ECS: Jak nastavit připojení k serveru AD nebo LDAP v uživatelském rozhraní

Potvrďte PŘESNÉ informace AD nebo LDAP, které chcete použít.

Může se stát, že hodnoty zadané do systému ECS (viz níže) neodpovídají podrobnostem na serveru AD nebo LDAP, což může při pokusech o přihlášení uživatele domény vygenerovat chybový výstup neplatných přihlašovacích údajů.

Zobrazte a zkontrolujte hodnoty na serveru AD nebo LDAP.

Přečtěte si část Pokyny pro správce systému ECS v kapitole Poskytovatelé ověřování a "Přidání poskytovatele ověřování AD nebo LDAP".

Oddíl 1)
Je nutné mít správně nastaveného poskytovatele ověřování.
Zprostředkovatel ověřování je místo, kde je definováno připojení ECS k serveru AD nebo LDAP.

Oddíl 2 a 3)
Systém ECS lze nastavit tak, aby k přihlášení do uživatelského rozhraní systému ECS používali uživatele služby AD nebo LDAP jako uživatele objektu nebo jako uživatele pro správu.

Při nastavování nebo odstraňování problémů začněte minimalizací složitosti možných problémů a pokračujte v několika krocích.

1. Přejděte k poskytovateli ověřování v uživatelském > rozhraní ECS a nastavte poskytovatele ověřování na jeden server AD nebo LDAP s jednou adresou URL serveru. Je to proto, aby se minimalizovala složitost.
   1. Pokud je to možné, zkuste v poli URL serveru použít pro testování místo LDAPS protokol LDAPS. Jako když nefunguje protokol LDAP, nefunguje ani protokol LDAPS. 
   2. Mít správný manažer DN.
   3. Nastavte základ hledání v přesné složce uživatelů, nikoli ve velké základně hledání, aby se snížila hodnota časového limitu protokolu LDAP, která je překročena.
   4. Jako vyhledávací filtr vyberte správný typ. Atributy uživatelů na serveru AD nebo LDAP by ukazovaly, které se mají použít. Viz níže. Možné možnosti vyhledávacího filtru: sAMAccountName=%U, userPrincipalName=%u, uid=%U
   5. Všimněte si, že častou otázkou je, jaký typ zprostředkovatele ověřování použít. AD, Keystone nebo LDAP? Doporučujeme použít typ AD, pokud se jedná o server Windows Active Directory. Pokud je server linuxový openLDAP, použijte typ LDAP. Pokud je server lichoběžníkového zkreslení, použijte lichoběžníkové zkreslení. 
2. Přidejte testovacího uživatele jako uživatele správy domény a otestujte přihlášení.
   1. Přidání testovacího uživatele do rozhraní>> ECS, přidáníuživatele> pro správu
   2. Správný formát by byl username@domainname, systém ECS používá symbol @ k rozpoznání, že má vyhledat uživatele domény, jak je definováno ve zprostředkovateli ověřování.
   3. Chcete-li definovat jejich práva v systému ECS, musíte přidat uživatele do seznamu uživatelů, tj. oprávnění správce nebo sledovat uživatele.
3. Otestujte přihlášení uživatele.
   1. Pokud přihlášení uživatele domény není úspěšné, zkontrolujte a odstraňte problémy.  
      1. Pokud je to úspěšné, změňte vyhledávací základnu na hlavní vyhledávací základnu, kterou uživatelé požadují, tj. kořenové umístění,
         1. Pokud se to nezdaří, jedinou změnou mezi úspěšným a neúspěšným přihlášením je změna báze vyhledávání. Viz článek znalostní databáze ECS: Občasné chyby přihlášení uživatelů domény kvůli překročení hodnoty časového limitu AD/LDAP
         2. V případě úspěchu lze nyní otestovat doménové skupiny.
   2. Pokud se uživatel může přihlásit, může být použita i skupina uživatelů.
      1. Ujistěte se, že skupina a uživatelé požadované skupiny jsou v oboru báze hledání.
      2. Nejlepší je otestovat testovacího uživatele, jak je uvedeno výše, abyste zjistili, zda připojení funguje.
      3. Odeberte testovacího uživatele skupiny ze seznamu pro správu systému ECS a místo toho přidejte testovací skupinu, do které uživatel patří, do seznamu uživatelů pro správu systému ECS. Stejně jako výše uvedené kroky se snažíme minimalizovat možné řešení problémů. Jediný rozdíl je v tom, že nyní systém ECS zná skupinu, nikoli přímého uživatele.
      4. Přečtěte si článek znalostní databáze (pro přístup k článku je vyžadováno přihlášení k účtu podpory Dell). To znamená, že pokud chcete používat skupiny, musíte znát tento článek znalostní databáze.
4. Pokud se uživatel nebo skupina pro správu může přihlásit, je užitečné to vědět, protože je snazší řešit problémy s nastavením uživatele správy domény než s nastavením uživatele objektu domény, takže je dobré to otestovat.
   1.  Pokud pak uživatel chce použít objekt domény a může si dokázat, že stejní uživatelé domény fungují jako uživatel správy uživatelského rozhraní, pak je užitečné vědět, že pokud uživatel může pracovat jako uživatel správy uživatelského rozhraní, měl by pracovat jako uživatel objektu.
5. Informace o certifikátech LDAP (LDAP přes SSL nebo TLS) naleznete v příručce pro správce a článku znalostní databáze ECS: Nastavení a přijetí všech certifikátů pomocí protokolu LDAPS v systému ECS
   1. Před nastavením LDAPS doporučujeme ověřit, zda připojení LDAP fungují a uživatelé se mohou přihlásit pomocí LDAP.
   2. Upozorňujeme, že může být vyžadován platný a úplný řetězec certifikátů.
   3. Pokud používáte protokol LDAPS, musí být adresy URL serveru ve zprostředkovateli ověřování ve formátu plně kvalifikovaného názvu domény, nikoli IP adresy, aby odpovídaly certifikátům LDAPS, které by místo IP adresy uváděly plně kvalifikovaný název domény serverů LDAP.   
       

