XtremIO：セキュア チャネルLDAPS使用時のLDAP構成エラー

背景

場合によっては、お客様が外部ユーザーのLDAP認証を構成すると、認証エラーが発生することがあります。

次のXtremIO環境は、この問題の影響を受ける可能性があります。

• Dell EMCソフトウェア：XtremIO 6.3.2以降。

課題

お客様が外部ユーザーのLDAP認証を構成する場合、次の条件がすべて存在する場合に認証エラーが発生することがあります。

1. LDAPサーバーがLDAPではなくセキュア チャネルLDAPSを介して機能する
2. /etc/openldap/ldap.confに構成項目TLS_CIPHER_SUITE ALL:!ECDHEが存在する
3. 既存のサーバー サイド認証は、暗号ECDHEを介して生成される

上記の条件下で、サーバー サイドは次のようなエラーを返します。

[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never  ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

 (tech)> show-user-accounts
Name             Index Role          External-Account Inactivity-Timeout
tech              1    technician      False            10
sara              2    admin           True             10

• ECDHEを超える暗号とともに認定ファイルを再生成します。  opensslツールを使用して、ECDHE暗号スイートを使用せずに新しい証明書を生成し、xmcliコンソールで次のようにmodify-ldap-configコマンドを実行します。

xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]

• /etc/openldap/ldap.confで構成項目TLS_CIPHER_SUITE ALL:!ECDHEをコメントします。