ECS: Konfigurowanie połączenia z serwerem AD lub LDAP w interfejsie użytkownika

Potwierdź DOKŁADNE informacje AD lub LDAP, które mają zostać użyte.

Może się zdarzyć, że wartości wprowadzone do ECS (patrz poniżej) nie są zgodne ze szczegółami na serwerze AD lub LDAP, co może spowodować wygenerowanie błędu nieprawidłowych poświadczeń dla prób logowania użytkownika domeny.

Wyświetl i upewnij się, że wartości na serwerze AD lub LDAP są prawidłowe.

Zapoznaj się z sekcją podręcznika administratora ECS dotyczącą dostawców uwierzytelniania i "Dodawanie dostawcy uwierzytelniania AD lub LDAP".

Sekcja 1)
Wymagane jest poprawneskonfigurowanie dostawcy uwierzytelniania.
Dostawca uwierzytelniania to miejsce, w którym zdefiniowano połączenie ECS z serwerem AD lub LDAP.

Sekcja 2 i 3)
Usługę ECS można skonfigurować tak, aby używali użytkowników AD lub LDAP jako użytkowników obiektowych lub jako użytkowników zarządzania w celu logowania się do interfejsu użytkownika ECS.

Podczas konfigurowania lub rozwiązywania problemów zacznij od zminimalizowania złożoności możliwych problemów i postępuj w kilku krokach.

1. Przejdź do dostawcy uwierzytelniania interfejsu użytkownika > ECS i skonfiguruj dostawcę uwierzytelniania na jednym serwerze AD lub LDAP z jednym adresem URL serwera. Ma to na celu zminimalizowanie złożoności.
   1. Jeśli to możliwe, w polu Adres URL serwera spróbuj użyć protokołu LDAP zamiast LDAPS do celów testowych. Jeśli protokół LDAP nie działa, nie działa również protokół LDAPS. 
   2. Mieć prawidłową nazwę wyróżniającą menedżera.
   3. Ustaw bazę wyszukiwania w dokładnym folderze użytkowników, a nie w dużej bazie wyszukiwania, ma to na celu zdyskontowanie przekroczenia wartości limitu czasu LDAP.
   4. Jako filtr wyszukiwania wybierz prawidłowy typ. Atrybuty użytkowników na serwerze AD lub LDAP będą pokazywać, którego należy użyć. Zobacz poniżej. Możliwe opcje filtra wyszukiwania: sAMAccountName=%U, userPrincipalName=%u, uid=%U
   5. Uwaga: częstym pytaniem jest to, jakiego typu dostawcy uwierzytelniania użyć; AD, Keystone czy LDAP? Porada jest taka, że jeśli serwer jest Windows Active Directory, użyj typu AD. Jeśli serwer to Linux openLDAP, użyj typu LDAP. Jeśli serwer jest Keystone, użyj Keystone. 
2. Dodaj użytkownika testowego jako użytkownika zarządzania domeną i przetestuj logowanie.
   1. Dodaj użytkownika testowego w ECS UI>>users management user> add
   2. Prawidłowy format to username@domainname, ECS używa symbolu @ do wykrywania, że powinien szukać użytkownika domeny zgodnie z definicją dostawcy uwierzytelniania.
   3. Należy dodać użytkowników do listy użytkowników, aby zdefiniować ich uprawnienia w ECS, czyli uprawnienia administratora lub monitora.
3. Przetestuj logowanie użytkownika.
   1. Jeśli logowanie użytkownika domeny się nie powiedzie, sprawdź i rozwiąż problem  
      1. Jeśli się powiedzie, zmień bazę wyszukiwania na główną bazę wyszukiwania, której chcą użytkownicy, czyli lokalizację główną,
         1. Jeśli to się nie powiedzie, jedyną zmianą między pomyślnym a nieudanym logowaniem jest zmiana bazy wyszukiwania, patrz artykuł bazy wiedzy ECS: Sporadyczny błąd logowania się użytkowników domeny wynikający z przekroczenia wartości limitu czasu AD/LDAP
         2. Jeśli się powiedzie, będzie można teraz przetestować grupy domen.
   2. Jeśli użytkownik może się zalogować, może również użyć grupy użytkowników.
      1. Upewnij się, że grupa i jej użytkownicy znajdują się w zakresie podstawowym wyszukiwania.
      2. Najlepiej przetestować użytkownika testowego, takiego jak powyżej, aby ustalić, czy połączenie działa.
      3. Usuń użytkownika testowego grupy z listy zarządzania ECS i zamiast tego dodaj grupę testową, do której należy użytkownik, do listy użytkowników zarządzania ECS. Podobnie jak w przypadku powyższych kroków, staramy się zminimalizować możliwe problemy z rozwiązywaniem problemów. Jedyna różnica polega na tym, że teraz ECS wie o grupie, a nie o bezpośrednim użytkowniku.
      4. Zapoznaj się z artykułem bazy wiedzy (aby uzyskać dostęp do artykułu, wymagane jest zalogowanie się do konta pomocy technicznej firmy Dell). Oznacza to, że jeśli chcesz korzystać z grup, musisz znać ten artykuł merytoryczny.
4. Gdy użytkownik lub grupa zarządzająca może się zalogować, warto to wiedzieć, ponieważ łatwiej jest rozwiązać problemy z konfiguracją użytkownika zarządzającego domeną niż z konfiguracją użytkownika obiektu domeny, dlatego dobrze jest przetestować.
   1.  Jeśli użytkownik chce następnie użyć obiektu domeny i może udowodnić sobie, że ci sami użytkownicy domeny działają jako użytkownik zarządzający interfejsem użytkownika, warto to wiedzieć, ponieważ jeśli użytkownik może pracować jako użytkownik zarządzający interfejsem użytkownika, powinien pracować jako użytkownik obiektu.
5. W przypadku certyfikatów LDAP (LDAP przez SSL lub TLS) zapoznaj się z podręcznikiem administratora i artykułem bazy wiedzy ECS: Konfigurowanie i akceptowanie wszystkich certyfikatów przez LDAPS w ECS
   1. Przed przystąpieniem do konfiguracji LDAPS zaleca się sprawdzenie, czy połączenia LDAP działają, a użytkownicy mogą logować się za pomocą protokołu LDAP.
   2. Uwaga: może być wymagany prawidłowy i kompletny łańcuch certyfikatów.
   3. W przypadku korzystania z protokołu LDAPS adresy URL serwerów u dostawcy uwierzytelniania muszą być w formacie nazwy FQDN, a nie w adresie IP, aby były zgodne z certyfikatami LDAPS, które będą zawierać nazwę FQDN serwerów LDAP zamiast adresu IP.   
       

