ECS: Cómo configurar una conexión de servidor AD o LDAP en la UI de

Confirme la información EXACTA de AD o LDAP que se utilizará.

Puede ocurrir que los valores ingresados en ECS (consulte a continuación) no coincidan con los detalles en el servidor AD o LDAP, y esto puede generar un resultado de error de credenciales no válidas para los intentos de inicio de sesión del usuario del dominio.

Vea y asegure los valores en el servidor AD o LDAP.

Lea la sección de la guía de administración de ECS sobre el capítulo Authentication Providers y "Add an AD or LDAP authentication provider".

Sección 1)
Es obligatorio tener el proveedor de autenticación configuradocorrectamente.
El proveedor de autenticación es donde se define la conexión de ECS al servidor de AD o LDAP.

Secciones 2 y 3)
ECS se puede configurar para utilizar los usuarios de AD o LDAP como usuarios de objetos o como usuarios de administración para iniciar sesión en la interfaz de usuario de ECS.

En la configuración o la solución de problemas, comience por minimizar la complejidad de los posibles problemas y continúe en varios pasos.

1. Vaya al proveedor de autenticación de la interfaz de usuario > de ECS y configure un proveedor de autenticación en un servidor AD o LDAP con una URL de servidor. Esto es para minimizar la complejidad.
   1. En el cuadro URL del servidor, intente usar LDAP en lugar de LDAPS para las pruebas, si es posible. Como si LDAP no funcionara, LDAPS tampoco. 
   2. Tener un DN de administrador correcto.
   3. Configure la base de búsqueda en una carpeta de usuarios exacta, no en una base de búsqueda grande, esto es para descontar el valor de tiempo de espera agotado de LDAP que se supera.
   4. Como filtro de búsqueda, seleccione el tipo correcto; los atributos de usuarios en el servidor AD o LDAP mostrarán cuál usar. Véase más abajo. Posibles opciones de filtro de búsqueda: sAMAccountName=%U, userPrincipalName=%u, uid=%U
   5. Tenga en cuenta que una pregunta común es qué tipo de proveedor de autenticación utilizar; ¿AD, Keystone o LDAP? El consejo es que si el servidor es un Windows Active Directory, entonces utilice el tipo AD. Si el servidor es un OpenLDAP de Linux, utilice el tipo LDAP. Si el servidor es Keystone, utilice Keystone. 
2. Agregue el usuario de prueba como usuario de administración de dominio y pruebe el inicio de sesión.
   1. Agregar el usuario de prueba en la interfaz >de usuario de ECS Agregar > usuario >de administración
   2. El formato correcto sería username@domainname, ECS utiliza el símbolo @ para detectar que debe buscar un usuario de dominio como se define en el proveedor de autenticación.
   3. Debe agregar usuarios a la lista de usuarios para definir sus derechos en ECS, es decir, privilegios de usuario de administrador o monitoreo.
3. Pruebe el inicio de sesión del usuario.
   1. Si no se realiza correctamente el inicio de sesión del usuario del dominio, examine y solucione los problemas  
      1. Si tiene éxito, cambie la base de búsqueda a la base de búsqueda principal que desean los usuarios, es decir, la ubicación raíz,
         1. Si luego falla, el único cambio entre un inicio de sesión correcto y uno incorrecto es un cambio en la base de búsqueda. Consulte el artículo de la base de conocimientos ECS: Error intermitente de inicio de sesión de los usuarios del dominio debido a que se superó el valor de tiempo de espera agotado de AD/LDAP
         2. Si se realiza correctamente, ahora se pueden probar los grupos de dominio.
   2. Si un usuario puede iniciar sesión, también se puede utilizar un grupo de usuarios.
      1. Asegúrese de que el grupo y los usuarios del grupo requerido estén dentro del alcance de la base de búsqueda.
      2. Lo mejor es probar un usuario de prueba como el anterior para determinar que la conexión funciona.
      3. Elimine el usuario de prueba del grupo de la lista de administración de ECS y, en su lugar, agregue el grupo de prueba al que pertenece el usuario a la lista de usuarios de administración de ECS. Al igual que los pasos anteriores, estamos tratando de minimizar la posible solución de problemas. La única diferencia es que ahora ECS reconoce el grupo y no el usuario directo.
      4. Tenga en cuenta el artículo de la base de conocimientos (se requiere iniciar sesión en la cuenta de soporte de Dell para acceder al artículo). Es decir, si desea utilizar grupos, debe conocer este artículo de la base de conocimientos.
4. Es útil saber esto si un usuario o grupo de administración puede iniciar sesión, ya que es más fácil solucionar problemas de configuración de usuarios de administración de dominio que de configuración de usuarios de objetos de dominio, por lo que es bueno probar.
   1.  Si un usuario desea usar un objeto de dominio y puede demostrar por sí mismo que los mismos usuarios de dominio funcionan como usuario de administración de la interfaz de usuario, entonces es útil saberlo, ya que si un usuario puede trabajar como usuario de administración de la interfaz de usuario, entonces debe trabajar como un usuario de objetos.
5. Para los certificados LDAP (LDAP mediante SSL o TLS), consulte la guía del administrador y el artículo de la base de conocimientos ECS: Cómo configurar y aceptar todos los certificados mediante LDAPS en ECS
   1. Se recomienda confirmar que las conexiones de LDAP funcionen y que los usuarios puedan iniciar sesión en LDAP antes de examinar la configuración de LDAPS.
   2. Tenga en cuenta que es posible que se requiera una cadena de certificados válida y completa.
   3. Si utiliza LDAPS, las URL del servidor en el proveedor de autenticación deben estar en el formato FQDN en lugar de la dirección IP, para que coincidan con los certificados LDAPS que enumerarían el FQDN de los servidores LDAP en lugar de la dirección IP.   
       

