directory-godkendelse (AD) eller LDAP-godkendelse (Lightweight Directory Access Protocol): Bruges til at godkende domænebrugere, der er tildelt administrationsroller i ECS.
• Slutsten: Bruges til at godkende OpenStack Swift-objektbrugere.

1. Opret den bruger eller gruppe i AD, der indeholder de specifikke brugere, der skal logge på ECS:

1. Navigering: Lede >Godkendelse

2.  Indtast feltet Navn og beskrivelse, og vælg den korrekte servertype:

 
Bemærk: Der kan opstå en fejlmeddelelse, hvis man forsøger at gemme en forkert type.

3. Indtast i de domæner, der skal bruges.

4. AD- eller LDAP-server-URL:

ldap://<Domain controller IP>:<port> Or ldaps://<Domain controller IP>:<port>

5. Ændring eller opdatering af Manager DN.

 
F.eks.: Manager DN: CN=Administrator,CN=Brugere,DC=nas2008test,DC=com
Skal være den korrekte placering af Manager DN-brugeren på AD- eller LDAP-serveren.

Lederen DN:
Dette er den Active Directory Bind-brugerkonto, som ECS bruger til at oprette forbindelse til Active Directory- eller LDAP-serveren. Denne konto bruges til at søge i Active Directory, når en ECS-administrator angiver en bruger til rolletildeling.

Denne brugerkonto skal have "Læs alle inetOrgPerson-oplysninger" i Active Directory. InetOrgPerson-objektklassen bruges i flere bibliotekstjenester, der ikke er fra Microsoft, LDAP og X.500, til at repræsentere personer i en organisation.

6. Valgmuligheder for udbydere

7. Indstilling af gruppeattributter:

8. Opdatering eller ændring af hvidlistningen af grupper

9. Opdatering eller ændring af søgeområdet

10. Opdatering eller ændring af søgebasen.

11. Søgefilter

1. Bekræft det korrekte søgefilter, som brugerne skal bruge:

dn:CN=user1,CN=Users,DC=marketing,DC=example,DC=com
userPrincipalName: user1@marketing.example.com
memberOf: CN=marketing,CN=Users,DC=example,DC=com

dn: uid=ldapuser1,ou=People,dc=example,dc=com
uid: ldapuser1
cn: ldapuser1
sn: ldapuser1

12. Opsætning af skov med flere domæner.

En multidomæneskov er, hvor der er domæner, der er forbundet med hinanden, f.eks. et overordnet og underordnet domæne.

Overordnet eksempel: dell.com Eksempel på
underordnede domæner: amer.dell.com, emea.dell.com apac.dell.com

1) En gruppe kan være i et af domænerne, og nogle af dens brugere kan være i andre domæner.
2) Normalt er domænerne ikke synlige for hinanden, men det overordnede domæne kan se alle de underordnede domæner, og brug derfor det overordnede domæne som det primære domæne for godkendelsesudbyderen, når du opretter en skovforbindelse med flere domæner. 

Trin, der er forskellige:
A) Navngiv domænet efter det overordnede domæne.
B) Angiv alle domæner af interesse i godkendelsesudbyderens domæneboks.
C) Hvis godkendelsesudbyderen understøtter en multidomæneskov, skal du bruge den globale katalogservers IP og altid angive portnummeret. Standardporte: LDAP: 3268, LDAPS: 3269
D) Indstil søgebasen til roden af det overordnede domæne.
E) Bemærk, at navnet på godkendelsesudbyderen vil være den primære identifikator for domænebrugerens brug. Det er i dette eksempel at tilføje brugere eller grupper som f.eks.: group1@dell.com, ikke et underdomæne som group1@amer.dell.com
Se afsnittet Administration og objekt, som brugere konfigurerer.

 
 

Afsnit 2: Administration og objekt, som brugerne konfigurerer 

1. Tilføj gruppen som administrationsbruger, og vælg de rigtige roller:

2. Test login med den anden bruger i gruppen.

Afsnit 3: AD- eller LDAP-brugere som objektbrugere indstiller
Oprettelse af en administrationsbruger er nyttig til at teste forbindelsen til AD eller LDAP og skal udføres, før du opretter en objektbruger.

