ECS: Como configurar uma conexão de servidor AD ou LDAP na interface do usuário do

Confirme as informações exatas do AD ou LDAP a serem usadas.

Pode ocorrer que os valores inseridos no ECS (veja abaixo) não correspondam aos detalhes no servidor AD ou LDAP, e isso pode gerar uma saída de erro de credenciais inválida para as tentativas de log-in do usuário do domínio.

Visualize e verifique os valores no servidor AD ou LDAP.

Leia a seção do Guia do administrador do ECS sobre provedores de autenticação e "Adicionar um provedor de autenticação AD ou LDAP".

Seção 1)
É obrigatório ter o provedor de autenticação configuradocorretamente.
O provedor de autenticação é onde a conexão do ECS com o servidor AD ou LDAP é definida.

Secções 2 e 3)
O ECS pode ser configurado para usar os usuários do AD ou LDAP como usuários de objeto ou como usuários de gerenciamento para fazer log-in na interface do usuário do ECS.

Na configuração ou solução de problemas, comece minimizando a complexidade dos possíveis problemas e prossiga em várias etapas.

1. Vá para o provedor de autenticação da interface do usuário > do ECS e configure um provedor de autenticação para um servidor AD ou LDAP com uma URL de servidor. Isso é para minimizar a complexidade.
   1. Na caixa URL do servidor, tente usar LDAP em vez de LDAPS para teste, se possível. Como se o LDAP não funcionasse, o LDAPS também não. 
   2. Tenha um DN de gerenciador correto.
   3. Defina a base de pesquisa em uma pasta de usuários exata, não em uma base de pesquisa grande, isso é para descontar o valor de tempo limite do LDAP que está sendo excedido.
   4. Como um filtro de pesquisa, selecione o tipo correto, os atributos de usuários no servidor AD ou LDAP mostrariam quais usar. Veja abaixo. Possíveis opções de filtro de pesquisa: sAMAccountName=%U, userPrincipalName=%u, uid=%U
   5. Observe que uma pergunta comum é qual tipo de provedor de autenticação usar; AD, Keystone ou LDAP? O conselho é que, se o servidor for um Active Directory do Windows, use o tipo AD. Se o servidor for um Linux openLDAP, use o tipo LDAP. Se o servidor for um Keystone, use Keystone. 
2. Adicione o usuário de teste como um usuário de gerenciamento de domínio e teste o login.
   1. Adicionar o usuário de teste à adição de usuário de gerenciamento>de usuários> da interface do usuário > do ECS
   2. O formato correto seria username@domainname. O ECS usa o símbolo @ para detectar que deve procurar um usuário de domínio, conforme definido no provedor de autenticação.
   3. Você deve adicionar usuários à lista de usuários para definir seus direitos no ECS, ou seja, ter privilégios de usuário admin ou monitor.
3. Teste o login do usuário.
   1. Se não for bem-sucedido o log-in do usuário do domínio, examine e solucione o problema  
      1. Se for bem-sucedido, altere a base de pesquisa para a base de pesquisa principal que os usuários desejam, que é o local raiz,
         1. Se isso falhar, a única alteração entre um log-in bem-sucedido e o malsucedido será uma alteração na base de pesquisa. Consulte o artigo de conhecimento ECS: Falha de login intermitente dos usuários do domínio devido ao valor de tempo de espera excedido do AD/LDAP
         2. Se for bem-sucedido, os grupos de domínio podem ser testados.
   2. Se um usuário puder fazer log-in, um grupo de usuários também poderá ser usado.
      1. Certifique-se de que o grupo e os usuários do grupo necessário estejam dentro do escopo da base de pesquisa.
      2. É melhor testar um usuário de teste como acima para determinar se a conexão está funcionando.
      3. Remova o usuário de teste do grupo da lista de gerenciamento do ECS e, em vez disso, adicione o grupo de teste ao qual o usuário pertence à lista de usuários de gerenciamento do ECS. Isso é como as etapas acima, estamos tentando minimizar possíveis soluções de problemas. A única diferença é que agora o ECS está ciente do grupo, e não do usuário direto.
      4. Esteja ciente do artigo de conhecimento (é necessário fazer login na conta de Suporte Dell para acessar o artigo). Ou seja, se você quiser usar grupos, você deve estar ciente deste artigo de conhecimento.
4. Com um usuário ou grupo de gerenciamento capaz de fazer login, isso é útil saber, pois é mais fácil solucionar problemas de configuração do usuário de gerenciamento de domínio do que configuração do usuário de objeto de domínio, portanto, é bom testar.
   1.  Se um usuário quiser usar o objeto de domínio e puder provar a si mesmo que os mesmos usuários de domínio funcionam como usuário de gerenciamento de interface do usuário, é útil saber, como se um usuário pudesse trabalhar como um usuário de gerenciamento de interface do usuário, então ele deveria trabalhar como um usuário de objeto.
5. Para certificados LDAPs (LDAP sobre SSL ou TLS), consulte o guia do administrador e o artigo de conhecimento ECS: Como configurar e aceitar todos os certificados do LDAPS no ECS
   1. É aconselhável confirmar se as conexões LDAP funcionam e se os usuários podem fazer log-in no LDAP antes de procurar no LDAPS de configuração.
   2. Observe que uma cadeia de certificados válida e completa pode ser necessária.
   3. Se estiver usando LDAPS, as urls do servidor no provedor de autenticação devem estar no formato FQDN em vez do endereço IP, para corresponder aos certificados LDAPS que listariam o FQDN dos servidores LDAP em vez do endereço IP.   
       