El propósito de los pasos que se enumeran es descartar posibles problemas mediante la simplificación de los problemas en pasos para comprobar.

Sección 1: Proveedor
de autenticaciónConsulte la guía de administración de ECS para conocer todos los pasos.

Puede agregar proveedores de autenticación a ECS si desea que los usuarios se autentiquen mediante sistemas externos a ECS.

Un proveedor de autenticación es un sistema externo a ECS que puede autenticar usuarios en nombre de ECS.

ECS almacena la información que le permite conectarse con el proveedor de autenticación para que pueda solicitar la autenticación de un usuario.

En ECS, están disponibles los siguientes tipos de proveedores de autenticación:

• Autenticación de Active Directory (AD) o autenticación de protocolo ligero de acceso a directorios (LDAP): Se utiliza para autenticar usuarios de dominio asignados a funciones de administración en ECS.
• Clave: Se utiliza para autenticar usuarios de objetos OpenStack Swift.

1. Cree el usuario o el grupo en AD que contiene los usuarios específicos que deben iniciar sesión en ECS:

1. Navegación: Gestionar >Autenticación

2.  Ingrese el campo Nombre y descripción y seleccione el tipo de servidor correcto:

 
Nota: Es posible que aparezca un mensaje de error si se intenta guardar un tipo incorrecto.

3. Ingrese los dominios que se utilizarán.

4. URL del servidor AD o LDAP:

ldap://<Domain controller IP>:<port> Or ldaps://<Domain controller IP>:<port>

5. Cambiar o actualizar el DN del administrador.

 
Por ejemplo: DN del administrador: CN=Administrator,CN=Users,DC=nas2008test,DC=com
Debe ser la ubicación correcta del usuario DN del administrador en el servidor de AD o LDAP.

El DN del administrador:
Esta es la cuenta de usuario de vinculación de Active Directory que ECS utiliza para conectarse al servidor de Active Directory o LDAP. Esta cuenta se utiliza para buscar en Active Directory cuando un administrador de ECS especifica un usuario para la asignación de funciones.

Esta cuenta de usuario debe tener "Leer toda la información de inetOrgPerson" en Active Directory. La clase de objeto InetOrgPerson se usa en varios servicios de directorio que no son de Microsoft, LDAP y X.500 para representar a las personas de una organización.

6. Opción de proveedores

7. Configuración de atributos de grupo:

8. Actualizar o cambiar la lista blanca de grupos

9. Actualización o cambio del alcance de búsqueda

10. Actualización o cambio de la base de búsqueda.

11. Filtro de búsqueda

1. Confirme el filtro de búsqueda correcto que utilizarán los usuarios:

dn:CN=user1,CN=Users,DC=marketing,DC=example,DC=com
userPrincipalName: user1@marketing.example.com
memberOf: CN=marketing,CN=Users,DC=example,DC=com

dn: uid=ldapuser1,ou=People,dc=example,dc=com
uid: ldapuser1
cn: ldapuser1
sn: ldapuser1

12. Configuración de bosque multidominio.

Un bosque multidominio es donde hay dominios que están conectados entre sí, por ejemplo, un dominio primario y uno secundario.

Ejemplo primario: dell.com
Ejemplo de dominios secundarios: amer.dell.com, emea.dell.com, apac.dell.com

1) Un grupo puede estar en uno de los dominios y algunos de sus usuarios pueden estar en otros dominios.
2) Normalmente, los dominios no son visibles entre sí, pero el dominio primario puede ver todos los dominios secundarios; por lo tanto, al configurar una conexión de bosque multidominio, utilice el dominio primario como el dominio principal para el proveedor de autenticación. 