Celem wymienionych kroków jest pominięcie możliwych problemów poprzez uproszczenie problemów do kroków do sprawdzenia.

Sekcja 1: Dostawca
uwierzytelnianiaWszystkie instrukcje można znaleźć w podręczniku administratora ECS.

Dostawców uwierzytelniania można dodać do ECS, jeśli chcesz, aby użytkownicy byli uwierzytelniani przez systemy zewnętrzne względem ECS.

Dostawca uwierzytelniania to system zewnętrzny w stosunku do usługi ECS, który może uwierzytelniać użytkowników w imieniu usługi ECS.

ECS przechowuje informacje, które umożliwiają mu połączenie się z dostawcą uwierzytelniania, dzięki czemu ECS może zażądać uwierzytelnienia użytkownika.

W ECS dostępne są następujące typy dostawców uwierzytelniania:

• Uwierzytelnianie za pomocą usługi Active Directory (AD) lub LDAP (Lightweight Directory Access Protocol): Służy do uwierzytelniania użytkowników domeny przypisanych do ról zarządzania w ECS.
• Podstawa: Służy do uwierzytelniania użytkowników obiektów OpenStack Swift.

1. Utwórz użytkownika lub grupę w usłudze AD zawierającą określonych użytkowników, którzy muszą zalogować się do ECS:

1. Nawigacja: Zarządzać >Uwierzytelnianie

2.  Wprowadź pole Nazwa i opis i wybierz prawidłowy typ serwera:

 
Uwaga: W przypadku próby zapisania nieprawidłowego typu może zostać wyświetlony komunikat o błędzie.

