ECS: So richten Sie eine AD- oder LDAP-Serververbindung über die Benutzeroberfläche ein

Bestätigen Sie die GENAUEN AD- oder LDAP-Informationen, die verwendet werden sollen.

Es kann vorkommen, dass die in ECS eingegebenen Werte (siehe unten) nicht mit den Details auf dem AD- oder LDAP-Server übereinstimmen, was zu einer Fehlerausgabe mit ungültigen Zugangsdaten für die Anmeldeversuche des Domainnutzers führen kann.

Zeigen Sie die Werte im AD- oder LDAP-Server an und überprüfen Sie sie.

Lesen Sie den Abschnitt ECS-Administratorhandbuch im Kapitel "Authentifizierungsanbieter" und "Hinzufügen eines AD- oder LDAP-Authentifizierungsanbieters".

Abschnitt 1)
Es ist zwingend erforderlich , dass der Authentifizierungsanbieterkorrekt eingerichtet ist.
Der Authentifizierungsanbieter ist der Ort, an dem die ECS-Verbindung zum AD- oder LDAP-Server definiert wird.

Abschnitt 2 und 3)
ECS kann so eingerichtet werden, dass AD- oder LDAP-Nutzer als Objektnutzer oder als Managementnutzer verwendet werden, um sich bei der ECS-Benutzeroberfläche anzumelden.

Beginnen Sie bei der Einrichtung oder beim Troubleshooting damit, die Komplexität der möglichen Probleme zu minimieren, und fahren Sie in mehreren Schritten fort.

1. Navigieren Sie zum Authentifizierungsanbieter der ECS-Benutzeroberfläche > und richten Sie einen Authentifizierungsanbieter für einen AD- oder LDAP-Server mit einer Server-URL ein. Dadurch soll die Komplexität minimiert werden.
   1. Versuchen Sie im Feld Server-URL, wenn möglich, LDAP anstelle von LDAPS für Tests zu verwenden. So wie LDAP nicht funktioniert, funktioniert LDAPS auch nicht. 
   2. Sie müssen über einen korrekten Manager-DN verfügen.
   3. Legen Sie die Suchbasis in einem genauen Nutzerordner fest, nicht in einer großen Suchbasis, um eine Überschreitung des LDAP-Timeout-Werts zu vermeiden.
   4. Wählen Sie als Suchfilter den richtigen Typ aus. Die Nutzerattribute auf dem AD- oder LDAP-Server zeigen an, welcher verwendet werden soll. Siehe unten. Mögliche Suchfilteroptionen: sAMAccountName=%U, userPrincipalName=%u, uid=%U
   5. Beachten Sie, dass eine häufige Frage ist, welcher Authentifizierungsanbietertyp verwendet werden soll. AD, Keystone oder LDAP? Wenn es sich bei dem Server um ein Windows Active Directory handelt, wird empfohlen, den AD-Typ zu verwenden. Wenn es sich bei dem Server um einen Linux-OpenLDAP-Server handelt, verwenden Sie den LDAP-Typ. Wenn der Server ein Keystone ist, verwenden Sie Keystone. 
2. Fügen Sie den Testnutzer als Domänenmanagementnutzer hinzu und testen Sie die Anmeldung.
   1. Hinzufügen des Testnutzers auf der ECS-Benutzeroberfläche>users >management user>add
   2. Das korrekte Format wäre username@domainname. ECS verwendet das @-Symbol als, um zu erkennen, dass nach einem Domainnutzer gesucht werden soll, wie im Authentifizierungsanbieter definiert.
   3. Sie müssen Nutzer zur Nutzerliste hinzufügen, um ihre Rechte in ECS zu definieren, d. h. Administrator- oder Monitor-Nutzerrechte.
3. Testen Sie die Nutzeranmeldung.
   1. Wenn sich der Domänennutzer nicht erfolgreich anmeldet, untersuchen und beheben Sie das Problem  
      1. Wenn erfolgreich, ändern Sie die Suchbasis in die vom Benutzer gewünschte Hauptsuchbasis, d. h. den Stammspeicherort.
         1. Wenn dies dann fehlschlägt, ist die einzige Änderung zwischen einer erfolgreichen und einer fehlgeschlagenen Anmeldung eine Änderung der Suchbasis, siehe Wissensdatenbank-Artikel ECS: Zeitweiliger Anmeldefehler von Domänenbenutzern aufgrund einer Überschreitung des AD/LDAP-Timeout-Werts
         2. Wenn erfolgreich, können die Domänengruppen jetzt getestet werden.
   2. Wenn sich ein Benutzer anmelden kann, kann auch eine Benutzergruppe verwendet werden.
      1. Stellen Sie sicher, dass sich die Gruppe und die Nutzer der erforderlichen Gruppe innerhalb des Suchbasisbereichs befinden.
      2. Am besten testen Sie einen Testnutzer wie oben, um festzustellen, ob die Verbindung funktioniert.
      3. Entfernen Sie den Testnutzer der Gruppe aus der ECS-Managementliste und fügen Sie stattdessen die Testgruppe, zu der der Nutzer gehört, zur Liste der ECS-Managementnutzer hinzu. Das entspricht den oben genannten Schritten. Wir versuchen, das mögliche Troubleshooting zu minimieren. Der einzige Unterschied besteht darin, dass ECS jetzt die Gruppe und nicht den direkten Nutzer kennt.
      4. Lesen Sie den Wissensdatenbank-Artikel (Anmeldung bei Dell Supportkonto erforderlich, um auf den Artikel zugreifen zu können). Das heißt, wenn Sie Gruppen verwenden möchten, müssen Sie diesen Wissensdatenbank-Artikel kennen.
4. Wenn sich ein Managementnutzer oder eine Managementgruppe anmelden kann, ist dies hilfreich, da das Troubleshooting bei der Einrichtung von Domänenverwaltungsnutzern einfacher ist als bei der Einrichtung von DomänenobjektnutzerInnen. Daher bietet sich ein Test an.
   1.  Wenn ein Benutzer dann das Domänenobjekt verwenden möchte und sich selbst nachweisen kann, dass dieselben Domänenbenutzer als Benutzeroberflächenverwaltungsbenutzer arbeiten, ist dies hilfreich zu wissen, denn wenn ein Benutzer als Benutzeroberflächenverwaltungsbenutzer arbeiten kann, sollte er als Objektbenutzer arbeiten.
5. Informationen zu LDAP-Zertifikaten (LDAP over SSL oder TLS) finden Sie im Administratorhandbuch und im Wissensdatenbank-Artikel ECS: Anleitung zum Einrichten und Akzeptieren aller Zertifikate über LDAPS auf ECS
   1. Es ist ratsam, sich zu vergewissern, dass die LDAP-Verbindungen funktionieren und sich Nutzer bei LDAP anmelden können, bevor Sie LDAPS einrichten.
   2. Beachten Sie, dass möglicherweise eine gültige und vollständige Zertifikatkette erforderlich ist.
   3. Bei Verwendung von LDAPS müssen die Server-URLs im Authentifizierungsanbieter im FQDN-Format und nicht die IP-Adresse angegeben werden, damit die LDAPS-Zertifikate übereinstimmen, die den FQDN des LDAP-Servers anstelle der IP-Adresse auflisten würden.   
       