Účelem kroků, které jsou zde uvedeny, je vyloučit možné problémy zjednodušením problémů na kroky, které je třeba zkontrolovat.

Oddíl 1: Zprostředkovatel
ověřováníVšechny kroky naleznete v příručce pro správce ECS.

Chcete-li, aby byli uživatelé ověřováni systémy mimo systém ECS, můžete do systému ECS přidat poskytovatele ověřování.

Zprostředkovatel ověřování je externí systém systému ECS, který může ověřovat uživatele jménem systému ECS.

Systém ECS uchovává informace, které mu umožňují připojit se k poskytovateli ověřování, aby mohl požádat o ověření uživatele.

V systému ECS jsou k dispozici následující typy poskytovatelů ověřování:

• Ověřování pomocí služby Active Directory (AD) nebo ověřování protokolem LDAP (Lightweight Directory Access Protocol): Slouží k ověření uživatelů domény, kteří jsou přiřazeni k rolím správy v systému ECS.
• Podstata: Používá se k ověření uživatelů objektu OpenStack Swift.

1. Vytvořte ve službě AD uživatele nebo skupinu obsahující konkrétní uživatele, kteří se musí přihlásit k systému ECS:

1. Navigace: Spravovat >Autentizace

2.  Zadejte pole Název a popis a vyberte správný typ serveru:

 
Poznámka: Pokud se pokusíte uložit nesprávný typ, může se zobrazit chybová zpráva.

3. Zadejte domény, které chcete použít.

4. Adresa URL serveru AD nebo LDAP:

ldap://<Domain controller IP>:<port> Or ldaps://<Domain controller IP>:<port>

5. Změna nebo aktualizace názvu správce DN

 
Například: DN manažera: CN=Administrator,CN=Users,DC=nas2008test,DC=com
Musí se jednat o správné umístění uživatele Manager DN na serveru AD nebo LDAP.

Manažer DN:
Jedná se o uživatelský účet vazby služby Active Directory, který systém ECS používá pro připojení k serveru Active Directory nebo LDAP. Tento účet se používá k prohledávání služby Active Directory, pokud správce systému ECS určí uživatele pro přiřazení role.

Tento uživatelský účet musí mít ve službě Active Directory možnost "Read all inetOrgPerson information". Třída objektu InetOrgPerson se používá v několika adresářových službách jiných společností než Microsoft, LDAP a X.500 k reprezentaci lidí v organizaci.

6. Možnost Poskytovatelé

7. Nastavení atributů skupiny:

8. Aktualizace nebo změna seznamu povolených skupin

9. Aktualizace nebo změna oboru vyhledávání

10. Aktualizace nebo změna vyhledávací základny.

11. Filtr vyhledávání

1. Potvrďte správný vyhledávací filtr, který mají uživatelé používat:

dn:CN=user1,CN=Users,DC=marketing,DC=example,DC=com
userPrincipalName: user1@marketing.example.com
memberOf: CN=marketing,CN=Users,DC=example,DC=com

dn: uid=ldapuser1,ou=People,dc=example,dc=com
uid: ldapuser1
cn: ldapuser1
sn: ldapuser1

12. Nastavení vícedoménové doménové struktury.

Doménová struktura s více doménami je doména, kde existují domény, které jsou vzájemně propojeny, například nadřazená a podřízená doména.