3. Wprowadź domeny, które mają być używane.

4. Adres URL serwera AD lub LDAP:

ldap://<Domain controller IP>:<port> Or ldaps://<Domain controller IP>:<port>

5. Zmiana lub aktualizacja nazwy wyróżniającej menedżera.

 
Na przykład: Nazwa wyróżniająca menedżera: CN=Administrator,CN=Users,DC=nas2008test,DC=com
Musi to być prawidłowa lokalizacja nazwy wyróżniającej użytkownika menedżera na serwerze AD lub LDAP.

Nazwa wyróżniająca menedżera:
Jest to konto użytkownika powiązania usługi Active Directory, którego ECS używa do łączenia się z serwerem Active Directory lub LDAP. To konto służy do wyszukiwania w usłudze Active Directory, gdy administrator ECS określi użytkownika do przypisania roli.

To konto użytkownika musi mieć opcję "Read all inetOrgPerson information" w usłudze Active Directory. Klasa obiektów InetOrgPerson jest używana w kilku usługach katalogowych firm innych niż Microsoft, LDAP i X.500 do reprezentowania osób w organizacji.

6. Opcja Dostawcy

7. Ustawianie atrybutów grupy:

8. Aktualizowanie lub zmiana białej listy grup

9. Aktualizowanie lub zmienianie zakresu wyszukiwania

10. Aktualizacja lub zmiana bazy wyszukiwania.

11. Filtr wyszukiwania

1. Potwierdź prawidłowy filtr wyszukiwania, którego mają używać użytkownicy:

dn:CN=user1,CN=Users,DC=marketing,DC=example,DC=com
userPrincipalName: user1@marketing.example.com
memberOf: CN=marketing,CN=Users,DC=example,DC=com

dn: uid=ldapuser1,ou=People,dc=example,dc=com
uid: ldapuser1
cn: ldapuser1
sn: ldapuser1

12. Konfiguracja lasu wielodomenowego.

Las wielodomenowy to miejsce, w którym istnieją połączone ze sobą domeny, na przykład domeny nadrzędne i podrzędne.

Przykład nadrzędny: dell.com
domeny podrzędne, np.: amer.dell.com, emea.dell.com, apac.dell.com

1) Grupa może znajdować się w jednej z domen, a niektórzy jej użytkownicy mogą znajdować się w innych domenach.
2) Zwykle domeny nie są widoczne dla siebie nawzajem, ale domena nadrzędna widzi wszystkie domeny podrzędne, dlatego podczas konfigurowania połączenia z lasem wielodomenowym należy użyć domeny nadrzędnej jako domeny podstawowej dla dostawcy uwierzytelniania. 

Kroki, które są różne:
A) Nazwij domenę po domenie nadrzędnej.
B) Wymień wszystkie interesujące Cię domeny w polu Domeny dostawcy uwierzytelniania.
C) Jeśli dostawca uwierzytelniania obsługuje las wielodomenowy, należy zawsze używać adresu IP serwera wykazu globalnego i zawsze określać numer portu. Domyślne porty: LDAP: 3268, LDAPS: 3269
D) Ustaw bazę wyszukiwania na katalog główny domeny nadrzędnej.
E) Uwaga: nazwa dostawcy uwierzytelniania będzie podstawowym identyfikatorem użycia przez użytkownika domeny. Oznacza to, że w tym przykładzie dodaj użytkowników lub grupy, takie jak na przykład: group1@dell.com, a nie subdomena, taka jak group1@amer.dell.com
Zapoznaj się z sekcją Zarządzanie i obiekt Konfiguracja użytkowników.

 
 

Sekcja 2: Zarządzanie i konfiguracja użytkowników obiektów 

1. Dodaj grupę jako użytkownika zarządzającego i wybierz odpowiednie role:

2. Przetestuj logowanie z innym użytkownikiem w grupie.

Sekcja 3: Użytkownicy AD lub LDAP jako użytkownicy
obiektówUtworzenie użytkownika zarządzania jest przydatne do testowania połączenia z AD lub LDAP i powinno być wykonane przed utworzeniem użytkownika obiektu.

Zapoznaj się z podręcznikiem administratora ORAZ przewodnikiem dotyczącym dostępu do danych.

