ECS: Kullanıcı Arayüzünde AD veya LDAP Sunucu Bağlantısı Kurma

Kullanılacak AD veya LDAP bilgilerinin TAM olduğunu doğrulayın.

ECS'ye girilen değerler (aşağıya bakın) AD veya LDAP sunucusundaki ayrıntılarla eşleşmeyebilir ve bu durum, etki alanı kullanıcısı oturum açma girişimleri için geçersiz kimlik bilgileri hatası çıktısı oluşturabilir.

AD veya LDAP sunucusundaki değerleri görüntüleyin ve sağlayın.

Kimlik Doğrulama Sağlayıcıları bölümündeki ECS Yönetici rehberi bölümünü ve "AD veya LDAP kimlik doğrulama sağlayıcısı ekleme"yi okuyun.

Bölüm 1)
Kimlik doğrulama sağlayıcısınındoğru şekilde ayarlanması zorunludur.
Kimlik doğrulama sağlayıcısı, AD veya LDAP sunucusuna ECS bağlantısının tanımlandığı yerdir.

Bölüm 2 ve 3)
ECS, AD veya LDAP kullanıcılarını ECS kullanıcı arayüzünde oturum açmak için nesne kullanıcıları veya yönetim kullanıcıları olarak kullanacak şekilde ayarlanabilir.

Kurulum veya sorun giderme sırasında, olası sorunların karmaşıklığını en aza indirerek başlayın ve birkaç adımda ilerleyin.

1. ECS Kullanıcı Arayüzü > Kimlik Doğrulama Sağlayıcısına gidin ve tek bir sunucu URL'si ile bir AD veya LDAP sunucusuna bir Kimlik Doğrulama Sağlayıcısı kurun. Bu, karmaşıklığı en aza indirmek içindir.
   1. Sunucu URL kutusunda, mümkünse test için LDAPS yerine LDAP kullanmayı deneyin. LDAP çalışmıyormuş gibi LDAPS de çalışmaz. 
   2. Doğru bir yönetici DN'sine sahip olun.
   3. Arama tabanını büyük bir arama tabanı yerine tam bir kullanıcılar klasörüne ayarlayın. Bu, LDAP zaman aşımı değerinin aşılmasını azaltmak içindir.
   4. Arama filtresi olarak doğru türü seçin. AD veya LDAP sunucusundaki kullanıcı öznitelikleri hangisinin kullanılacağını gösterir. Aşağıya bakınız. Olası arama filtresi seçenekleri: sAMAccountName=%U, userPrincipalName=%u, uid=%U
   5. Sık sorulan bir sorunun hangi Kimlik Doğrulama Sağlayıcısı türünün kullanılacağı olduğunu unutmayın; AD, Keystone veya LDAP? Tavsiye, sunucu bir Windows Active Directory ise, AD türünü kullanın. Sunucu bir Linux openLDAP ise LDAP türünü kullanın. Sunucu bir Keystone ise, Keystone'u kullanın. 
2. Test kullanıcısını etki alanı yönetim kullanıcısı olarak ekleyin ve oturum açma bilgilerini test edin.
   1. ECS kullanıcı arayüzü>kullanıcı >yönetimi kullanıcı>ekleme bölümüne test kullanıcısını ekleme
   2. Doğru biçim username@domainname olacaktır. ECS, Kimlik Doğrulama Sağlayıcısında tanımlanan şekilde bir etki alanı kullanıcısı araması gerektiğini algılamak için @ sembolünü kullanır.
   3. ECS'de yönetici veya izleme kullanıcısı ayrıcalıkları olan haklarını tanımlamak için kullanıcıları kullanıcı listesine eklemeniz gerekir.
3. Kullanıcı oturum açma işlemini test edin.
   1. Etki alanı kullanıcı oturumu başarısız olursa işlemi inceleyin ve sorun giderin  
      1. Başarılı olursa, arama tabanını kullanıcıların istediği ana arama tabanına, yani kök konumuna değiştirin,
         1. Ardından başarısız olursa başarılı oturum açma ile başarısız arasındaki tek değişiklik bir arama temeli değişikliğidir. ECS bilgi makalesine bakın: AD/LDAP zaman aşımı değerinin aşılması nedeniyle etki alanı kullanıcılarının aralıklı olarak başarısız giriş sorunuyla karşılaşması
         2. Başarılı olursa etki alanı grupları artık test edilebilir.
   2. Bir kullanıcı oturum açabiliyorsa, bir kullanıcı grubu da kullanılabilir.
      1. Grubun ve gerekli grubun kullanıcılarının arama tabanı kapsamında olduğundan emin olun.
      2. Bağlantının çalıştığını belirlemek için yukarıdaki gibi bir test kullanıcısını test etmek en iyisidir.
      3. Grubun test kullanıcısını ECS yönetim listesinden kaldırın ve bunun yerine kullanıcının ait olduğu test grubunu ECS yönetim kullanıcıları listesine ekleyin. Bu, yukarıdaki adımlarda olduğu gibi, olası sorun giderme işlemlerini en aza indirmeye çalışıyoruz. Tek fark, artık ECS'nin doğrudan kullanıcının değil grubun farkında olmasıdır.
      4. Bilgi bankası makalesine dikkat edin (Makaleye erişmek için Dell Destek hesabında oturum açmanız gerekir). Yani, grupları kullanmak istiyorsanız, bu bilgi makalesinden haberdar olmalısınız.
4. Oturum açabilen bir yönetim kullanıcısı veya grubuyla, etki alanı yönetimi kullanıcı kurulumuyla ilgili sorunları gidermek, etki alanı nesnesi kullanıcı kurulumundan daha kolay olduğundan bunu bilmek yararlı olur. Bu nedenle test etmek iyi olur.
   1.  Bir kullanıcı daha sonra etki alanı nesnesini kullanmak isterse ve aynı etki alanı kullanıcılarının kullanıcı arabirimi yönetim kullanıcısı olarak çalıştığını kanıtlayabilirse, bir kullanıcı kullanıcı arabirimi yönetim kullanıcısı olarak çalışabiliyorsa bunun bir nesne kullanıcısı olarak çalışması gerektiği gibi bunu bilmek yararlıdır.
5. LDAP'ler (SSL veya TLS üzerinden LDAP) sertifikaları için ECS yönetici kılavuzuna ve bilgi yazısına bakın: ECS'de LDAPS üzerinden tüm sertifikaları kurma ve kabul etme
   1. LDAPS kurulumuna bakmadan önce LDAP bağlantılarının çalıştığının ve kullanıcıların LDAP'de oturum açabildiğinin doğrulanması önerilir.
   2. Geçerli ve eksiksiz bir sertifika zincirinin gerekli olabileceğini unutmayın.
   3. LDAPS kullanılıyorsa, kimlik doğrulama sağlayıcısındaki sunucu URL'leri, IP adresi yerine LDAP sunucularının FQDN'sini listeleyen LDAPS sertifikalarıyla eşleşecek şekilde IP adresi yerine FQDN biçiminde olmalıdır.   
       