O objetivo das etapas listadas é descartar possíveis problemas, simplificando-os em etapas para verificação.

Secção 1: Provedor de
autenticaçãoConsulte o Guia do Administrador do ECS para obter todas as etapas.

Você pode adicionar provedores de autenticação ao ECS se quiser que os usuários sejam autenticados por sistemas externos ao ECS.

Um provedor de autenticação é um sistema externo ao ECS que pode autenticar usuários em nome do ECS.

O ECS armazena as informações que permitem que ele se conecte ao provedor de autenticação, para que possa solicitar a autenticação de um usuário.

No ECS, os seguintes tipos de provedores de autenticação estão disponíveis:

• Autenticação do Active Directory (AD) ou autenticação do protocolo LDAP (Lightweight Directory Access Protocol): Usado para autenticar usuários de domínio atribuídos a funções de gerenciamento no ECS.
• Pedra angular: Usado para autenticar usuários de objeto do OpenStack Swift.

1. Crie o usuário ou grupo no AD que contenha os usuários específicos que devem fazer log-in no ECS:

1. Navegação: Gerir >Autenticação

2.  Insira os campos Name e Description e selecione o tipo de servidor correto:

 
Nota: Uma mensagem de erro pode ocorrer se você tentar salvar um tipo incorreto.

3. Informe os domínios a serem usados.

4. URL do servidor AD ou LDAP:

ldap://<Domain controller IP>:<port> Or ldaps://<Domain controller IP>:<port>

5. Alterar ou atualizar o DN do gerenciador.

 
Por exemplo: DN do gerente: CN=Administrador,CN=Usuários,DC=nas2008test,DC=com
Deve ser o local correto do usuário do DN do gerenciador no servidor AD ou LDAP.

O DN do gerente:
Esta é a conta de usuário vinculada ao Active Directory que o ECS usa para se conectar ao Active Directory ou ao servidor LDAP. Essa conta é usada para pesquisar o Active Directory quando um administrador do ECS especifica um usuário para atribuição de função.

Essa conta de usuário deve ter "Read all inetOrgPerson information" no Active Directory. A classe de objeto InetOrgPerson é usada em vários serviços de diretório não-Microsoft, LDAP e X.500 para representar pessoas em uma organização.

6. Opção de provedores

7. Configuração de atributos do grupo:

8. Atualizando ou alterando a lista de permissões de grupo

9. Atualizando ou alterando o escopo da pesquisa

10. Atualizando ou alterando a base de pesquisa.

11. Filtro de pesquisa

1. Confirme o filtro de pesquisa correto que os usuários devem usar:

dn:CN=user1,CN=Users,DC=marketing,DC=example,DC=com
userPrincipalName: user1@marketing.example.com
memberOf: CN=marketing,CN=Users,DC=example,DC=com

dn: uid=ldapuser1,ou=People,dc=example,dc=com
uid: ldapuser1
cn: ldapuser1
sn: ldapuser1

12. Configuração de floresta de vários domínios.

Uma floresta Multidomínio é onde há domínios conectados entre si, por exemplo, um domínio principal e secundário.

Exemplo pai: dell.com
Exemplo de domínios filhos: amer.dell.com, emea.dell.com apac.dell.com

1) Um grupo pode estar em um dos domínios e alguns de seus usuários podem estar em outros domínios.
2) Normalmente, os domínios não são visíveis entre si, mas o domínio pai pode ver todos os domínios filhos, portanto, ao configurar uma conexão de floresta de vários domínios, use o domínio pai como o domínio primário para o provedor de autenticação. 