1. Dodawanie użytkowników domeny do przestrzeni nazw do użytku przez użytkowników obiektów:

Aby użytkownicy ci mogli wykonywać operacje na użytkownikach obiektów ECS, należy dodać (przypisać) ich do przestrzeni nazw. Aby uzyskać dostęp do magazynu obiektów ECS, użytkownicy obiektów i administratorzy przestrzeni nazw muszą być przypisani do przestrzeni nazw. Do obszaru nazw można dodać całą domenę użytkowników lub podzbiór użytkowników domeny do obszaru nazw, określając określoną grupę lub atrybut skojarzony z domeną.

Domena może udostępniać użytkowników dla wielu obszarów nazw. Można na przykład zdecydować się na dodanie użytkowników, takich jak dział księgowości w domenie "yourco.com", do obszaru nazw1, a użytkowników, takich jak dział finansów, w domenie "yourco.com", do obszaru nazw2. W takim przypadku domena "yourco.com" udostępnia użytkowników dla dwóch przestrzeni nazw.

Całej domeny, określonego zestawu użytkowników lub określonego użytkownika nie można dodać do więcej niż jednego obszaru nazw. Na przykład domenę "yourco.com" można dodać do obszaru nazw1, ale nie można jej również dodać do obszaru nazw2.

W poniższym przykładzie pokazano, że administrator systemu lub przestrzeni nazw dodał do przestrzeni nazw podzbiór użytkowników w domenie "yourco.com". użytkownicy, którzy mają atrybut działu = konta w usłudze Active Directory. Administrator systemu lub obszaru nazw dodał użytkowników z działu Konta z tej domeny do obszaru nazw za pomocą opcji Edytuj obszar nazw w portalu ECS.

Rysunek 1. Dodanie podzbioru użytkowników domeny do obszaru nazw przy użyciu jednego atrybutu
użytkownika obiektu domeny usługi AD wybranych w obszarze "domena" będzie użytkownikiem obiektów bez uprawnień administratora z prawami dostępu tylko do własnych zasobników.

 
Atrybuty są opcją podzbioru, którą można usunąć, klikając "X".
Podzbiór Atrybuty musi być zgodny z atrybutami użytkowników domeny na serwerze AD.

W poniższym przykładzie przedstawiono inny przykład, w którym administrator systemu lub przestrzeni nazw używa większej szczegółowości przy dodawaniu użytkowników do przestrzeni nazw. W takim przypadku administrator systemu lub przestrzeni nazw dodał członków w domenie "yourco.com", którzy należą do grupy Administratorzy systemu pamięci masowej z atrybutem Dział = Konta ORAZ Region = Pacyfik lub należą do grupy Administratorzy systemu pamięci masowej z atrybutem Dział = Finanse.

Rysunek 2. Dodawanie podzbioru użytkowników domeny do obszaru nazw przy użyciu wielu atrybutów usługi AD

2. Użytkownik domeny tworzy tajny klucz zgodnie z przewodnikiem ECS Data Access Guide

user@device:~$ curl -ik -u TestUser@TestDomain.com https://10.xxx.xxx.xxx:4443/login
Enter host password for user 'TestUser@TestDomain.com':
HTTP/1.1 200 OK
Date: Thu, 09 Apr 2020 14:30:04 GMT
Content-Type: application/xml
Content-Length: 106
Connection: keep-alive
X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=
X-SDS-AUTH-USERNAME: TestUser@TestDomain.com
X-SDS-AUTH-MAX-AGE: 28800

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><loggedIn><user>TestUser@TestDomain.com</user></loggedIn>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_keys>
  <secret_key_1/>
  <secret_key_1_exist>false</secret_key_1_exist>
  <secret_key_2/>
  <secret_key_2_exist>false</secret_key_2_exist>
  <key_timestamp_1/>
  <key_timestamp_2/>
</user_secret_keys>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" -H "Content-Type:application/json" -X POST -d "{}" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_key>
  <link rel="self" href="/object/user-secret-keys/TestUser@TestDomain.com"/>
  <secret_key>6C7fW_Secret_Key_COl38yzAHIRorJ3oiK</secret_key>
  <key_expiry_timestamp/>
  <key_timestamp>2020-04-09 14:44:27.431</key_timestamp>
</user_secret_key>

Błąd logowania użytkownika:

"Access is denied due to invalid or expired credentials."