Listelenen adımların amacı, sorunları kontrol edilecek adımlara indirgeyerek olası sorunları göz ardı etmektir.

Bölüm 1: Kimlik Doğrulama Sağlayıcısı
Tüm adımlar için ECS Yönetici kılavuzuna bakın.

Kullanıcıların ECS dışındaki sistemler tarafından doğrulanmasını istiyorsanız ECS'ye kimlik doğrulama sağlayıcıları ekleyebilirsiniz.

Kimlik doğrulama sağlayıcısı, ECS adına kullanıcıların kimliğini doğrulayabilen, ECS harici bir sistemdir.

ECS, kullanıcı kimliğinin doğrulanmasını talep edebilmesi için ECS'nin kimlik doğrulama sağlayıcısına bağlanmasına olanak tanıyan bilgileri depolar.

ECS'de aşağıdaki kimlik doğrulama sağlayıcı türleri kullanılabilir:

• Active Directory (AD) kimlik doğrulaması veya Basit Dizin Erişim Protokolü (LDAP) kimlik doğrulaması: ECS'de yönetim rollerine atanan etki alanı kullanıcılarının kimliklerini doğrulamak için kullanılır.
• Keystone: OpenStack Swift nesnesi kullanıcılarının kimliklerini doğrulamak için kullanılır.

1. AD'de, ECS'de oturum açması gereken belirli kullanıcıları içeren kullanıcı veya grup oluşturun:

1. Şuraya gidin: Yönetmek >Kimlik doğrulama

2.  Name ve Description alanlarını doldurun ve doğru sunucu tipini seçin:

 
Not: Yanlış bir tür kaydedilmeye çalışılırsa bir hata mesajı oluşabilir.

3. Kullanılacak etki alanlarını girin.

4. AD veya LDAP sunucusu URL'si:

ldap://<Domain controller IP>:<port> Or ldaps://<Domain controller IP>:<port>

5. Müdür DN sini değiştirme veya güncelleme.

 
Örneğin: Müdür DN: CN=Administrator,CN=Users,DC=nas2008test,DC=com
AD veya LDAP sunucusunda Yönetici DN kullanıcısının doğru konumu olmalıdır.