Se administrationsvejledningen OG dataadgangsvejledningen.

1. Føj domænebrugere til et navneområde til objektbrugerbrug:

Du skal tilføje (tildele) domænebrugere i et navneområde, hvis du ønsker, at disse brugere skal udføre ECS-objektbrugerhandlinger. For at få adgang til ECS-objektlageret skal objektbrugere og navneområdeadministratorer være tildelt et navneområde. Du kan føje et helt domæne af brugere til et navneområde, eller du kan føje et undersæt af domænebrugerne til et navneområde ved at angive en bestemt gruppe eller attribut, der er knyttet til domænet.

Et domæne kan give brugere flere navneområder. Du kan f.eks. beslutte at føje brugere som regnskabsafdelingen i domænet "yourco.com" til navneområde1 og brugere som økonomiafdelingen i domænet "yourco.com" til navneområde2. I dette tilfælde giver domænet "yourco.com" brugerne to navneområder.

Et helt domæne, et bestemt sæt brugere eller en bestemt bruger kan ikke føjes til mere end ét navneområde. Domænet "yourco.com" kan f.eks. føjes til navneområde1, men domænet kan ikke også føjes til navneområde2.

Følgende eksempel viser, at en system- eller navneområdeadministrator har føjet et undersæt af brugere i domænet "yourco.com" til et navneområde. de brugere, der har attributten afdeling = konti i Active Directory. System- eller navneområdeadministratoren har føjet brugerne i regnskabsafdelingen fra dette domæne til et navneområde ved hjælp af Rediger navneområde i ECS-portalen.

Figur 1. Tilføjelse af et undersæt af domænebrugere i et navneområde ved hjælp af én AD-attribut
Domæneobjektbrugere, der er valgt under valget "domæne", vil kun være ikke-administratorobjektbrugere med adgangsrettigheder til deres egne oprettede buckets.

 
Attributter er en delmængdeindstilling, der kan fjernes ved at klikke på "X".
Undergruppen Attributter skal matche attributterne for domænebrugere på AD-serveren.

Følgende eksempel viser et andet eksempel, hvor system- eller navneområdeadministratoren bruger mere kornethed til at føje brugere til et navneområde. I dette tilfælde har system- eller navneområdeadministratoren tilføjet medlemmerne i domænet "yourco.com", der tilhører gruppen Lageradministratorer med attributten afdeling = Konti OG områdeattributten = Stillehavet, ELLER tilhører gruppen Lageradministratorer med attributten Afdeling = Finans.

Figur 2. Tilføjelse af et undersæt af domænebrugere i et navneområde ved hjælp af flere AD-attributter

2. Domænebruger skal oprette en hemmelig nøgle i henhold til ECS-vejledningen til dataadgang

user@device:~$ curl -ik -u TestUser@TestDomain.com https://10.xxx.xxx.xxx:4443/login
Enter host password for user 'TestUser@TestDomain.com':
HTTP/1.1 200 OK
Date: Thu, 09 Apr 2020 14:30:04 GMT
Content-Type: application/xml
Content-Length: 106
Connection: keep-alive
X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=
X-SDS-AUTH-USERNAME: TestUser@TestDomain.com
X-SDS-AUTH-MAX-AGE: 28800

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><loggedIn><user>TestUser@TestDomain.com</user></loggedIn>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_keys>
  <secret_key_1/>
  <secret_key_1_exist>false</secret_key_1_exist>
  <secret_key_2/>
  <secret_key_2_exist>false</secret_key_2_exist>
  <key_timestamp_1/>
  <key_timestamp_2/>
</user_secret_keys>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" -H "Content-Type:application/json" -X POST -d "{}" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_key>
  <link rel="self" href="/object/user-secret-keys/TestUser@TestDomain.com"/>
  <secret_key>6C7fW_Secret_Key_COl38yzAHIRorJ3oiK</secret_key>
  <key_expiry_timestamp/>
  <key_timestamp>2020-04-09 14:44:27.431</key_timestamp>
</user_secret_key>

Brugerloginfejl:

"Access is denied due to invalid or expired credentials."

