ECS: Slik konfigurerer du en AD- eller LDAP-servertilkobling i brukergrensesnittet

Bekreft den NØYAKTIGE AD- eller LDAP-informasjonen som skal brukes.

Det kan forekomme at verdiene som angis i ECS (se nedenfor) ikke samsvarer med detaljene på AD- eller LDAP-serveren, og dette kan generere utdata for ugyldig legitimasjonsfeil for påloggingsforsøk for domenebrukeren.

Vis og kontroller verdiene i AD- eller LDAP-serveren.

Les avsnittet om ECS-administratorveiledning om kapittelet om godkjenningsleverandører og «Legg til en AD- eller LDAP-godkjenningsleverandør».

kapittel 1)
Det er obligatorisk å ha godkjenningsleverandøren riktig konfigurert.
Godkjenningsleverandøren er der ECS-tilkoblingen til AD- eller LDAP-serveren defineres.

§ 2 og 3)
ECS kan konfigureres til å bruke AD- eller LDAP-brukere som objektbrukere eller som administrasjonsbrukere for å logge på ECS-grensesnittet.

I oppsettet eller feilsøkingen begynner du med å minimere kompleksiteten til de mulige problemene, og fortsetter i flere trinn.

1. Gå til ECS-grensesnittgodkjenningsleverandøren > , og konfigurer en godkjenningsleverandør på én AD- eller LDAP-server med én URL-adresse for server. Dette for å minimere kompleksiteten.
   1. Prøv om mulig å bruke LDAP i stedet for LDAPS i boksen URL-adresse til tjeneren til testing. Som om LDAP ikke virker, så gjør heller ikke LDAPS det. 
   2. Ha en korrekt leder DN.
   3. Sett søkebasen i en eksakt brukermappe, ikke en stor søkebase, dette er for å redusere LDAP-tidsavbruddsverdien som overskrides.
   4. Som et søkefilter, velg riktig type, brukerens attributter på AD- eller LDAP-serveren vil vise hvilken som skal brukes. Se nedenfor. Mulige alternativer for søkefilter: sAMAccountName=%U, userPrincipalName=%u, uid=%U
   5. Merk at et vanlig spørsmål er hvilken type autentiseringsleverandør som skal brukes. AD, Keystone eller LDAP? Rådet er at hvis serveren er en Windows Active Directory, bruk deretter AD-type. Hvis tjeneren er en Linux openLDAP, bruker du LDAP-type. Hvis tjeneren er en Keystone, bruker du Keystone. 
2. Legg til testbrukeren som en domeneadministrasjonsbruker, og test påloggingen.
   1. Legge til testbrukeren i ECS-grensesnittet> for brukeradministrasjon >, bruker>legge til
   2. Det riktige formatet vil være username@domainname, ECS bruker @-symbolet for å oppdage at det skal se etter en domenebruker som definert i godkjenningsleverandøren.
   3. Du må legge til brukere i brukerlisten for å definere rettighetene deres for ECS som er administratorrettigheter, eller overvåke brukerrettigheter.
3. Test brukerpåloggingen.
   1. Hvis det ikke lykkes å logge på domenebrukeren, må du undersøke og feilsøke  
      1. Hvis vellykket, endrer du søkebasen til hovedsøkebasen brukerne ønsker, det vil si rotplasseringen,
         1. Hvis den deretter mislykkes, er den eneste endringen mellom en vellykket pålogging og mislykket en endring i søkebasen, se kunnskapsartikkelen ECS: Forbigående påloggingsfeil for domenebrukere som skyldes at AD/LDAP-tidsavbruddverdien er overskredet
         2. Hvis det lykkes, kan domenegruppene nå testes.
   2. Hvis en bruker kan logge på, kan en brukergruppe også brukes.
      1. Kontroller at gruppen og brukerne av den nødvendige gruppen er innenfor omfanget av søkegrunnlaget.
      2. Best å teste en testbruker som ovenfor for å fastslå at tilkoblingen fungerer.
      3. Fjern testbrukeren for gruppen fra ECS-administrasjonslisten, og legg i stedet til testgruppen som brukeren tilhører, i listen over brukere for ECS-administrasjon. Det er som trinnene ovenfor vi prøver å minimere mulig feilsøking. Den eneste forskjellen er at nå er ECS klar over gruppen og ikke den direkte brukeren.
      4. Vær oppmerksom på kunnskapsartikkelen (Logg på Dell-kundestøttekonto kreves for å få tilgang til artikkelen). Det vil si at hvis du vil bruke grupper, må du være oppmerksom på denne kunnskapsartikkelen.
4. Med en administrasjonsbruker eller gruppe som kan logge på, er det nyttig å vite, da det er lettere å feilsøke domeneadministrasjon brukeroppsett enn domeneobjektbrukeroppsett, så det er bra å teste.
   1.  Hvis en bruker da ønsker å bruke domeneobjekt og kan bevise for seg selv at samme domene brukere fungerer som UI management bruker, så det er nyttig å vite, som om en bruker kan fungere som UI management bruker så de skal fungere som et objekt bruker.
5. For LDAP-sertifikater (LDAP over SSL eller TLS) kan du se administratorveiledningen og kunnskapsartikkelen ECS: Slik setter du opp og godtar alle sertifikater over LDAPS på ECS
   1. Det anbefales å bekrefte at LDAP-tilkoblingene fungerer, og at brukere kan logge inn på LDAP før de vurderer å konfigurere LDAPS.
   2. Vær oppmerksom på at en gyldig og fullstendig sertifikatkjede kan være nødvendig.
   3. Hvis du bruker LDAPS, må tjenerens url-adresser i autentiseringsleverandøren være i FQDN-format i stedet for IP-adressen, for å samsvare med LDAPS-sertifikatene som vil føre opp LDAP-tjenernes FQDN i stedet for IP-adressen.   
       