Etapas diferentes:
A) Nomeie o domínio após o domínio pai.
B) Liste todos os domínios de interesse na caixa de domínios do provedor de autenticação.
C) Se o provedor de autenticação for compatível com uma floresta de vários domínios, use o IP do servidor de catálogo global e sempre especifique o número da porta. Portas padrão: LDAP: 3268, LDAPS: 3269
D) Defina a base de pesquisa como a raiz do domínio pai.
E) Observe que o nome do provedor de autenticação seria o identificador principal para o uso do usuário do domínio. Isto é, para este exemplo, adicionar usuários ou grupos como, por exemplo: group1@dell.com, não um subdomínio como group1@amer.dell.com
Consulte a seção Gerenciamento e configuração de usuários de objeto.

 
 

Seção 2: Configuração dos usuários de gerenciamento e objeto 

1. Adicione o grupo como usuário de gerenciamento e escolha as funções certas:

2. Teste o login com o outro usuário do grupo.

Seção 3: Usuários do AD ou LDAP como configuração de usuários de
objetoA criação de um usuário de gerenciamento é útil para testar a conexão com o AD ou LDAP e deve ser feita antes da criação de um usuário de objeto.

Consulte o Guia do administrador E o guia de acesso aos dados.

1. Adicione usuários de domínio a um namespace para uso do usuário de objeto:

Você deve adicionar (atribuir) usuários de domínio a um namespace se quiser que esses usuários executem operações de usuário de objeto do ECS. Para acessar o armazenamento em object do ECS, os usuários de objeto e os administradores de namespace devem ser atribuídos a um namespace. Você pode adicionar um domínio inteiro de usuários a um namespace ou pode adicionar um subconjunto de usuários de domínio a um namespace especificando um determinado grupo ou atributo associado ao domínio.

Um domínio pode fornecer usuários para vários namespaces. Por exemplo, você pode decidir adicionar usuários como o departamento de contas no domínio "yourco.com" no namespace1 e usuários como o departamento financeiro no domínio "yourco.com" no namespace2. Nesse caso, o domínio "yourco.com" está fornecendo aos usuários dois namespaces.

Um domínio inteiro, um conjunto específico de usuários ou um usuário específico não pode ser adicionado a mais de um namespace. Por exemplo, o domínio "yourco.com" pode ser adicionado ao namespace1, mas o domínio também não pode ser adicionado ao namespace2.

O exemplo a seguir mostra que um administrador do sistema ou do namespace adicionou a um namespace um subconjunto de usuários no domínio "yourco.com"; os usuários que têm seu atributo Departamento = Contas no Active Directory. O Administrador do sistema ou do namespace adicionou os usuários do departamento de Contas deste domínio a um namespace usando o namespace Edit no Portal do ECS.

Gráfico 1. Adicionando um subconjunto de usuários de domínio a um namespace usando um atributo
do AD Os usuários de objeto de domínio selecionados na seleção de "domínio" seriam apenas usuários de objeto não administradores com direitos de acesso a seus próprios buckets criados.

 
Os atributos são uma opção de subconjunto que pode ser removida clicando em "X".
O subconjunto Atributos deve corresponder aos atributos de usuários de domínio no servidor AD.

O exemplo a seguir mostra um exemplo diferente em que o administrador do sistema ou namespace está usando mais granularidade ao adicionar usuários a um namespace. Nesse caso, o administrador do sistema ou do namespace adicionou os membros no domínio "yourco.com" que pertencem ao grupo Storage Admins com o atributo Department = Accounts And Region attribute = Pacific, OU pertencem ao grupo Storage Admins com o atributo Department = Finance.

