ECS: AD- tai LDAP-palvelinyhteyden määrittäminen käyttöliittymässä

Vahvista käytettävät TARKAT AD- tai LDAP-tiedot.

ECS:ään syötetyt arvot (katso alla) eivät välttämättä vastaa AD- tai LDAP-palvelimen tietoja, mikä voi tuottaa virheellisen tunnistetietovirheen toimialueen käyttäjän kirjautumisyrityksille.

Tarkastele ja varmista arvot AD- tai LDAP-palvelimessa.

Lue ECS:n järjestelmänvalvojan oppaan kappale Todennuksen tarjoajat ja "AD- tai LDAP-todennuspalvelun lisääminen".

Osa 1)
Todentamisen tarjoajan on oltavamääritetty oikein.
Todennuksen tarjoaja on paikka, jossa ECS-yhteys AD- tai LDAP-palvelimeen määritetään.

2 ja 3 §)
ECS voidaan määrittää käyttämään AD- tai LDAP-käyttäjiä objektikäyttäjinä tai hallintakäyttäjinä ECS-käyttöliittymään kirjautumista varten.

Aloita asennuksessa tai vianmäärityksessä minimoimalla mahdollisten ongelmien monimutkaisuus ja etene useissa vaiheissa.

1. Siirry ECS-käyttöliittymän > todennuspalveluun ja määritä todennuspalvelu yhdelle AD- tai LDAP-palvelimelle, jolla on yksi palvelimen URL-osoite. Tämä minimoi monimutkaisuuden.
   1. Yritä käyttää testaukseen palvelimen URL-osoite -ruudussa LDAP:tä LDAPS:n sijaan, jos mahdollista. Ikään kuin LDAP ei toimi, LDAPS ei myöskään toimi. 
   2. Sinulla on oikea esimiehen DN.
   3. Määritä hakukanta tarkkaan käyttäjien kansioon, ei suureen hakukantaan. Jos LDAP-aikakatkaisuarvo halutaan jättää huomiotta.
   4. Valitse hakusuodattimena oikea tyyppi. AD- tai LDAP-palvelimen käyttäjämääritteet näyttävät, kumpaa käytetään. Katso alla. Mahdolliset hakusuodattimen vaihtoehdot: sAMAccountName=%U, userPrincipalName=%u, uid=%U
   5. Huomaa, että yleinen kysymys on, mitä todennuspalveluntarjoajatyyppiä käytetään. AD, Keystone vai LDAP? Neuvo on, että jos palvelin on Windows Active Directory, käytä AD-tyyppiä. Jos palvelin on Linux openLDAP, käytä LDAP-tyyppiä. Jos palvelin on Keystone, käytä Keystonea. 
2. Lisää testikäyttäjä toimialueen hallintakäyttäjäksi ja testaa sisäänkirjautuminen.
   1. Lisää testikäyttäjä ECS-käyttöliittymässä>Käyttäjien >hallintakäyttäjän>lisäys
   2. Oikea muoto olisi username@domainname, ECS käyttää @-merkkiä havaitsemaan, että sen pitäisi etsiä todennuksen tarjoajassa määritettyä toimialueen käyttäjää.
   3. Sinun on lisättävä käyttäjiä käyttäjäluetteloon, jotta voit määrittää heidän oikeutensa ECS:ään eli järjestelmänvalvojan tai valvonnan käyttöoikeuksiin.
3. Testaa käyttäjän sisäänkirjautuminen.
   1. Jos kirjautuminen toimialueelle epäonnistuu, tutki asia ja tee vianmääritys  
      1. Jos onnistuu, vaihda hakukanta käyttäjien haluamaan päähakukantaan eli juurisijaintiin,
         1. Jos se epäonnistuu, ainoa muutos onnistuneen ja epäonnistuneen kirjautumisen välillä on hakukannan muutos. Katso lisätietoja artikkelista ECS: Toimialueen käyttäjien ajoittaiset kirjautumisongelmat, jotka johtuvat AD-/LDAP-aikakatkaisuarvon ylittymisestä
         2. Jos onnistuminen, toimialueryhmät voidaan nyt testata.
   2. Jos käyttäjä pystyy kirjautumaan sisään, myös käyttäjäryhmää voidaan käyttää.
      1. Varmista, että ryhmä ja tarvittavan ryhmän käyttäjät ovat hakukannan piirissä.
      2. Paras testata yllä olevan kaltainen testikäyttäjä sen varmistamiseksi, että yhteys toimii.
      3. Poista ryhmän testikäyttäjä ECS-hallintaluettelosta ja lisää sen sijaan testiryhmä, johon käyttäjä kuuluu, ECS-hallintakäyttäjien luetteloon. Kuten yllä olevat vaiheet, yritämme minimoida mahdollisen vianetsinnän. Ainoa ero on, että nyt ECS on tietoinen ryhmästä eikä suorasta käyttäjästä.
      4. Tutustu tietämyskannan artikkeliin (artikkelin lukeminen edellyttää kirjautumista Dell-tukitilille). Toisin sanoen, jos haluat käyttää ryhmiä, sinun on oltava tietoinen tästä tietoartikkelista.
4. Kun hallintakäyttäjä tai -ryhmä pystyy kirjautumaan sisään, tämä on hyödyllistä tietää, koska määritetyn toimialueen hallintakäyttäjän vianmääritys on helpompaa kuin toimialueobjektin käyttäjän määrittäminen, joten se on hyvä testata.
   1.  Jos käyttäjä haluaa sitten käyttää verkkotunnusobjektia ja voi todistaa itselleen, että samat toimialueen käyttäjät toimivat käyttöliittymän hallintakäyttäjänä, on hyödyllistä tietää, ikään kuin käyttäjä voi toimia käyttöliittymän hallintakäyttäjänä, hänen pitäisi toimia objektikäyttäjänä.
5. Lisätietoja LDAP (LDAP over SSL tai TLS) -varmenteista on hallintaoppaassa ja tietämysartikkelissa ECS: Kaikkien varmenteiden määrittäminen ja hyväksyminen LDAPS:n kautta ECS:ssä
   1. On suositeltavaa varmistaa, että LDAP-yhteydet toimivat ja että käyttäjät voivat kirjautua LDAP:hen, ennen kuin tutkit LDAPS-asetusta.
   2. Huomaa, että kelvollinen ja täydellinen varmenneketju voi olla tarpeen.
   3. Jos käytössä on LDAPS, autentikoinnin tarjoajan palvelimen URL-osoitteiden on oltava muotoa FQDN eikä IP-osoite, jotta ne vastaavat LDAPS-varmenteita, jotka listaisivat LDAP-palvelimien FQDN:n IP-osoitteen sijaan.   
       