 
 

Eksempel fra 3.4 ECS-brugergrænseflade:

 
    

1. Bruger eller adgangskode er forkert.
2. Brugeren blev ikke fundet, og brugeren blev ikke fundet, kan skyldes en forkert søgebase i godkendelsesudbyderen for den pågældende bruger.
3. Det kan tage et par minutter, før ændringer af en ECS-godkendelsesudbyder træder i kraft, og den rettede godkendelsesudbyder opdaterer stadig forbindelsen til AD eller LDAP.
4. Bruger AD-parameteren "Brugeren skal ændre adgangskode ved næste login" er aktiv for den pågældende bruger. Bemærk, ECS kan ikke ændre domænebrugernes adgangskode på AD- eller LDAP-serveren, og dette medfører derfor en fejl, da AD- eller LDAP-serveren forsøger at håndhæve parameteren. Du kan enten ændre adgangskoden i et andet program eller fjerne markeringen i afkrydsningsfeltet for parameteren. Det anbefales også at være på 3.6.2.0 eller derover for dette problem, da ECS derefter vil bede brugerne om AD-serveranmodningen om at "User must change password at next login."
5. Brugeren af typen sAMAccountName mangler den korrekte domæneværdi, der er username@domain.
6. Du har muligvis indstillet søgebasen til:

"Error 1008 (http:400): invalid parameter"

 
"Connection to the LDAP server succeeded, but the Manager DN CN=Users,DC=CAS,DC=EMC,DC=com or its password failed to authenticate"
 

1. Er indstillet til den nøjagtige korrekte brugerplacering, CN=Administrator,CN=Brugere,DC=CAS,DC=EMC,DC=com ikke CN=Brugere,DC=CAS,DC=EMC,DC=com 
2. Adgangskoden er korrekt.
3. Brugeren skal have den nødvendige autorisation til at være Manager DN-bruger.  

command type REQUEST_AUTHPROVIDER_CREATE failed with error code ERROR_RG_NOT_FOUND and message 'replication group urn:storageos:ReplicationGroupInfo:00000000-0000-0000-0000-000000000000:global not found'

Hvis en bruger har ændret LDAP-serveren, mens FQDN på den nye LDAP-server svarer til FQDN på den gamle LDAP-server.

Det aktuelle LDAP SSL-certifikat kan pege på den gamle LDAP-server, derfor skal LDAP SSL-certifikatet erstattes med et opdateret LDAP SSL-certifikat.

Mulig fejlmeddelelse:

 

Kontrollér, at certifikatet er udstedt, og sørg for, at FQDN svarer nøjagtigt til den URL-adresse, der bruges i ECS-brugergrænsefladen. Alternativt kan du gennemse emnerne for alternative navne nøjagtigt fra certifikatet:

Kommando:

sudo openssl s_client -connect :636 < /dev/null | openssl x509 -noout -text | grep DNS:

Eksempel:

node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636 < /dev/null| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS1.LOCAL


node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS.LOCAL

 
Gennemgå dit LDAPS-certifikat på ECS-matches, hvis ikke, kan det være, at der kræves et nyt, korrekt certifikat til ECS. 

En bruger kan overveje at åbne en SR med ECS-support for at få hjælp, hvis det er tilfældet.

---

 

1. Er feltet Godkendelsesudbyder blevet korrekt udfyldt af brugeren?
2. Er administrationsbrugeren blevet oprettet?
3. Er testbrugeren og adgangskoden indtastet korrekt ved ECS-login?
4. Kan de logge ind med en anden bruger fra et domæne?
5. Er det første gang, AD eller LDAP konfigureres på ECS?
6. Hvis der ikke er oprettet en ny AD eller LDAP på ECS, har de så nogensinde været i stand til at logge ind med disse legitimationsoplysninger? I bekræftende fald oplyses det, om der er sket ændringer, som kan påvirke tilladelsen?