Der Zweck der aufgeführten Schritte besteht darin, mögliche Probleme zu diskontieren, indem die Probleme in zu prüfende Schritte vereinfacht werden.

Abschnitt 1: Authentifizierungsanbieter
Alle Schritte finden Sie im ECS-Administratorhandbuch.

Sie können ECS Authentifizierungsanbieter hinzufügen, wenn Sie möchten, dass Nutzer von Systemen außerhalb von ECS authentifiziert werden.

Ein Authentifizierungsanbieter ist ein System außerhalb von ECS, das Nutzer im Namen von ECS authentifizieren kann.

ECS speichert die Informationen, die es ihm ermöglichen, eine Verbindung zum Authentifizierungsanbieter herzustellen, sodass ECS die Authentifizierung eines Nutzers anfordern kann.

In ECS stehen die folgenden Authentifizierungsanbieter zur Verfügung:

• Active Directory (AD)-Authentifizierung oder Lightweight Directory Access Protocol (LDAP)-Authentifizierung: Wird zur Authentifizierung von Domainnutzern verwendet, denen Managementrollen in ECS zugewiesen sind.
• Schlussstein: Wird zur Authentifizierung von OpenStack Swift-Objektnutzern verwendet.

1. Erstellen Sie den Nutzer oder die Gruppe in AD, der bzw. die die spezifischen Nutzer enthält, die sich bei ECS anmelden müssen:

1. Navigation: Verwalten >Authentifizierung

2.  Geben Sie das Feld Name und Beschreibung ein und wählen Sie den richtigen Servertyp aus:

 
Hinweis: Eine Fehlermeldung kann auftreten, wenn versucht wird, einen falschen Typ zu speichern.