Lueteltujen vaiheiden tarkoituksena on jättää mahdolliset ongelmat huomiotta yksinkertaistamalla ne tarkistettaviin vaiheisiin.

Osa 1: Todennuksen tarjoaja
Katso kaikki vaiheet ECS:n järjestelmänvalvojan oppaasta.

Voit lisätä todennuspalveluita ECS:ään, jos haluat, että ECS:n ulkopuoliset järjestelmät todentavat käyttäjät.

Todennuksen tarjoaja on ECS:n ulkopuolinen järjestelmä, joka voi todentaa käyttäjiä ECS:n puolesta.

ECS tallentaa tiedot, joiden avulla se voi muodostaa yhteyden todennuspalvelujen tarjoajaan, jotta ECS voi pyytää käyttäjän todennusta.

ECS:ssä on käytettävissä seuraavantyyppisiä todennuspalveluntarjoajia:

• Active Directory (AD) -todennus tai LDAP (Lightweight Directory Access Protocol) -todennus: Käytetään ECS:n hallintarooleihin määritettyjen toimialueen käyttäjien todentamiseen.
• Lakikivi: Käytetään OpenStack Swift -objektien käyttäjien todentamiseen.

1. Luo AD:ssä käyttäjä tai ryhmä, joka sisältää tietyt käyttäjät, joiden on kirjauduttava ECS:ään:

1. Navigointi: Hoitaa >Todennus

2.  Kirjoita Nimi ja kuvaus -kenttään ja valitse oikea palvelintyyppi:

 
Huomautus: Virhesanoma voi ilmetä, jos vääräntyyppistä tyyppiä yritetään tallentaa.