Müdür DN:
Bu, ECS'nin Active Directory'ye veya LDAP sunucusuna bağlanmak için kullandığı Active Directory Bind kullanıcı hesabıdır. Bu hesap, ECS yöneticisi rol ataması için bir kullanıcı belirttiğinde Active Directory'de arama yapmak için kullanılır.

Bu kullanıcı hesabının Active Directory'de "Read all inetOrgPerson information" bilgisine sahip olması gerekir. InetOrgPerson nesne sınıfı, bir kuruluştaki kişileri temsil etmek için çeşitli Microsoft dışı, LDAP ve X.500 dizin hizmetlerinde kullanılır.

6. Sağlayıcı seçeneği

7. Grup özniteliklerini ayarlama:

8. Grup beyaz listesini güncelleme veya değiştirme

9. Arama kapsamını güncelleme veya değiştirme

10. Arama Tabanını güncelleme veya değiştirme.

11. Arama Filtresi

1. Kullanıcıların kullanacağı doğru arama filtresini onaylayın:

dn:CN=user1,CN=Users,DC=marketing,DC=example,DC=com
userPrincipalName: user1@marketing.example.com
memberOf: CN=marketing,CN=Users,DC=example,DC=com

dn: uid=ldapuser1,ou=People,dc=example,dc=com
uid: ldapuser1
cn: ldapuser1
sn: ldapuser1

12. Çok etki alanlı orman kurulumu.

Çok etki alanlı orman, Üst etki alanları ve alt etki alanları gibi birbirine bağlı etki alanlarının bulunduğu yerdir.

Üst örnek: dell.com
Alt alan adları örneği: amer.dell.com, emea.dell.com, apac.dell.com

1) Bir grup alanlardan birinde, kullanıcılarının bir kısmı ise diğer alanlarda olabilir.
2) Normalde etki alanları birbirine görünmez ancak üst etki alanı tüm alt etki alanlarını görebilir. Bu nedenle, çok etki alanlı bir orman bağlantısı kurarken üst etki alanını, kimlik doğrulama sağlayıcısı için birincil etki alanı olarak kullanın. 

Farklı adımlar:
A) Etki alanına, üst etki alanından sonra ad verin.
B) İlgilendiğiniz tüm etki alanlarını, kimlik doğrulama sağlayıcısının etki alanları kutusunda listeleyin.
C) Kimlik Doğrulama Sağlayıcı çok etki alanlı bir ormanı destekliyorsa genel katalog sunucusu IP'sini kullanın ve her zaman bağlantı noktası numarasını belirtin. Varsayılan bağlantı noktaları: LDAP: 3268, LDAPS: 3269
D) Arama tabanını üst etki alanının köküne ayarlayın.
E) Kimlik doğrulama sağlayıcısı adının, etki alanı kullanıcı kullanımı için birincil tanımlayıcı olacağını unutmayın. Yani, bu örnek için, örneğin: group1@dell.com gibi bir alt alan adı değil, kullanıcı veya grup ekleyin group1@amer.dell.com
Kullanıcıların ayarladığı Yönetim ve nesne bölümüne bakın.

 
 

2. Bölüm: Yönetim ve nesne Kullanıcıları kurulumu 

1. Grubu yönetim Kullanıcısı olarak ekleyin ve doğru rolleri seçin:

2. Gruptaki diğer kullanıcıyla oturum açma bilgilerini test edin.

3. Bölüm: Nesne kullanıcıları
olarak AD veya LDAP kullanıcıları Yönetim kullanıcısı oluşturmak, AD veya LDAP bağlantısını test etmek için yararlıdır ve nesne kullanıcısı oluşturulmadan önce yapılmalıdır.

Yönetici kılavuzuna VE veri erişimi kılavuzuna bakın.

1. Nesne kullanıcı kullanımı için bir ad alanına Etki Alanı kullanıcıları ekleme:

ECS nesne kullanıcısı işlemlerini gerçekleştirmek için etki alanı kullanıcılarını bir ad alanına eklemeniz (atamanız) gerekir. ECS nesne deposuna erişmek için nesne kullanıcıları ve ad alanı yöneticileri bir ad alanına atanmalıdır. Kullanıcılardan oluşan bir etki alanının tamamını bir ad alanına ekleyebilir veya etki alanıyla ilişkilendirilmiş belirli bir grup veya öznitelik belirterek etki alanı kullanıcılarının bir alt kümesini ad alanına ekleyebilirsiniz.