Formålet med trinnene som er oppført, er å redusere mulige problemer ved å forenkle problemene ned i trinn for å kontrollere.

Seksjon 1: Godkjenningsleverandør
Se ECS-administratorveiledningen for alle trinn.

Du kan legge til godkjenningsleverandører i ECS hvis du vil at brukerne skal godkjennes av systemer utenfor ECS.

En godkjenningsleverandør er et system som er eksternt for ECS, og som kan godkjenne brukere på vegne av ECS.

ECS lagrer informasjonen som gjør det mulig å koble til godkjenningsleverandøren, slik at ECS kan be om godkjenning av en bruker.

I ECS er følgende typer godkjenningsleverandører tilgjengelige:

• Active Directory-godkjenning (AD) eller LDAP-godkjenning (Lightweight Directory Access Protocol): Brukes til å godkjenne domenebrukere som er tilordnet administrasjonsroller i ECS.
• Keystone: Brukes til å godkjenne OpenStack Swift-objektbrukere.

1. Opprett brukeren eller gruppen i AD som inneholder de bestemte brukerne som må logge på ECS:

1. Navigasjon: Administrere >Godkjenning

2.  Skriv inn feltet Navn og beskrivelse, og velg riktig servertype:

 
Merk: Det kan oppstå en feilmelding hvis feil type forsøkes lagret.

3. Skriv inn domenene som skal brukes.

4. URL-adresse for AD- eller LDAP-server:

ldap://<Domain controller IP>:<port> Or ldaps://<Domain controller IP>:<port>

5. Endre eller oppdatere Manager DN.

 
Eksempel: Manager DN: CN=Administrator,CN=Users,DC=nas2008test,DC=com
Må være riktig plassering for Manager DN-brukeren på AD- eller LDAP-serveren.

Forvalteren DN:
Dette er Active Directory Bind-brukerkontoen som ECS bruker til å koble til Active Directory- eller LDAP-tjeneren. Denne kontoen brukes til å søke i Active Directory når en ECS-administrator angir en bruker for rolletilordning.

Denne brukerkontoen må ha "Les all informasjon om inetOrgPerson" i Active Directory. InetOrgPerson-objektklassen brukes i flere katalogtjenester som ikke er fra Microsoft, LDAP og X.500 til å representere personer i en organisasjon.

6. Tilbydere alternativ

7. Angi gruppeattributter:

8. Oppdatere eller endre hvitelisting for gruppe

9. Oppdatere eller endre søkeomfanget

10. Oppdatere eller endre søkebasen.

11. Søkefilter

1. Bekreft riktig søkefilter som brukerne skal bruke:

dn:CN=user1,CN=Users,DC=marketing,DC=example,DC=com
userPrincipalName: user1@marketing.example.com
memberOf: CN=marketing,CN=Users,DC=example,DC=com

dn: uid=ldapuser1,ou=People,dc=example,dc=com
uid: ldapuser1
cn: ldapuser1
sn: ldapuser1

12. Skogoppsett for flere domener.

En flerdomeneskog er der det er domener som er koblet til hverandre, for eksempel et overordnet og underordnet domene.

Overordnet eksempel: dell.com
Barn domener eksempel: amer.dell.com, emea.dell.com, apac.dell.com

1) En gruppe kan være i et av domenene, og noen av brukerne kan være i andre domener.
2) Normalt er ikke domenene synlige for hverandre, men det overordnede domenet kan se alle underordnede domener, og bruk derfor det overordnede domenet som primærdomene for autentiseringsleverandøren når du konfigurerer en skogstilkobling med flere domener. 