3. Kirjoita käytettävät toimialueet.

4. AD- tai LDAP-palvelimen URL-osoite:

ldap://<Domain controller IP>:<port> Or ldaps://<Domain controller IP>:<port>

5. Managerin DN:n muuttaminen tai päivittäminen.

 
Esimerkki: Johtaja DN: CN=Administrator,CN=Users,DC=nas2008test,DC=com
Esimiehen DN-käyttäjän oikean sijainnin on oltava AD- tai LDAP-palvelimessa.

Johtaja DN:
Tämä on Active Directory Bind -käyttäjätili, jota ECS käyttää yhteyden muodostamiseen Active Directory- tai LDAP-palvelimeen. Tätä tiliä käytetään Active Directorysta etsimiseen, kun ECS-järjestelmänvalvoja määrittää käyttäjän määritettäväksi rooleille.

Tällä käyttäjätilillä on oltava Active Directoryssa "Lue kaikki inetOrgPerson-tiedot". InetOrgPerson-objektiluokkaa käytetään useissa muissa kuin Microsoft-, LDAP- ja X.500-hakemistopalveluissa edustamaan organisaation henkilöitä.

6. Palveluntarjoajat-vaihtoehto

7. Ryhmän määritteiden määrittäminen:

8. Ryhmän sallittujen luettelon päivittäminen tai muuttaminen

9. Haun laajuuden päivittäminen tai muuttaminen

10. Hakukannan päivittäminen tai muuttaminen.

11. Hakusuodatin

1. Varmista, että käyttäjien on käytettävä oikeaa hakusuodatinta:

dn:CN=user1,CN=Users,DC=marketing,DC=example,DC=com
userPrincipalName: user1@marketing.example.com
memberOf: CN=marketing,CN=Users,DC=example,DC=com

dn: uid=ldapuser1,ou=People,dc=example,dc=com
uid: ldapuser1
cn: ldapuser1
sn: ldapuser1

12. Multidomain-toimialuepuuryhmän määritys.

Multidomain-puuryhmässä on toimialueita, jotka ovat yhteydessä toisiinsa, esimerkiksi ylätason ja alitoimialueet.

Pääesimerkki: dell.com
Ali-toimialueiden esimerkki: amer.dell.com, emea.dell.com, apac.dell.com

1) Ryhmä voi olla yhdessä toimialueista, ja osa sen käyttäjistä voi olla muissa toimialueissa.
2) Normaalisti verkkotunnukset eivät näy toisilleen, mutta päätoimialue näkee kaikki aliverkkotunnukset, joten monialuemetsäyhteyttä määritettäessä käytä päätoimialuetta todennuksen tarjoajan ensisijaisena verkkotunnuksena. 

Eri vaiheet:
A) Nimeä toimialue päätoimialueen mukaan.
B) Luettele kaikki kiinnostavat verkkotunnukset todennuksen tarjoajan verkkotunnukset-ruutuun.
C) Jos todennuksen tarjoaja tukee usean toimialueen toimialueryhmää, käytä yleisen luettelopalvelimen IP-osoitetta ja määritä aina portin numero. Oletusportit: LDAP: 3268, LDAPS: 3269
D) Aseta hakukannaksi päätoimialueen
juuri.E) Huomaa, että todennuksen tarjoajan nimi on verkkotunnuksen käyttäjän ensisijainen tunniste. Lisää siis tässä esimerkissä käyttäjiä tai ryhmiä, kuten: group1@dell.com, ei alitoimialue, kuten group1@amer.dell.com
Katso osio Hallinta ja objekti Käyttäjät määrittävät.

 
 

Osa 2: Hallinta ja objekti Käyttäjien määrittäminen 

1. Lisää ryhmä hallintakäyttäjäksi ja valitse oikeat roolit:

2. Testaa kirjautumista ryhmän toisen käyttäjän kanssa.

Osa 3: AD- tai LDAP-käyttäjät objektikäyttäjinä, jotka on määritetty
Hallintakäyttäjän luominen on hyödyllistä AD- tai LDAP-yhteyden testaamiseksi, ja se on tehtävä ennen objektikäyttäjän luomista.

Katso hallintaopas JA tietojen käyttöopas.