Pasos que son diferentes:
A) Asigne al dominio el nombre del dominio principal.
B) Enumere todos los dominios de interés en el cuadro de dominios del proveedor de autenticación.
C) Si el proveedor de autenticación admite un bosque multidominio, utilice la dirección IP del servidor de catálogo global y especifique siempre el número de puerto. Puertos predeterminados: LDAP: 3268, LDAPS: 3269
D) Establezca la base de búsqueda en la raíz del dominio principal.
E) Tenga en cuenta que el nombre del proveedor de autenticación será el identificador principal para el uso del usuario de dominio. Es decir, para este ejemplo, agregue usuarios o grupos como por ejemplo: group1@dell.com, no un subdominio como group1@amer.dell.com
Consulte la sección Administración y configuración de usuarios de objetos.

 
 

Sección 2: Configuración de usuarios de objetos y administración 

1. Agregue el grupo como el usuario de administración y elija las funciones correctas:

2. Pruebe el inicio de sesión con el otro usuario del grupo.

Sección 3: Usuarios de AD o LDAP como configuración de
usuarios de objetosLa creación de un usuario de administración es útil para probar la conexión a AD o LDAP y se debe realizar antes de crear un usuario de objetos.

Consulte la guía de administración Y la guía de acceso a datos.

1. Agregue usuarios de dominio a un espacio de nombres para su uso por parte de usuarios de objetos:

Debe agregar (asignar) usuarios de dominio a un espacio de nombres si desea que estos usuarios realicen operaciones de usuario de objetos de ECS. Para acceder al almacén de objetos de ECS, los usuarios de objetos y los administradores de espacio de nombres deben asignarse a un espacio de nombres. Puede agregar un dominio completo de usuarios a un espacio de nombres o puede agregar un subconjunto de usuarios de dominio a un espacio de nombres especificando un grupo o atributo específico asociado con el dominio.

Un dominio puede proporcionar usuarios para varios espacios de nombres. Por ejemplo, puede decidir agregar usuarios como el departamento de cuentas en el dominio "yourco.com" al espacio de nombres 1 y usuarios como el departamento de finanzas en el dominio "yourco.com" en el espacio de nombres 2. En este caso, el dominio "yourco.com" proporciona usuarios para dos espacios de nombres.

Un dominio completo, un conjunto específico de usuarios o un usuario específico no se pueden agregar a más de un espacio de nombres. Por ejemplo, el dominio "yourco.com" se puede agregar al espacio de nombres 1, pero el dominio tampoco se puede agregar al espacio de nombres 2.

En el siguiente ejemplo se muestra que un administrador del sistema o espacio de nombres ha agregado a un espacio de nombres un subconjunto de usuarios en el dominio "yourco.com"; los usuarios que tienen su atributo Departamento = Cuentas en Active Directory. El administrador del sistema o del espacio de nombres agregó los usuarios del departamento de cuentas de este dominio a un espacio de nombres mediante la opción Editar espacio de nombres en el portal de ECS.

Figura 1. Adición de un subconjunto de usuarios de dominio a un espacio de nombres mediante un atributo
de AD Los usuarios de objetos de dominio seleccionados en la selección "domain" serían usuarios de objetos no administrativos con derechos de acceso a sus propios depósitos creados solamente.

 
Los atributos son una opción de subconjunto que se puede eliminar haciendo clic en "X".
El subconjunto Atributos debe coincidir con los Atributos de los usuarios del dominio en el servidor AD.

En el siguiente ejemplo, se muestra un ejemplo diferente en el que el administrador del sistema o del espacio de nombres utiliza más granularidad para agregar usuarios a un espacio de nombres. En este caso, el administrador del sistema o del espacio de nombres agregó los miembros en el dominio "yourco.com" que pertenecen al grupo Administradores de almacenamiento con el atributo Departamento = Atributo Cuentas Y región = Pacífico, O pertenecen al grupo Administradores de almacenamiento con el atributo Departamento = Finanzas.

