XtremIO: LDAP-konfigurationsfel vid användning av LDAP:er för säker kanal
Summary: Autentiseringsfel kan uppstå när LDAP-autentisering, med hjälp av LDAPS, har konfigurerats för externa användare.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Bakgrund
I vissa fall, när kunden konfigurerar LDAP-autentisering för externa användare, kan autentiseringsfel uppstå.
Följande XtremIO-miljöer kan påverkas av det här problemet:
- Dell EMC-programvara: XtremIO 6.3.2 och senare.
Problem
När kunden konfigurerar LDAP-autentisering för externa användare kan autentiseringsfel uppstå när alla följande villkor föreligger:
- LDAP-servern fungerar via en säker kanal LDAPS i stället för ldap
- Det finns ett konfigurationsobjekt TLS_CIPHER_SUITE ALLA:! ECDHE i /etc/openldap/ldap.conf
- Den befintliga certifieringen på serversidan genereras via chiffer ECDHE.
Med tanke på ovanstående villkor kommer serversidan att returnera fel som,
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Programvaruproblem på grund av inkompatibilitet hos TLS_CIPHER_SUITE ALL:! ECDHE med certifiering på serversidan som genereras via chiffer ECDHE
Resolution
Ta reda på om LDAP används genom att köra xmcli-kommandot show-user-accounts. Egenskapen External-Account är True när LDAP används:
Utför något av följande alternativ för att förhindra att det här felet inträffar:
Om XMS uppgraderas till XMS 6.3.2 eller senare bör detta utföras efter uppgraderingen.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Utför något av följande alternativ för att förhindra att det här felet inträffar:
- Återskapa certifieringsfilen tillsammans med chiffer bortom ECDHE. Använd openssl-verktyget för att generera ett nytt certifikat utan att använda ECDHE chiffersvit och kör sedan kommandot modify-ldap-config i xmcli-konsolen, till exempel:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
eller
- Kommentera konfigurationsobjektet TLS_CIPHER_SUITE ALLA:! ECDHE i /etc/openldap/ldap.conf.
Om XMS uppgraderas till XMS 6.3.2 eller senare bör detta utföras efter uppgraderingen.
Affected Products
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Article Properties
Article Number: 000185589
Article Type: Solution
Last Modified: 19 Sept 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.