1. Toimialueen käyttäjien lisääminen nimitilaan objektin käyttäjän käyttöä varten:

Sinun on lisättävä (määritettävä) toimialueen käyttäjiä nimitilaan, jos haluat näiden käyttäjien suorittavan ECS-objektikäyttäjätoimintoja. ECS-objektisäilön käyttö edellyttää, että objektin käyttäjät ja nimitilan järjestelmänvalvojat on määritetty nimitilaan. Voit lisätä kokonaisen käyttäjien toimialueen nimitilaan tai voit lisätä toimialueen käyttäjien alijoukon nimitilaan määrittämällä tietyn ryhmän tai määritteen, joka liittyy toimialueeseen.

Toimialue voi tarjota käyttäjille useita nimitiloja. Voit esimerkiksi lisätä käyttäjiä, kuten yourco.com-toimialueen Tilit-osaston nimiavaruuteen1 ja käyttäjiä, kuten yourco.com-toimialueen talousosaston nimitilaan2. Tässä tapauksessa yourco.com-verkkotunnus tarjoaa käyttäjille kaksi nimitilaa.

Koko toimialuetta, tiettyä käyttäjäjoukkoa tai tiettyä käyttäjää ei voi lisätä useampaan kuin yhteen nimitilaan. Esimerkiksi yourco.com-toimialue voidaan lisätä nimiavaruuteen1, mutta toimialuetta ei voi lisätä myös nimiavaruuteen2.

Seuraavassa esimerkissä näkyy, että järjestelmän tai nimitilan järjestelmänvalvoja on lisännyt nimitilaan yourco.com-toimialueen käyttäjien alijoukon. käyttäjät, joiden Osasto-määrite = Tilit Active Directoryssa. Järjestelmän tai nimitilan järjestelmänvalvoja on lisännyt tämän toimialueen Tilit-osaston käyttäjät nimitilaan ECS-portaalin Muokkaa-nimitilan avulla.

Kuvio 1. Toimialueen käyttäjien alijoukon lisääminen nimitilaan yhdellä AD-määritteellä
Domain-objektin käyttäjät, jotka on valittu domain-valinnassa, ovat muita kuin admin-objektin käyttäjiä , joilla on käyttöoikeudet vain omiin luomiinsa säilöihin.

 
Määritteet ovat alijoukkoasetus, joka voidaan poistaa napsauttamalla X.
Määritteiden osajoukon on vastattava AD-palvelimen toimialueen käyttäjien määritteitä.

Seuraavassa esimerkissä on erilainen esimerkki, jossa järjestelmän tai nimitilan järjestelmänvalvoja lisää käyttäjiä nimitilaan rakeisemmin. Tässä tapauksessa järjestelmän tai nimitilan järjestelmänvalvoja on lisännyt yourco.com-toimialueen jäsenet, jotka kuuluvat Tallennuksen järjestelmänvalvojat -ryhmään Osasto-määritteellä = Tilit JA alue -määrite = Tyynenmeren alue TAI kuuluvat Tallennuksen järjestelmänvalvojat -ryhmään Osasto-määritteellä = Finance.

Kuva 2. Toimialueen käyttäjien alijoukon lisääminen nimitilaan käyttämällä useita AD-määritteitä

2. Toimialueen käyttäjä luo salaisen avaimen ECS:n tietojen käyttöoppaan mukaisesti

user@device:~$ curl -ik -u TestUser@TestDomain.com https://10.xxx.xxx.xxx:4443/login
Enter host password for user 'TestUser@TestDomain.com':
HTTP/1.1 200 OK
Date: Thu, 09 Apr 2020 14:30:04 GMT
Content-Type: application/xml
Content-Length: 106
Connection: keep-alive
X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=
X-SDS-AUTH-USERNAME: TestUser@TestDomain.com
X-SDS-AUTH-MAX-AGE: 28800

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><loggedIn><user>TestUser@TestDomain.com</user></loggedIn>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_keys>
  <secret_key_1/>
  <secret_key_1_exist>false</secret_key_1_exist>
  <secret_key_2/>
  <secret_key_2_exist>false</secret_key_2_exist>
  <key_timestamp_1/>
  <key_timestamp_2/>
</user_secret_keys>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" -H "Content-Type:application/json" -X POST -d "{}" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_key>
  <link rel="self" href="/object/user-secret-keys/TestUser@TestDomain.com"/>
  <secret_key>6C7fW_Secret_Key_COl38yzAHIRorJ3oiK</secret_key>
  <key_expiry_timestamp/>
  <key_timestamp>2020-04-09 14:44:27.431</key_timestamp>
</user_secret_key>

Käyttäjän kirjautumisvirhe:

"Access is denied due to invalid or expired credentials."