3. Geben Sie die zu verwendenden Domänen ein.

4. AD- oder LDAP-Server-URL:

ldap://<Domain controller IP>:<port> Or ldaps://<Domain controller IP>:<port>

5. Ändern oder Aktualisieren des Manager-DN.

 
Zum Beispiel: Manager-DN: CN=Administrator,CN=Users,DC=nas2008test,DC=com
Muss der korrekte Speicherort des Manager-DN-Nutzers auf dem AD- oder LDAP-Server sein.

Der Manager-DN:
Dies ist das Active Directory-Bindungsnutzerkonto, das ECS verwendet, um eine Verbindung zum Active Directory- oder LDAP-Server herzustellen. Dieses Konto wird verwendet, um Active Directory zu durchsuchen, wenn ein ECS-Administrator einen Nutzer für die Rollenzuweisung angibt.

Dieses Benutzerkonto muss in Active Directory über die Berechtigung "Alle inetOrgPerson-Informationen lesen" verfügen. Die InetOrgPerson-Objektklasse wird in mehreren Nicht-Microsoft-, LDAP- und X.500-Verzeichnisdiensten verwendet, um Personen in einer Organisation darzustellen.

6. Option "Anbieter"

7. Festlegen von Gruppenattributen:

8. Aktualisieren oder Ändern des Gruppen-Whitelisting

9. Aktualisieren oder Ändern des Suchbereichs

10. Aktualisieren oder Ändern der Suchbasis.

11. Suchfilter

1. Bestätigen Sie den richtigen Suchfilter, den die Nutzer verwenden sollen:

dn:CN=user1,CN=Users,DC=marketing,DC=example,DC=com
userPrincipalName: user1@marketing.example.com
memberOf: CN=marketing,CN=Users,DC=example,DC=com

dn: uid=ldapuser1,ou=People,dc=example,dc=com
uid: ldapuser1
cn: ldapuser1
sn: ldapuser1

12. Einrichtung einer Multidomain-Gesamtstruktur.

Eine Gesamtstruktur mit mehreren Domänen liegt vor, wenn Domänen vorhanden sind, die miteinander verbunden sind, z. B. eine übergeordnete und untergeordnete Domäne.

Übergeordnetes Beispiel: dell.com
Children-Domänen Beispiel: amer.dell.com, emea.dell.com, apac.dell.com

1) Eine Gruppe kann sich in einer der Domänen befinden und einige ihrer Benutzer können sich in anderen Domänen befinden.
2) Normalerweise sind die Domänen nicht füreinander sichtbar, aber die übergeordnete Domäne kann alle untergeordneten Domänen sehen. Verwenden Sie daher beim Einrichten einer Gesamtstrukturverbindung mit mehreren Domänen die übergeordnete Domäne als primäre Domäne für den Authentifizierungsanbieter. 

Abweichende Schritte:
A) Benennen Sie die Domain nach der übergeordneten Domain.
B) Listen Sie alle relevanten Domänen im Feld Domänen des Authentifizierungsanbieters auf.
C) Wenn der Authentifizierungsanbieter eine Gesamtstruktur mit mehreren Domains unterstützt, verwenden Sie die IP-Adresse des globalen Katalogservers und geben Sie immer die Portnummer an. Standardports: LDAP: 3268, LDAPS: 3269
D) Legen Sie die Suchbasis auf das Stammverzeichnis der übergeordneten Domäne fest.
E) Beachten Sie, dass der Name des Authentifizierungsanbieters die primäre Kennung für die Nutzung der Domäne durch den Benutzer ist. Das heißt, fügen Sie in diesem Beispiel Benutzer oder Gruppen hinzu, z. B. group1@dell.com, keine Subdomain wie group1@amer.dell.com
Weitere Informationen finden Sie im Abschnitt Verwaltung und Objektnutzer einrichten.

 
 

Abschnitt 2: Einrichten von Management- und Objektnutzern 

1. Fügen Sie die Gruppe als ManagementnutzerIn hinzu und wählen Sie die richtigen Rollen aus:

2. Testen Sie die Anmeldung mit dem anderen Nutzer in der Gruppe.

Abschnitt 3: AD- oder LDAP-Nutzer als Objektnutzer eingerichtet
Das Erstellen eines Managementnutzers ist hilfreich, um die Verbindung zu AD oder LDAP zu testen, und sollte vor der Erstellung eines Objektnutzers durchgeführt werden.

Weitere Informationen finden Sie im Administratorhandbuch UND im Leitfaden für den Datenzugriff.