Figura 2. Adición de un subconjunto de usuarios de dominio a un espacio de nombres mediante varios atributos de AD

2. El usuario de dominio debe crear una clave secreta según la guía de acceso a datos de ECS

user@device:~$ curl -ik -u TestUser@TestDomain.com https://10.xxx.xxx.xxx:4443/login
Enter host password for user 'TestUser@TestDomain.com':
HTTP/1.1 200 OK
Date: Thu, 09 Apr 2020 14:30:04 GMT
Content-Type: application/xml
Content-Length: 106
Connection: keep-alive
X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=
X-SDS-AUTH-USERNAME: TestUser@TestDomain.com
X-SDS-AUTH-MAX-AGE: 28800

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><loggedIn><user>TestUser@TestDomain.com</user></loggedIn>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_keys>
  <secret_key_1/>
  <secret_key_1_exist>false</secret_key_1_exist>
  <secret_key_2/>
  <secret_key_2_exist>false</secret_key_2_exist>
  <key_timestamp_1/>
  <key_timestamp_2/>
</user_secret_keys>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" -H "Content-Type:application/json" -X POST -d "{}" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_key>
  <link rel="self" href="/object/user-secret-keys/TestUser@TestDomain.com"/>
  <secret_key>6C7fW_Secret_Key_COl38yzAHIRorJ3oiK</secret_key>
  <key_expiry_timestamp/>
  <key_timestamp>2020-04-09 14:44:27.431</key_timestamp>
</user_secret_key>

Error de inicio de sesión del usuario:

"Access is denied due to invalid or expired credentials."

 
 

Ejemplo de la interfaz de usuario de ECS 3.4:

 
    

1. El usuario o la contraseña son incorrectos.
2. El usuario no se encontró y el usuario no encontrado pueden deberse a una base de búsqueda incorrecta en el proveedor de autenticación para ese usuario.
3. Los cambios en un proveedor de autenticación de ECS pueden tardar unos minutos en surtir efecto, y el proveedor de autenticación corregido aún está actualizando la conexión a AD o LDAP.
4. El parámetro de AD del usuario "El usuario debe cambiar la contraseña en el próximo inicio de sesión" está activo para ese usuario. Tenga en cuenta que ECS no puede cambiar la contraseña de los usuarios del dominio en el servidor AD o LDAP, por lo tanto, esto provoca un error, ya que el servidor AD o LDAP intenta aplicar el parámetro. Cambie la contraseña en una aplicación diferente o deseleccione la casilla de verificación del parámetro. También se recomienda que esté en la versión 3.6.2.0 o superior para este problema, ya que ECS preguntará a los usuarios sobre la solicitud del servidor AD para "User must change password at next login."
5. Al usuario de tipo sAMAccountName le falta el valor de dominio correcto que está username@domain.
6. Es posible que haya configurado la base de búsqueda en:

"Error 1008 (http:400): invalid parameter"

 
"Connection to the LDAP server succeeded, but the Manager DN CN=Users,DC=CAS,DC=EMC,DC=com or its password failed to authenticate"
 

1. Está configurado en la ubicación exacta correcta del usuario, CN=Administrator,CN=Users,DC=CAS,DC=EMC,DC=com, no CN=Users,DC=CAS,DC=EMC,DC=com 
2. La contraseña es correcta.
3. El usuario tiene la autorización necesaria para ser el usuario de DN de administrador.  

command type REQUEST_AUTHPROVIDER_CREATE failed with error code ERROR_RG_NOT_FOUND and message 'replication group urn:storageos:ReplicationGroupInfo:00000000-0000-0000-0000-000000000000:global not found'

Si un usuario cambió el servidor LDAP, el FQDN del nuevo servidor LDAP coincide con el FQDN del servidor LDAP anterior.

El certificado SSL LDAP actual puede apuntar al servidor LDAP antiguo, por lo tanto, el certificado SSL LDAP se debe reemplazar por un certificado SSL LDAP actualizado.

Posible mensaje de error:

 

Revise que el certificado emitido y asegúrese de que el FQDN coincida exactamente con la dirección URL utilizada en la interfaz de usuario de ECS. Como alternativa, revise las coincidencias de nombres alternativos de sujeto exactamente desde el certificado:

Comando:

sudo openssl s_client -connect :636 < /dev/null | openssl x509 -noout -text | grep DNS:

Ejemplo:

node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636 < /dev/null| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS1.LOCAL


node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS.LOCAL

 
Revise su certificado LDAPS en las coincidencias de ECS; de lo contrario, es posible que se requiera un certificado nuevo y correcto para ECS. 

Un usuario puede considerar abrir una SR con el soporte de ECS para obtener ayuda, si ese es el caso.

---

 

1. ¿El usuario completó correctamente el campo Proveedor de autenticación?
2. ¿Se creó el usuario de administración?
3. ¿Se ingresaron correctamente el usuario y la contraseña de prueba en el inicio de sesión de ECS?
4. ¿Puede iniciar sesión con otro usuario desde un dominio?
5. ¿Es esta la primera vez que se configura AD o LDAP en ECS?
6. Si no tiene un nuevo AD o LDAP configurado en ECS, ¿alguna vez han podido iniciar sesión con estas credenciales? Si es así, identifique si hubo algún cambio que afectaría la autorización.