 
 

Esimerkki 3.4 ECS -käyttöliittymästä:

 
    

1. Käyttäjä tai salasana on virheellinen.
2. Käyttäjää ei löydy ja käyttäjää ei löydy voi johtua kyseisen käyttäjän todennuspalvelun virheellisestä hakukannasta .
3. ECS-todennuksen tarjoajan muutosten voimaantulo voi kestää muutaman minuutin, ja korjattu todennuksen tarjoaja päivittää edelleen AD- tai LDAP-yhteyttä.
4. User AD -parametri "User must change password at next login" on aktiivinen kyseiselle käyttäjälle. Huomaa, että ECS ei voi muuttaa toimialueen käyttäjien salasanaa AD- tai LDAP-palvelimessa, joten tämä aiheuttaa virheen, koska AD- tai LDAP-palvelin yrittää pakottaa parametrin. Voit joko vaihtaa toisen ohjelman salasanan tai poistaa parametrien valintaruudun valinnan. Tässä ongelmassa kannattaa käyttää myös versiota 3.6.2.0 tai uudempaa, koska ECS kehottaa käyttäjiä AD-palvelimen pyynnöstä "User must change password at next login."
5. sAMAccountName-tyyppiseltä käyttäjältä puuttuu oikea toimialuearvo, joka on username@domain.
6. Olet ehkä määrittänyt hakukannaksi

"Error 1008 (http:400): invalid parameter"

 
"Connection to the LDAP server succeeded, but the Manager DN CN=Users,DC=CAS,DC=EMC,DC=com or its password failed to authenticate"
 

1. On asetettu täsmälleen oikeaan käyttäjän sijaintiin, CN=Administrator,CN=Users,DC=CAS,DC=EMC,DC=com not CN=Users,DC=CAS,DC=EMC,DC=com 
2. Salasana on oikein.
3. Käyttäjällä on esimiehen DN-käyttäjäksi vaadittava valtuutus.  

command type REQUEST_AUTHPROVIDER_CREATE failed with error code ERROR_RG_NOT_FOUND and message 'replication group urn:storageos:ReplicationGroupInfo:00000000-0000-0000-0000-000000000000:global not found'

Jos käyttäjä on vaihtanut LDAP-palvelinta, uuden LDAP-palvelimen täydellinen toimialuenimi vastaa vanhan LDAP-palvelimen täydellistä toimialuenimeä.

Nykyinen LDAP SSL -varmenne saattaa osoittaa vanhaan LDAP-palvelimeen, joten LDAP SSL -varmenne on korvattava päivitetyllä LDAP SSL -varmenteella.

Mahdollinen virheilmoitus:

 

Tarkista, että varmenne on myönnetty, ja varmista, että täydellinen toimialuenimi vastaa täsmälleen ECS-käyttöliittymässä käytettyä URL-osoitetta. Voit myös tarkistaa aiheen vaihtoehtoiset nimet täsmälleen varmenteesta:

Komento:

sudo openssl s_client -connect :636 < /dev/null | openssl x509 -noout -text | grep DNS:

Esimerkki:

node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636 < /dev/null| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS1.LOCAL


node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS.LOCAL

 
Tarkista LDAPS-varmenne ECS-osumissa. Jos ei, ECS:lle tarvitaan ehkä uusi, oikea varmenne. 

Käyttäjä voi tarvittaessa avata palvelupyynnön ECS-tuen avulla.

---

 

1. Onko käyttäjä täyttänyt Todennuksen tarjoaja -kentän oikein?
2. Onko hallintakäyttäjä luotu?
3. Onko testikäyttäjä ja salasana syötetty oikein ECS-kirjautumisen yhteydessä?
4. Pystyvätkö he kirjautumaan sisään toisen käyttäjän kanssa verkkotunnuksesta?
5. Onko tämä ensimmäinen kerta, kun AD tai LDAP määritetään ECS:ssä?
6. Jos ECS:ään ei ole määritetty uutta AD:tä tai LDAP:tä, onko ECS:ään koskaan voinut kirjautua näillä tunnistetiedoilla? Jos on, ilmoittakaa, onko valtuutukseen vaikuttavia muutoksia?