4.X: No se puede agregar un grupo de LDAP
Summary: 4.X: No se puede agregar un grupo de LDAP
Symptoms
Issue Description
El intento de agregar un grupo de LDAP falla dentro de la interfaz de usuario de PFxM.
Síntomas
Los registros de SSO muestran que no puede encontrar el grupo de seguridad PF_Admins en LDAP:
2023-09-07T13:30:38.536385897-05:00 stdout F 2023-09-07 18:30:38.536 INFO 1 --- [nio-8083-exec-8] c.dell.sso.controllers.GroupsController : Received add group request 2023-09-07T13:30:38.550680368-05:00 stdout F 2023-09-07 18:30:38.550 ERROR 1 --- [nio-8083-exec-8] c.dell.sso.controllers.GroupsController : Failed to add group request: Failed to find request group PF_Admins 2023-09-07T13:30:38.550719535-05:00 stdout F com.dell.sso.exceptions.KeycloakException: Failed to find request group PF_Admins
La configuración de Active Directory muestra que el grupo de seguridad PF_Admins sí existe.
Impacto
No se pueden agregar grupos de LDAP.
Cause
Existe una limitación de código de software en la que la información de Active Directory solo se almacena en caché en el momento de la conexión inicial al servidor LDAP y solo extrae información de 10 segundos. Cuando un administrador intenta agregar un grupo de LDAP en la interfaz de usuario de PFxM y el grupo de seguridad en el servidor LDAP se creó después de la conexión inicial al servidor de Active Directory, este grupo no se almacenará en la caché inicial y la adición del grupo LDAP fallará. Cuando el administrador intenta agregar el grupo de LDAP, el software no se conecta ni extrae una nueva lista de Active Directory; en su lugar, solo utiliza la caché inicial de la primera conexión de LDAP.
Resolution
Solución alternativa
Las versiones 4.5 y anteriores de PowerFlex Manager deben realizar la siguiente solución alternativa:
Quite la conexión del servidor LDAP y, a continuación, vuelva a conectar PFxM al servidor LDAP.
* En ocasiones, esto se debe hacer varias veces para encontrar correctamente el grupo de LDAP.
Las versiones 4.5.1 y posteriores de PowerFlex Manager pueden realizar las siguientes soluciones alternativas:
Desde PFMP, realice lo siguiente para establecer variables del sistema:
#SSO variable
SSO_IP=`kubectl get svc -A | grep "sso " | awk '{print $4}'`
#Platform Manager Token
PM_TOKEN=`curl -k --location --request POST "https://${SSO_IP}:8080/rest/auth/login" --header 'Accept: application/json' --header 'Content-Type: application/json' --data '{"username": "admin","password": "Scaleio123!" }' | jq -r .access_token`
#Change the password to the password used to login to the PFxM UI
#Ingress IP
INGRESS_IP=$(kubectl get svc -A | grep -i rke2-ingress-nginx-controller | awk 'NR==1{print $5}')
#LDAP ID
LDAP_ID=$(curl -k https://${INGRESS_IP}/rest/v1/directory-services --header 'Accept: application/json' --header 'Content-Type: application/json' --header "Authorization: Bearer ${PM_TOKEN}" | jq -r '.[0].id')
Inicie la sincronización de PFMP al servidor LDAP:
curl -k -X POST https://${INGRESS_IP}/rest/v1/directory-services/${LDAP_ID}/sync --header "Authorization: Bearer ${PM_TOKEN}" --header 'Accept: application/json' --header 'Content-Type: application/json'
El comando anterior no debería devolver nada a la pantalla si se realiza correctamente.
Espere hasta 15 minutos y vuelva a intentar la operación de adición de usuario o grupo.
Versiones afectadas
PowerFlex Manager 4.x
Problema corregido en la versión
PowerFlex Manager 4.5.1