Trinn som er forskjellige:
A) Navngi domenet etter det overordnede domenet.
B) Oppgi alle domener av interesse i domeneboksen til autentiseringsleverandøren.
C) Hvis godkjenningsleverandøren støtter en skog med flere domener, må du bruke den globale katalogserver-IP-en og alltid angi portnummeret. Standardporter: LDAP: 3268, LDAPS: 3269
D) Sett søkebasen til roten til det overordnede domenet.
E) Vær oppmerksom på at navnet på godkjenningsleverandøren vil være den primære identifikatoren for bruken av domenebrukeren. I dette eksempelet kan du legge til brukere eller grupper som for eksempel: group1@dell.com, ikke et underdomene som group1@amer.dell.com
Se delen Administrasjon og objektbrukere konfigurert.

 
 

Seksjon 2: Administrasjon og objekt Brukere satt opp 

1. Legg til gruppen som administrasjonsbruker, og velg de riktige rollene:

2. Test påloggingen med den andre brukeren i gruppen.

Seksjon 3: AD- eller LDAP-brukere som objektbrukere oppsett
Det er nyttig å opprette en administrasjonsbruker for å teste tilkoblingen til AD eller LDAP, og bør gjøres før du oppretter en objektbruker.

Se administrasjonsveiledningen OG datatilgangsveiledningen.

1. Legge til domenebrukere i et navneområde for objektbrukerbruk:

Du må legge til (tilordne) domenebrukere i et navneområde hvis du vil at disse brukerne skal utføre ECS-objektbrukeroperasjoner. For å få tilgang til ECS-objektlageret må objektbrukere og navneområdeadministratorer være tilordnet et navneområde. Du kan legge til et helt domene med brukere i et navneområde, eller du kan legge til et delsett av domenebrukerne i et navneområde ved å angi en bestemt gruppe eller attributt som er knyttet til domenet.

Et domene kan gi brukere for flere navneområder. Du kan for eksempel bestemme deg for å legge til brukere som kontoavdelingen i "yourco.com"-domenet i navneområde1, og brukere som økonomiavdelingen i "yourco.com"-domenet i navneområde2. I dette tilfellet gir "yourco.com"-domenet brukere for to navneområder.

Et helt domene, et bestemt sett med brukere eller en bestemt bruker kan ikke legges til i mer enn ett navneområde. Domenet "yourco.com" kan for eksempel legges til i navneområde1, men domenet kan ikke også legges til i navneområde2.

Følgende eksempel viser at en administrator for system eller navneområde har lagt til et delsett av brukere i "yourco.com"-domenet i et navneområde. brukerne som har sitt Department-attributt = Kontoer i Active Directory. System- eller navneområdeadministratoren har lagt til brukerne i kontoavdelingen fra dette domenet i et navneområde ved hjelp av navneområdet Rediger i ECS-portalen.

Figur 1. Legge til et delsett av domenebrukere i et navneområde ved hjelp av ett AD-attributt
Domeneobjektbrukere valgt under "domain"-valget vil være ikke-admin objektbrukere med tilgangsrettigheter til sine egne opprettet samlinger bare.

 
Attributter er et delsettalternativ som kan fjernes ved å klikke på "X".
Delsettet Attributter må samsvare med domenebrukernes attributter på AD-serveren.

Eksemplet nedenfor viser et annet eksempel der System- eller navneområdeadministratoren bruker mer detaljert når han legger til brukere i et navneområde. I dette tilfellet har system- eller navneområdeadministratoren lagt til medlemmene i "yourco.com"-domenet som tilhører gruppen Lagringsadministratorer med avdelingsattributtet = Kontoer OG områdeattributt = Stillehavsregionen, ELLER tilhører gruppen Lagringsadministratorer med Avdeling-attributtet = Økonomi.

Figur 2. Legge til et delsett av domenebrukere i et navneområde ved hjelp av flere AD-attributter

2. Domenebruker for å opprette en hemmelig nøkkel i henhold til ECS-datatilgangsveiledningen

user@device:~$ curl -ik -u TestUser@TestDomain.com https://10.xxx.xxx.xxx:4443/login
Enter host password for user 'TestUser@TestDomain.com':
HTTP/1.1 200 OK
Date: Thu, 09 Apr 2020 14:30:04 GMT
Content-Type: application/xml
Content-Length: 106
Connection: keep-alive
X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=
X-SDS-AUTH-USERNAME: TestUser@TestDomain.com
X-SDS-AUTH-MAX-AGE: 28800