 
 

Przykład z interfejsu użytkownika ECS 3.4:

 
    

1. Użytkownik lub hasło są nieprawidłowe.
2. Nie znaleziono użytkownika lub nie znaleziono użytkownika może być spowodowane nieprawidłową bazą wyszukiwania w dostawcy uwierzytelniania dla tego użytkownika.
3. Wprowadzenie zmian dostawcy uwierzytelniania ECS może potrwać kilka minut, a poprawiony dostawca uwierzytelniania nadal aktualizuje połączenie z usługą AD lub LDAP.
4. Parametr użytkownika AD "Użytkownik musi zmienić hasło przy następnym logowaniu" jest aktywny dla tego użytkownika. Uwaga: ECS nie może zmienić hasła użytkowników domeny na serwerze AD lub LDAP, dlatego powoduje to błąd, ponieważ serwer AD lub LDAP próbuje wymusić ten parametr. Zmień hasło w innej aplikacji lub wyczyść pole wyboru parametru. W przypadku tego problemu zaleca się również korzystanie z wersji 3.6.2.0 lub nowszej, ponieważ ECS będzie wtedy monitować użytkowników o żądanie serwera AD do "User must change password at next login."
5. Użytkownik typu sAMAccountName nie ma poprawnej wartości domeny, która jest username@domain.
6. Być może podstawa wyszukiwania została ustawiona na:

"Error 1008 (http:400): invalid parameter"

 
"Connection to the LDAP server succeeded, but the Manager DN CN=Users,DC=CAS,DC=EMC,DC=com or its password failed to authenticate"
 

1. Jest ustawiona na dokładną prawidłową lokalizację użytkownika, CN=Administrator,CN=Users,DC=CAS,DC=EMC,DC=com not CN=Users,DC=CAS,DC=EMC,DC=com 
2. Hasło jest poprawne.
3. Użytkownik ma wymagane uprawnienia, aby być użytkownikiem wyróżniającym menedżera.  

command type REQUEST_AUTHPROVIDER_CREATE failed with error code ERROR_RG_NOT_FOUND and message 'replication group urn:storageos:ReplicationGroupInfo:00000000-0000-0000-0000-000000000000:global not found'

Jeśli użytkownik zmienił serwer LDAP, a nazwa FQDN nowego serwera LDAP jest zgodna z nazwą FQDN starego serwera LDAP.

Bieżący certyfikat SSL LDAP może wskazywać na stary serwer LDAP, dlatego certyfikat SSL LDAP należy zastąpić zaktualizowanym certyfikatem SSL LDAP.

Możliwy komunikat o błędzie:

 

Sprawdź, czy wystawiony certyfikat i upewnij się, że nazwa FQDN jest dokładnie zgodna z adresem URL używanym w interfejsie użytkownika ECS. Alternatywnie sprawdź dopasowania alternatywnych nazw podmiotów dokładnie z certificate:

Command:

sudo openssl s_client -connect :636 < /dev/null | openssl x509 -noout -text | grep DNS:

Przykład:

node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636 < /dev/null| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS1.LOCAL


node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS.LOCAL

 
Sprawdź certyfikat LDAPS pod kątem zgodności z ECS. Jeśli nie, może to oznaczać, że dla ECS wymagany będzie nowy, prawidłowy certyfikat. 

W takim przypadku użytkownik może rozważyć otwarcie zgłoszenia serwisowego z pomocą techniczną ECS.

---

 

1. Czy pole Dostawca uwierzytelniania zostało poprawnie wypełnione przez użytkownika?
2. Czy użytkownik zarządzający został utworzony?
3. Czy użytkownik testowy i hasło zostały wprowadzone poprawnie w logowaniu ECS?
4. Czy mogą logować się za pomocą innych użytkowników z domeny?
5. Czy to pierwsza konfiguracja AD lub LDAP w ECS?
6. Jeśli nie jest to nowy AD lub LDAP skonfigurowany w ECS, czy kiedykolwiek był w stanie zalogować się przy użyciu tych poświadczeń? Jeśli tak, określ, czy nastąpiły jakieś zmiany, które miałyby wpływ na autoryzację?