1. Hinzufügen von Domainnutzern zu einem Namespace für die Verwendung durch Objektnutzer:

Sie müssen Domainnutzer zu einem Namespace hinzufügen (zuweisen), wenn diese Nutzer ECS-Objektnutzervorgänge durchführen sollen. Um auf den ECS-Objektspeicher zugreifen zu können, müssen Objektnutzer und Namespace-Administratoren einem Namespace zugewiesen werden. Sie können eine ganze Domain von Nutzern zu einem Namespace hinzufügen oder Sie können eine Teilmenge der Domainnutzer zu einem Namespace hinzufügen, indem Sie eine bestimmte Gruppe oder ein bestimmtes Attribut angeben, die bzw. das der Domain zugeordnet ist.

Eine Domain kann Nutzer für mehrere Namespaces bereitstellen. Sie können z. B. Benutzer wie die Buchhaltungsabteilung in der Domäne "yourco.com" zu Namespace1 und Benutzer wie die Finanzabteilung in der Domäne "yourco.com" zu Namespace2 hinzufügen. In diesem Fall stellt die Domain "yourco.com" Nutzer für zwei Namespaces bereit.

Eine ganze Domain, eine bestimmte Gruppe von Nutzern oder ein bestimmter Nutzer kann nur einem Namespace hinzugefügt werden. Beispielsweise kann die Domain "yourco.com" zu Namespace1 hinzugefügt werden, aber die Domain kann nicht auch zu Namespace2 hinzugefügt werden.

Das folgende Beispiel zeigt, dass ein System- oder Namespace-Administrator einem Namespace eine Teilmenge von Nutzern in der Domain "yourco.com" hinzugefügt hat. die Benutzer, die ihr Abteilungsattribut = Konten in Active Directory haben. Der System- oder Namespace-Administrator hat die Nutzer in der Account-Abteilung aus dieser Domain mithilfe des Edit Namespace im ECS-Portal zu einem Namespace hinzugefügt.

Abbildung 1. Hinzufügen einer Teilmenge von Domainnutzern zu einem Namespace mithilfe eines AD-Attributs
Domainobjektnutzer, die unter der Auswahl "Domain" ausgewählt wurden, wären Nicht-Admin-Objektnutzer mit Zugriffsrechten nur für ihre eigenen erstellten Buckets.

 
Attribute sind eine Teilmengenoption, die durch Klicken auf "X" entfernt werden kann.
Die Teilmenge der Attribute muss mit den Attributen der Domänennutzer auf dem AD-Server übereinstimmen.

Das folgende Beispiel zeigt ein anderes Beispiel, bei dem der System- oder Namespace-Administrator beim Hinzufügen von Nutzern zu einem Namespace mehr Granularität verwendet. In diesem Fall hat der System- oder Namespace-Administrator die Mitglieder in der Domain "yourco.com" hinzugefügt, die der Gruppe "Storage Admins" mit dem Attribut "Department" = Accounts AND Region attribute = Pacific ODER der Gruppe "Storage Admins" mit dem Attribut "Department" = "Finance" angehören.

Abbildung 2. Hinzufügen einer Teilmenge von Domainnutzern zu einem Namespace mithilfe mehrerer AD-Attribute

2. Domainnutzer erstellen einen geheimen Schlüssel gemäß ECS-Datenzugriffsleitfaden

user@device:~$ curl -ik -u TestUser@TestDomain.com https://10.xxx.xxx.xxx:4443/login
Enter host password for user 'TestUser@TestDomain.com':
HTTP/1.1 200 OK
Date: Thu, 09 Apr 2020 14:30:04 GMT
Content-Type: application/xml
Content-Length: 106
Connection: keep-alive
X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=
X-SDS-AUTH-USERNAME: TestUser@TestDomain.com
X-SDS-AUTH-MAX-AGE: 28800

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><loggedIn><user>TestUser@TestDomain.com</user></loggedIn>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_keys>
  <secret_key_1/>
  <secret_key_1_exist>false</secret_key_1_exist>
  <secret_key_2/>
  <secret_key_2_exist>false</secret_key_2_exist>
  <key_timestamp_1/>
  <key_timestamp_2/>
</user_secret_keys>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" -H "Content-Type:application/json" -X POST -d "{}" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_key>
  <link rel="self" href="/object/user-secret-keys/TestUser@TestDomain.com"/>
  <secret_key>6C7fW_Secret_Key_COl38yzAHIRorJ3oiK</secret_key>
  <key_expiry_timestamp/>
  <key_timestamp>2020-04-09 14:44:27.431</key_timestamp>
</user_secret_key>

Fehler bei der Nutzeranmeldung:

"Access is denied due to invalid or expired credentials."