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><loggedIn><user>TestUser@TestDomain.com</user></loggedIn>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_keys>
  <secret_key_1/>
  <secret_key_1_exist>false</secret_key_1_exist>
  <secret_key_2/>
  <secret_key_2_exist>false</secret_key_2_exist>
  <key_timestamp_1/>
  <key_timestamp_2/>
</user_secret_keys>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" -H "Content-Type:application/json" -X POST -d "{}" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_key>
  <link rel="self" href="/object/user-secret-keys/TestUser@TestDomain.com"/>
  <secret_key>6C7fW_Secret_Key_COl38yzAHIRorJ3oiK</secret_key>
  <key_expiry_timestamp/>
  <key_timestamp>2020-04-09 14:44:27.431</key_timestamp>
</user_secret_key>

Feil ved brukerpålogging:

"Access is denied due to invalid or expired credentials."

 
 

Eksempel fra 3.4 ECS-brukergrensesnittet:

 
    

1. Bruker eller passord er feil.
2. Finner ikke brukeren, og brukeren som ikke blir funnet, kan skyldes feil søkebase i godkjenningsleverandøren for denne brukeren.
3. Det kan ta noen minutter før endringer i en ECS-godkjenningsleverandør trer i kraft, og den korrigerte godkjenningsleverandøren oppdaterer fortsatt tilkoblingen til AD eller LDAP.
4. Bruker-AD-parameteren «Brukeren må endre passord ved neste pålogging» er aktiv for denne brukeren. Vær oppmerksom på at ECS ikke kan endre domenebrukernes passord på AD- eller LDAP-serveren, derfor forårsaker dette en feil, siden AD- eller LDAP-serveren prøver å fremtvinge parameteren. Du kan enten endre passordet for et annet program, eller fjerne avmerkingsboksen for parametere. Det anbefales også å være på 3.6.2.0 eller høyere for dette problemet, da ECS da vil spørre brukere om AD-serverforespørselen til "User must change password at next login."
5. sAMAccountName-typebrukeren mangler riktig domeneverdi som er username@domain.
6. Du kan ha angitt søkebasen til:

"Error 1008 (http:400): invalid parameter"

 
"Connection to the LDAP server succeeded, but the Manager DN CN=Users,DC=CAS,DC=EMC,DC=com or its password failed to authenticate"
 

1. Er satt til nøyaktig riktig brukerplassering, CN=Administrator,CN=Brukere,DC=CAS,DC=EMC,DC=com ikke CN=Brukere,DC=CAS,DC=EMC,DC=com 
2. Passordet er riktig.
3. Brukeren har den nødvendige autorisasjonen til å være Manager DN-bruker.  

command type REQUEST_AUTHPROVIDER_CREATE failed with error code ERROR_RG_NOT_FOUND and message 'replication group urn:storageos:ReplicationGroupInfo:00000000-0000-0000-0000-000000000000:global not found'

Hvis en bruker har endret LDAP-tjeneren, mens FQDN for den nye LDAP-tjeneren samsvarer med FQDN for den gamle LDAP-tjeneren.

Det gjeldende LDAP SSL-sertifikatet kan peke til den gamle LDAP-tjeneren, derfor må LDAP SSL-sertifikatet erstattes med et oppdatert LDAP SSL-sertifikat.

Mulig feilmelding:

 

Se gjennom at sertifikatet er utstedt, og kontroller at FQDN samsvarer nøyaktig med URL-adressen som brukes i ECS-grensesnittet. Du kan også se gjennom samsvarene med emnealternative navn nøyaktig fra sertifikatet:

Kommando:

sudo openssl s_client -connect :636 < /dev/null | openssl x509 -noout -text | grep DNS:

Eksempel:

node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636 < /dev/null| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS1.LOCAL


node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS.LOCAL

 
Se gjennom LDAPS-sertifikatet ditt om ECS-treff. Hvis ikke, kan det hende at et nytt, korrekt sertifikat kreves for ECS. 

En bruker kan vurdere å åpne en SR med ECS-støtte for å få hjelp, hvis det er tilfelle.

---

 

1. Er feltet Godkjenningsleverandør riktig fylt ut av brukeren?
2. Er administrasjonsbrukeren opprettet?
3. Er testbrukeren og passordet angitt riktig ved ECS-påloggingen?
4. Kan de logge på med en annen bruker fra et domene?
5. Er dette første gang AD eller LDAP konfigureres på ECS?
6. Hvis det ikke er en ny AD eller LDAP konfigurert på ECS, har de noen gang vært i stand til å logge på med denne legitimasjonen? Hvis ja, identifiser om det var noen endringer som ville påvirke autorisasjonen?