Figura 2. Adicionando um subconjunto de usuários de domínio a um namespace usando vários atributos do AD

2. Usuário de domínio para criar uma chave secreta de acordo com o Guia de acesso a dados do ECS

user@device:~$ curl -ik -u TestUser@TestDomain.com https://10.xxx.xxx.xxx:4443/login
Enter host password for user 'TestUser@TestDomain.com':
HTTP/1.1 200 OK
Date: Thu, 09 Apr 2020 14:30:04 GMT
Content-Type: application/xml
Content-Length: 106
Connection: keep-alive
X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=
X-SDS-AUTH-USERNAME: TestUser@TestDomain.com
X-SDS-AUTH-MAX-AGE: 28800

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><loggedIn><user>TestUser@TestDomain.com</user></loggedIn>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_keys>
  <secret_key_1/>
  <secret_key_1_exist>false</secret_key_1_exist>
  <secret_key_2/>
  <secret_key_2_exist>false</secret_key_2_exist>
  <key_timestamp_1/>
  <key_timestamp_2/>
</user_secret_keys>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" -H "Content-Type:application/json" -X POST -d "{}" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_key>
  <link rel="self" href="/object/user-secret-keys/TestUser@TestDomain.com"/>
  <secret_key>6C7fW_Secret_Key_COl38yzAHIRorJ3oiK</secret_key>
  <key_expiry_timestamp/>
  <key_timestamp>2020-04-09 14:44:27.431</key_timestamp>
</user_secret_key>

Erro de login do usuário:

"Access is denied due to invalid or expired credentials."

 
 

Exemplo da interface do usuário do ECS 3.4:

 
    

1. Usuário ou senha incorreta.
2. Usuário não encontrado e usuário não encontrado pode ser devido a uma base de pesquisa incorreta no provedor de autenticação para esse usuário.
3. As alterações em um provedor de autenticação do ECS podem levar alguns minutos para entrar em vigor, e o provedor de autenticação corrigido ainda está atualizando a conexão com o AD ou LDAP.
4. O parâmetro do AD do usuário "O usuário deve alterar a senha no próximo log-in" está ativo para esse usuário. Observe que o ECS não pode alterar a senha dos usuários de domínio no servidor AD ou LDAP; portanto, isso causa um erro, pois o servidor AD ou LDAP tenta impor o parâmetro. Altere a senha em um aplicativo diferente ou desmarque a caixa de seleção do parâmetro. Também é recomendável estar na versão 3.6.2.0 ou superior para esse problema, pois o ECS solicitaria aos usuários sobre a solicitação do servidor AD para "User must change password at next login."
5. O usuário do tipo sAMAccountName não tem o valor correto de domínio username@domain.
6. Talvez você tenha definido a base de pesquisa como:

"Error 1008 (http:400): invalid parameter"

 
"Connection to the LDAP server succeeded, but the Manager DN CN=Users,DC=CAS,DC=EMC,DC=com or its password failed to authenticate"
 

1. É definido para a localização exata do usuário correto, CN=Administrator,CN=Users,DC=CAS,DC=EMC,DC=com not CN=Users,DC=CAS,DC=EMC,DC=com 
2. A senha está correta.
3. O usuário tem a autorização necessária para ser o usuário do DN do gerenciador.  

command type REQUEST_AUTHPROVIDER_CREATE failed with error code ERROR_RG_NOT_FOUND and message 'replication group urn:storageos:ReplicationGroupInfo:00000000-0000-0000-0000-000000000000:global not found'

Se um usuário alterou o servidor LDAP, enquanto o FQDN do novo servidor LDAP corresponde ao FQDN do servidor LDAP antigo.

O certificado SSL LDAP atual pode apontar para o servidor LDAP antigo, portanto, o certificado SSL LDAP deve ser substituído por um certificado SSL LDAP atualizado.

Possível mensagem de erro:

 

Analise se o certificado foi emitido e certifique-se de que o FQDN corresponda exatamente à URL usada na interface do usuário do ECS. Como alternativa, analise as correspondências dos nomes alternativos de assunto exatamente a partir do certificado:

Command:

sudo openssl s_client -connect :636 < /dev/null | openssl x509 -noout -text | grep DNS:

Exemplo:

node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636 < /dev/null| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS1.LOCAL


node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS.LOCAL

 
Analise seu certificado LDAPS nas correspondências do ECS. Caso contrário, pode ser que um novo certificado correto seja necessário para o ECS. 

Um usuário pode considerar a possibilidade de abrir uma SR com suporte do ECS para obter assistência, se esse for o caso.

---

 

1. O campo Provedor de autenticação foi preenchido corretamente pelo usuário?
2. O usuário de gerenciamento foi criado?
3. O usuário e a senha de teste foram digitados corretamente no log-in do ECS?
4. Eles conseguem fazer login com outro usuário a partir de um domínio?
5. Esta é a primeira vez que o AD ou LDAP é configurado no ECS?
6. Se não houver um novo AD ou LDAP configurado no ECS, eles já conseguiram fazer log-in com essas credenciais? Em caso afirmativo, identifique se houve alguma alteração que afetaria a autorização?