XTremIO : Erreur de configuration LDAP lors de l’utilisation de canaux sécurisés ldaps
Summary: Des erreurs d’authentification peuvent se produire lorsque l’authentification LDAP, à l’aide de ldaps, est configurée pour les utilisateurs externes.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Informations
Dans certains cas, lorsque le client configure l’authentification LDAP pour les utilisateurs externes, des erreurs d’authentification peuvent se produire.
Les environnements XtremIO suivants peuvent être affectés par ce problème :
- Logiciel Dell EMC : XtremIO 6.3.2 et versions ultérieures.
Problème
Lorsque le client configure l’authentification LDAP pour les utilisateurs externes, des erreurs d’authentification peuvent se produire lorsque toutes les conditions suivantes existent :
- Le serveur LDAP est utilisé via un canal sécurisé ldaps au lieu de ldap
- Il existe un élément de configuration TLS_CIPHER_SUITE ALL:!ECDHE dans /etc/openldap/ldap.conf
- La certification côté serveur existante est générée via le chiffrement ECDHE.
Compte tenu des conditions ci-dessus, le côté serveur renvoie une erreur telle que :
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Problème logiciel dû à une incompatibilité de TLS_CIPHER_SUITE ALL:!ECDHE avec certification côté serveur générée via le chiffrement ECDHE
Resolution
Pour déterminer si LDAP est utilisé, exécutez la commande xmcli show-user-accounts. La propriété Compte externe est vraie lorsque LDAP est utilisé :
Pour éviter que cette erreur ne se produise, exécutez l’une des options suivantes :
Si le XMS est mis à niveau vers XMS 6.3.2 ou une version ultérieure, cette opération doit être effectuée après la mise à niveau.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Pour éviter que cette erreur ne se produise, exécutez l’une des options suivantes :
- Régénérez le fichier de certification avec le chiffrement au-delà d’ECDHE. Utilisez l’outil openssl pour générer un nouveau certificat sans utiliser la suite de chiffrement ECDHE, puis exécutez la commande modify-ldap-config dans la console xmcli, par exemple :
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
ou
- Mettez en commentaire l’élément de configuration TLS_CIPHER_SUITE ALL:!ECDHE dans /etc/openldap/ldap.conf.
Si le XMS est mis à niveau vers XMS 6.3.2 ou une version ultérieure, cette opération doit être effectuée après la mise à niveau.
Affected Products
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Article Properties
Article Number: 000185589
Article Type: Solution
Last Modified: 19 Sept 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.