4.X — 无法添加 LDAP 组

Summary: 4.X — 无法添加 LDAP 组

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

问题描述

在 PFxM UI 中尝试添加 LDAP 组失败。

 

症状

SSO 日志显示无法在 LDAP 中找到 PF_Admins 安全组:

2023-09-07T13:30:38.536385897-05:00 stdout F 2023-09-07 18:30:38.536  INFO 1 --- [nio-8083-exec-8] c.dell.sso.controllers.GroupsController  : Received add group request
2023-09-07T13:30:38.550680368-05:00 stdout F 2023-09-07 18:30:38.550 ERROR 1 --- [nio-8083-exec-8] c.dell.sso.controllers.GroupsController  : Failed to add group request: Failed to find request group PF_Admins 
2023-09-07T13:30:38.550719535-05:00 stdout F com.dell.sso.exceptions.KeycloakException: Failed to find request group PF_Admins

 

Active Directory 配置显示 PF_Admins 安全组确实存在。

 

影响

无法添加 LDAP 组。

 

Cause

存在软件代码限制,其中 Active Directory 信息仅在初始连接到 LDAP 服务器时缓存,并且仅提取 10 秒的信息。当管理员尝试在 PFxM UI 中添加 LDAP 组,并且在初始连接到 Active Directory 服务器后创建 LDAP 服务器上的安全组时,此组不会存储在初始缓存中,并且添加 LDAP 组将失败。当管理员尝试添加 LDAP 组时,软件不会连接并提取新的 Active Directory 列表,而是仅使用来自第一个 LDAP 连接的初始缓存。

 

Resolution

解决方法

PowerFlex Manager版本 4.5 及更低版本必须执行以下解决方法:

删除 LDAP 服务器连接,然后将 PFxM 重新连接到 LDAP 服务器。
*有时,必须多次执行此操作才能正确查找 LDAP 组。

 

PowerFlex Manager版本 4.5.1 及更高版本可以执行以下解决方法:

在 PFMP 中,执行以下操作以设置系统变量:

#SSO variable
SSO_IP=`kubectl get svc -A | grep "sso " | awk '{print $4}'`

#Platform Manager Token
PM_TOKEN=`curl -k --location --request POST "https://${SSO_IP}:8080/rest/auth/login" --header 'Accept: application/json' --header 'Content-Type: application/json' --data '{"username": "admin","password": "Scaleio123!" }' | jq -r .access_token`
#Change the password to the password used to login to the PFxM UI

#Ingress IP
INGRESS_IP=$(kubectl get svc -A | grep -i rke2-ingress-nginx-controller | awk 'NR==1{print $5}')

#LDAP ID
LDAP_ID=$(curl -k https://${INGRESS_IP}/rest/v1/directory-services --header 'Accept: application/json' --header 'Content-Type: application/json' --header "Authorization: Bearer ${PM_TOKEN}" | jq -r '.[0].id')

 

启动从 PFMP 到 LDAP 服务器的同步:

curl -k -X POST https://${INGRESS_IP}/rest/v1/directory-services/${LDAP_ID}/sync --header "Authorization: Bearer ${PM_TOKEN}" --header 'Accept: application/json' --header 'Content-Type: application/json'

 

如果成功,上面的命令应该不会返回任何页面到屏幕。
等待最多 15 分钟,然后再次尝试添加用户或组操作。

 

受影响的版本

PowerFlex Manager 4.x

 

已修复问题的版本

PowerFlex Manager 4.5.1

 

Article Properties
Article Number: 000218374
Article Type: Solution
Last Modified: 20 Feb 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.