Nadřazený příklad: dell.com
Podřízené domény Příklad: amer.dell.com, emea.dell.com, apac.dell.com

1) Skupina může být v jedné z domén a někteří její uživatelé mohou být v jiných doménách.
2) Za normálních okolností nejsou domény navzájem viditelné, ale nadřazená doména vidí všechny podřízené domény, proto při nastavování připojení k doménové struktuře s více doménami použijte nadřazenou doménu jako primární doménu pro zprostředkovatele ověřování. 

Kroky, které se liší:
A) Pojmenujte doménu po nadřazené doméně.
B) Vypište všechny domény, které vás zajímají, v poli domény zprostředkovatele ověřování.
C) Pokud zprostředkovatel ověřování podporuje doménovou strukturu s více doménami, použijte IP adresu serveru globálního katalogu a vždy zadejte číslo portu. Výchozí porty: LDAP: 3268, LDAPS: 3269
D) Nastavte vyhledávací základnu na kořen nadřazené domény.
E) Všimněte si, že název zprostředkovatele ověřování by byl primárním identifikátorem pro použití uživatelem domény. To znamená, že v tomto příkladu přidejte uživatele nebo skupiny jako například: group1@dell.com, ne subdoménu jako group1@amer.dell.com
Viz sekce Správa a objekt Nastavení uživatelů.

 
 

Část 2: Nastavení uživatelů správy a objektů 

1. Přidejte skupinu jako uživatele pro správu a zvolte správné role:

2. Otestujte přihlášení s druhým uživatelem ve skupině.

Část 3: Uživatelé služby AD nebo LDAP jako uživatelé objektu nastaveni
Vytvoření uživatele pro správu je užitečné k otestování připojení ke službě AD nebo LDAP a mělo by být provedeno před vytvořením uživatele objektu.

Přečtěte si příručku pro správce A příručku pro přístup k datům.

1. Přidání uživatelů domény do oboru názvů pro použití uživatelem objektu:

Chcete-li, aby tito uživatelé prováděli uživatelské operace s objekty ECS, je nutné přidat (přiřadit) uživatele domény do jmenného prostoru. Pro přístup k úložišti objektů ECS musí být uživatelé objektů a správci jmenného prostoru přiřazeni k jmennému prostoru. Do oboru názvů můžete přidat celou doménu uživatelů nebo můžete do oboru názvů přidat podmnožinu uživatelů domény zadáním konkrétní skupiny nebo atributu, který je přidružen k doméně.

Doména může poskytovat uživatele pro více oborů názvů. Můžete se například rozhodnout přidat uživatele, jako je obchodní oddělení v doméně "yourco.com", do oboru názvů1 a uživatele, jako je finanční oddělení, v doméně "yourco.com" do oboru názvů2. V tomto případě doména "yourco.com" poskytuje uživatele pro dva obory názvů.

Celou doménu, konkrétní sadu uživatelů nebo konkrétního uživatele nelze přidat do více než jednoho oboru názvů. Například doménu "yourco.com" lze přidat do oboru namespace1, ale doménu nelze přidat také do namespace2.

Následující příklad ukazuje, že správce systému nebo oboru názvů přidal do oboru názvů podmnožinu uživatelů v doméně "yourco.com"; uživatelé, kteří mají svůj atribut Department = Účty ve službě Active Directory. Správce systému nebo jmenného prostoru přidal uživatele z oddělení účtů z této domény do jmenného prostoru pomocí jmenného prostoru Edit na portálu ECS.

Obrázek 1. Přidání podmnožiny uživatelů domény do oboru názvů pomocí jednoho atributu
AD: Uživatelé objektu domény vybraní ve výběru "doména" by byli uživatelé objektu mimo správce s přístupovými právy pouze k vlastním vytvořeným segmentům.

 
Atributy představují podmnožinu, kterou lze odebrat kliknutím na "X".
Podmnožina atributů se musí shodovat s atributy uživatelů domény na serveru AD.

Následující příklad ukazuje jiný příklad, kdy správce systému nebo oboru názvů používá větší členitost při přidávání uživatelů do oboru názvů. V tomto případě správce systému nebo oboru názvů přidal členy v doméně "yourco.com", kteří patří do skupiny Storage Admins s atributem Department = Accounts AND Region = Pacific, NEBO patří do skupiny Storage Admins s atributem Department = Finance.