Bir etki alanı, kullanıcılara birden çok ad alanı sağlayabilir. Örneğin, "yourco.com" etki alanındaki Hesaplar departmanı gibi kullanıcıları ad alanı1'e ve "yourco.com" etki alanındaki Finans departmanı gibi kullanıcıları ad alanı2'ye eklemeye karar verebilirsiniz. Bu durumda "yourco.com" etki alanı, kullanıcılara iki ad alanı sağlar.

Bir etki alanının tamamı, belirli bir kullanıcı grubu veya belirli bir kullanıcı birden fazla ad alanına eklenemez. Örneğin, "yourco.com" etki alanı ad alanı1'e eklenebilir, ancak etki alanı ad alanı2'ye de eklenemez.

Aşağıdaki örnek, bir Sistem veya ad alanı Yöneticisinin bir ad alanına "yourco.com" etki alanındaki kullanıcıların bir alt kümesini eklediğini gösterir; Departman özniteliğine sahip kullanıcılar = Active Directory'deki hesaplar. Sistem veya ad alanı Yöneticisi, ECS Portal'daki Ad alanını düzenle seçeneğini kullanarak bu etki alanındaki Hesaplar bölümündeki kullanıcıları bir ad alanına eklemiştir.

Şekil 1. Bir AD özniteliği
kullanarak bir ad alanına etki alanı kullanıcılarının bir alt kümesini ekleme "Etki alanı" seçimi altında seçilen etki alanı nesnesi kullanıcıları, yalnızca kendi oluşturdukları kovalara erişim haklarına sahip yönetici olmayan nesne kullanıcıları olacaktır.

 
Öznitelikler, "X" öğesine tıklanarak kaldırılabilen bir alt küme seçeneğidir.
Öznitelikler alt kümesi, AD sunucusundaki Etki Alanı kullanıcılarının Öznitelikleri ile eşleşmelidir.

Aşağıdaki örnekte, Sistem veya ad alanı Yöneticisinin bir ad alanına kullanıcı eklerken daha fazla ayrıntı düzeyi kullandığı farklı bir örnek gösterilmektedir. Bu durumda, Sistem veya ad alanı Yöneticisi, "yourco.com" etki alanında, Department özniteliği = Accounts AND Region attribute = Pacific olan Storage Admins grubuna ait olan VEYA Department özniteliği = Finance olan Storage Admins grubuna ait üyeleri eklemiştir.

Şekil 2. Birden çok AD özniteliği kullanarak bir ad alanına etki alanı kullanıcılarının bir alt kümesini ekleme

2. ECS Veri erişimi kılavuzuna göre gizli bir anahtar oluşturmak için etki alanı kullanıcısı

user@device:~$ curl -ik -u TestUser@TestDomain.com https://10.xxx.xxx.xxx:4443/login
Enter host password for user 'TestUser@TestDomain.com':
HTTP/1.1 200 OK
Date: Thu, 09 Apr 2020 14:30:04 GMT
Content-Type: application/xml
Content-Length: 106
Connection: keep-alive
X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=
X-SDS-AUTH-USERNAME: TestUser@TestDomain.com
X-SDS-AUTH-MAX-AGE: 28800

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><loggedIn><user>TestUser@TestDomain.com</user></loggedIn>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_keys>
  <secret_key_1/>
  <secret_key_1_exist>false</secret_key_1_exist>
  <secret_key_2/>
  <secret_key_2_exist>false</secret_key_2_exist>
  <key_timestamp_1/>
  <key_timestamp_2/>
</user_secret_keys>

user@device:~$ curl -ks -H "X-SDS-AUTH-TOKEN: BAAcYnJ_token_NlU0PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOmJhOGQ3ZTkzLTMyMGYtNDNmNy05Y2FkLWM4YWQzMWFiMzY1MAIADTE1ODYzNjE0Mjg5MTADAC51cm46VG9rZW46NGE3M2Q5ODYtODQ3My00ZjYxLTkwYWQtMzg5NTcyNmRmZGM3AgAC0A8=" -H "Content-Type:application/json" -X POST -d "{}" https://10.xxx.xxx.xxx:4443/object/secret-keys | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<user_secret_key>
  <link rel="self" href="/object/user-secret-keys/TestUser@TestDomain.com"/>
  <secret_key>6C7fW_Secret_Key_COl38yzAHIRorJ3oiK</secret_key>
  <key_expiry_timestamp/>
  <key_timestamp>2020-04-09 14:44:27.431</key_timestamp>
</user_secret_key>

Kullanıcı oturum açma hatası:

"Access is denied due to invalid or expired credentials."