 
 

Beispiel aus der ECS-Benutzeroberfläche 3.4:

 
    

1. Nutzer oder Kennwort ist falsch.
2. Der Status "Nutzer nicht gefunden" und "Nutzer nicht gefunden" kann auf eine falsche Suchbasis im Authentifizierungsanbieter für diesen Nutzer zurückzuführen sein.
3. Es kann einige Minuten dauern, bis Änderungen an einem ECS-Authentifizierungsanbieter wirksam werden, und der korrigierte Authentifizierungsanbieter aktualisiert weiterhin die Verbindung zu AD oder LDAP.
4. Der AD-Parameter "User must change password at next login" ist für diesen Nutzer aktiv. Beachten Sie, dass ECS das Kennwort des Domainnutzers auf dem AD- oder LDAP-Server nicht ändern kann. Dies verursacht einen Fehler, da der AD- oder LDAP-Server versucht, den Parameter zu erzwingen. Ändern Sie entweder das Kennwort in einer anderen Anwendung oder deaktivieren Sie das Kontrollkästchen parameter. Es wird auch empfohlen, für dieses Problem Version 3.6.2.0 oder höher zu verwenden, da ECS dann die Nutzer über die AD-Serveranforderung auffordern würde, "User must change password at next login."
5. Dem Nutzer vom Typ sAMAccountName fehlt der richtige Domainwert, der username@domain ist.
6. Möglicherweise haben Sie die Suchbasis wie folgt festgelegt:

"Error 1008 (http:400): invalid parameter"

 
"Connection to the LDAP server succeeded, but the Manager DN CN=Users,DC=CAS,DC=EMC,DC=com or its password failed to authenticate"
 

1. Ist auf den exakten korrekten Nutzerstandort eingestellt, CN=Administrator,CN=Users,DC=CAS,DC=EMC,DC=com nicht CN=Users,DC=CAS,DC=EMC,DC=com 
2. Das Kennwort ist korrekt.
3. Der Nutzer verfügt über die erforderliche Berechtigung als Manager DN-Nutzer.  

command type REQUEST_AUTHPROVIDER_CREATE failed with error code ERROR_RG_NOT_FOUND and message 'replication group urn:storageos:ReplicationGroupInfo:00000000-0000-0000-0000-000000000000:global not found'

Wenn ein Nutzer den LDAP-Server geändert hat, während der FQDN des neuen LDAP-Servers mit dem FQDN des alten LDAP-Servers übereinstimmt.

Das aktuelle LDAP-SSL-Zertifikat verweist möglicherweise auf den alten LDAP-Server, daher muss das LDAP-SSL-Zertifikat durch ein aktualisiertes LDAP-SSL-Zertifikat ersetzt werden.

Mögliche Fehlermeldung:

 

Überprüfen Sie, ob das Zertifikat ausgestellt wurde, und stellen Sie sicher, dass der FQDN genau mit der URL übereinstimmt, die in der ECS-Benutzeroberfläche verwendet wird. Alternativ können Sie die Übereinstimmungen der alternativen Betreffnamen genau über den certificate:

Command überprüfen:

sudo openssl s_client -connect :636 < /dev/null | openssl x509 -noout -text | grep DNS:

Beispiel:

node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636 < /dev/null| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS1.LOCAL


node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS.LOCAL

 
Überprüfen Sie Ihr LDAPS-Zertifikat auf ECS-Übereinstimmungen. Wenn nicht, ist möglicherweise ein neues, korrektes Zertifikat für ECS erforderlich. 

Ein Nutzer kann das Öffnen eines SR mit ECS-Support in Betracht ziehen, wenn dies der Fall ist.

---

 

1. Wurde das Feld "Authentication Provider" vom Nutzer korrekt ausgefüllt?
2. Wurde ManagementnutzerIn erstellt?
3. Wurden der Testnutzer und das Kennwort korrekt bei der ECS-Anmeldung eingegeben?
4. Können sie sich mit anderen NutzerInnen aus einer Domain anmelden?
5. Ist dies das erste Mal, dass AD oder LDAP auf dem ECS eingerichtet wird?
6. Wenn kein neues AD oder LDAP auf ECS eingerichtet wurde, konnten sie sich jemals mit diesen Zugangsdaten anmelden? Wenn ja, geben Sie an, ob es Änderungen gab, die sich auf die Autorisierung auswirken würden?