Obrázek 2. Přidání podmnožiny uživatelů domény do oboru názvů pomocí více atributů AD

2. Uživatel domény vytvoří tajný klíč podle příručky k přístupu k datům v systému ECS.

user@device:~$ curl -ik -u TestUser@TestDomain.com https://10.xxx.xxx.xxx:4443/login
Enter host password for user 'TestUser@TestDomain.com':
HTTP/1.1 200 OK
Date: Thu, 09 Apr 2020 14:30:04 GMT
Content-Type: application/xml
Content-Length: 106
Connection: keep-alive
X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=
X-SDS-AUTH-USERNAME: TestUser@TestDomain.com
X-SDS-AUTH-MAX-AGE: 28800

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><loggedIn><user>TestUser@TestDomain.com</user></loggedIn>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_keys>
  <secret_key_1/>
  <secret_key_1_exist>false</secret_key_1_exist>
  <secret_key_2/>
  <secret_key_2_exist>false</secret_key_2_exist>
  <key_timestamp_1/>
  <key_timestamp_2/>
</user_secret_keys>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" -H "Content-Type:application/json" -X POST -d "{}" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_key>
  <link rel="self" href="/object/user-secret-keys/TestUser@TestDomain.com"/>
  <secret_key>6C7fW_Secret_Key_COl38yzAHIRorJ3oiK</secret_key>
  <key_expiry_timestamp/>
  <key_timestamp>2020-04-09 14:44:27.431</key_timestamp>
</user_secret_key>

Chyba přihlášení uživatele:

"Access is denied due to invalid or expired credentials."

 
 

Příklad z uživatelského rozhraní ECS verze 3.4:

 
    

1. Uživatel nebo heslo je nesprávné.
2. Uživatel nenalezen a uživatel nenalezen může být způsoben nesprávnou vyhledávací bází ve zprostředkovateli ověřování pro tohoto uživatele.
3. Může trvat několik minut, než se změny zprostředkovatele ověření systému ECS projeví, a opravený zprostředkovatel ověřování stále aktualizuje připojení ke službě AD nebo LDAP.
4. Uživatelský parametr AD "Uživatel musí při příštím přihlášení změnit heslo" je pro tohoto uživatele aktivní. Upozorňujeme, že systém ECS nemůže změnit heslo uživatele domény na serveru AD nebo LDAP, a proto dochází k chybě, protože server AD nebo LDAP se pokouší tento parametr vynutit. Buď změňte heslo v jiné aplikaci, nebo zrušte zaškrtnutí políčka parametru. Pro tento problém se také doporučuje použít verzi 3.6.2.0 nebo vyšší, protože systém ECS pak vyzve uživatele k požadavku serveru AD na "User must change password at next login."
5. Uživateli typu sAMAccountName chybí správná hodnota domény, která je username@domain.
6. Možná jste nastavili vyhledávací základnu na:

"Error 1008 (http:400): invalid parameter"

 
"Connection to the LDAP server succeeded, but the Manager DN CN=Users,DC=CAS,DC=EMC,DC=com or its password failed to authenticate"
 

1. Je nastaveno na přesné správné umístění uživatele. CN=Administrator,CN=Users,DC=CAS,DC=EMC,DC=com not CN=Users,DC=CAS,DC=EMC,DC=com 
2. Heslo je správné.
3. Uživatel má požadované oprávnění být uživatelem DN správce.  

command type REQUEST_AUTHPROVIDER_CREATE failed with error code ERROR_RG_NOT_FOUND and message 'replication group urn:storageos:ReplicationGroupInfo:00000000-0000-0000-0000-000000000000:global not found'

Pokud uživatel změnil server LDAP, zatímco plně kvalifikovaný název domény nového serveru LDAP odpovídá plně kvalifikovanému názvu domény starého serveru LDAP.

Aktuální certifikát LDAP SSL může odkazovat na starý server LDAP, proto musí být certifikát LDAP SSL nahrazen aktualizovaným certifikátem LDAP SSL.

Možná chybová zpráva:

 

Zkontrolujte, zda byl vydán certifikát, a ujistěte se, že název FQDN přesně odpovídá adrese URL použité v uživatelském rozhraní ECS. Případně zkontrolujte shodu alternativních názvů předmětu přesně z certificate:

Command:

sudo openssl s_client -connect :636 < /dev/null | openssl x509 -noout -text | grep DNS:

Příklad:

node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636 < /dev/null| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS1.LOCAL


node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS.LOCAL

 
Zkontrolujte svůj certifikát LDAPS na odpovídajících certifikátech ECS. Pokud ne, může být pro systém ECS vyžadován nový správný certifikát. 

V takovém případě může uživatel zvážit otevření servisního požadavku s podporou ECS.

---

 

1. Je pole Zprostředkovatel ověřování správně vyplněno uživatelem?
2. Byl vytvořen uživatel pro správu?
3. Jsou testovací uživatel a heslo správně zadány při přihlášení do systému ECS?
4. Mohou se přihlásit pomocí jiného uživatele z domény?
5. Je to první nastavení AD nebo LDAP v systému ECS?
6. Pokud nebyla v systému ECS nastavena nová služba AD nebo LDAP, mohli se někdy pomocí těchto přihlašovacích údajů přihlásit? Pokud ano, zjistěte, zda došlo k nějakým změnám, které by ovlivnily autorizaci?