 
 

3.4 ECS kullanıcı arayüzünden örnek:

 
    

1. Kullanıcı veya Parola yanlış.
2. Kullanıcı bulunamadı ve kullanıcı bulunamadı, ilgili kullanıcı için kimlik doğrulama sağlayıcısındaki yanlış bir arama temelinden kaynaklanıyor olabilir.
3. ECS Kimlik Doğrulama Sağlayıcısında yapılan değişikliklerin geçerlilik kazanması birkaç dakika sürebilir ve düzeltilen Kimlik Doğrulama Sağlayıcı hala AD veya LDAP bağlantısını güncelliyordur.
4. Bu kullanıcı için "Kullanıcı, bir sonraki oturum açmada parolayı değiştirmelidir" kullanıcı AD parametresi etkindir. Bu nedenle AD veya LDAP sunucusu parametreyi zorlamaya çalışırken ECS, AD veya LDAP sunucusunda etki alanı kullanıcılarının parolasını değiştiremez. Bu nedenle bu, AD veya LDAP sunucusu parametreyi zorlamaya çalışırken hataya neden olur. Parolayı farklı bir uygulamada değiştirin veya parametre onay kutusunun işaretini kaldırın. ECS daha sonra kullanıcılardan AD sunucusu isteğini şu şekilde uyarır: Bu sorun için 3.6.2.0 veya üzeri bir sürümde olunması da önerilir. "User must change password at next login."
5. sAMAccountName türü kullanıcı, username@domain olan doğru etki alanı değerini göremiyor.
6. Arama tabanını şu şekilde ayarlamış olabilirsiniz:

"Error 1008 (http:400): invalid parameter"

 
"Connection to the LDAP server succeeded, but the Manager DN CN=Users,DC=CAS,DC=EMC,DC=com or its password failed to authenticate"
 

1. Tam olarak doğru kullanıcı konumuna ayarlanır; CN=Administrator,CN=Users,DC=CAS,DC=EMC,DC=com değil CN=Users,DC=CAS,DC=EMC,DC=com 
2. Parola doğru.
3. Kullanıcı, Yönetici DN kullanıcısı olmak için gerekli yetkiye sahiptir.  

command type REQUEST_AUTHPROVIDER_CREATE failed with error code ERROR_RG_NOT_FOUND and message 'replication group urn:storageos:ReplicationGroupInfo:00000000-0000-0000-0000-000000000000:global not found'

Bir kullanıcı LDAP sunucusunu değiştirdiğinde yeni LDAP sunucusunun FQDN'si eski LDAP sunucusunun FQDN'si ile eşleşir.

Geçerli LDAP SSL sertifikası eski LDAP sunucusunu işaret ediyor olabilir, bu nedenle LDAP SSL sertifikasının güncelleştirilmiş bir LDAP SSL sertifikasıyla değiştirilmesi gerekir.

Olası hata mesajı:

 

Sertifikanın verildiğini inceleyin ve FQDN'nin ECS kullanıcı arayüzünde kullanılan URL ile tam olarak eşleştiğinden emin olun. Alternatif olarak, certificate:

Command ögesinden tam olarak eşleşen Konu Alternatif Adları bölümünü inceleyin:

sudo openssl s_client -connect :636 < /dev/null | openssl x509 -noout -text | grep DNS:

Örneğin:

node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636 < /dev/null| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS1.LOCAL


node1:~ # sudo openssl s_client -connect XXX.XXX.XXX:636| openssl x509 -noout -text | grep DNS:
 
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
                DNS:FQDN.LDAPS.LOCAL

 
ECS eşleşmelerinde LDAPS sertifikanızı gözden geçirin. Aksi takdirde ECS için yeni ve doğru bir sertifika gerekebilir. 

Kullanıcı yardım almak için ECS desteği içeren bir SR açmayı düşünebilir.

---

 

1. Authentication Provider alanı kullanıcı tarafından doğru şekilde dolduruldu mu?
2. Yönetim Kullanıcısı oluşturuldu mu?
3. ECS oturum açma sırasında test kullanıcısı ve parolası doğru girildi mi?
4. Bir etki alanından başka bir kullanıcıyla oturum açabiliyorlar mı?
5. ECS de AD veya LDAP ilk kez mi kuruluyor?
6. ECS'de yeni bir AD veya LDAP ayarlanmadıysa bu kimlik bilgileriyle oturum açabildiler mi? Eğer öyleyse, yetkilendirmeyi etkileyecek herhangi bir değişiklik olup olmadığını belirleyin.