4.X – LDAP-Gruppe kann nicht hinzugefügt werden
Summary: 4.X – LDAP-Gruppe kann nicht hinzugefügt werden
Symptoms
Problembeschreibung
Der Versuch, eine LDAP-Gruppe hinzuzufügen, schlägt in der PFxM-Benutzeroberfläche fehl.
Problem
SSO-Protokolle zeigen, dass die PF_Admins Sicherheitsgruppe in LDAP nicht gefunden werden kann:
2023-09-07T13:30:38.536385897-05:00 stdout F 2023-09-07 18:30:38.536 INFO 1 --- [nio-8083-exec-8] c.dell.sso.controllers.GroupsController : Received add group request 2023-09-07T13:30:38.550680368-05:00 stdout F 2023-09-07 18:30:38.550 ERROR 1 --- [nio-8083-exec-8] c.dell.sso.controllers.GroupsController : Failed to add group request: Failed to find request group PF_Admins 2023-09-07T13:30:38.550719535-05:00 stdout F com.dell.sso.exceptions.KeycloakException: Failed to find request group PF_Admins
Die Active Directory-Konfiguration zeigt an, dass die PF_Admins Sicherheitsgruppe vorhanden ist.
Auswirkungen
LDAP-Gruppen können nicht hinzugefügt werden.
Cause
Es gibt eine Softwarecodeeinschränkung, bei der Active Directory-Informationen nur zum Zeitpunkt der ersten Verbindung mit dem LDAP-Server zwischengespeichert werden und nur Informationen aus 10 Sekunden abrufen. Wenn ein Administrator versucht, eine LDAP-Gruppe in der PFxM-Benutzeroberfläche hinzuzufügen, und die Sicherheitsgruppe auf dem LDAP-Server nach der ersten Verbindung mit dem Active Directory-Server erstellt wurde, wird diese Gruppe nicht im anfänglichen Cache gespeichert und das Hinzufügen der LDAP-Gruppe schlägt fehl. Wenn der Administrator versucht, die LDAP-Gruppe hinzuzufügen, stellt die Software keine Verbindung her und ruft keinen neuen Active Directory-Eintrag ab, sondern verwendet nur den anfänglichen Cache der ersten LDAP-Verbindung.
Resolution
Problemumgehung
PowerFlex Manager Version 4.5 und niedriger muss den folgenden Workaround ausführen:
Trennen Sie die LDAP-Serververbindung und verbinden Sie dann PFxM wieder mit dem LDAP-Server.
*Manchmal muss dies mehrmals durchgeführt werden, um die LDAP-Gruppe ordnungsgemäß zu finden.
PowerFlex Manager Version 4.5.1 und höher bietet die folgende Problemumgehung:
Führen Sie im PFMP die folgenden Schritte aus, um Systemvariablen festzulegen:
#SSO variable
SSO_IP=`kubectl get svc -A | grep "sso " | awk '{print $4}'`
#Platform Manager Token
PM_TOKEN=`curl -k --location --request POST "https://${SSO_IP}:8080/rest/auth/login" --header 'Accept: application/json' --header 'Content-Type: application/json' --data '{"username": "admin","password": "Scaleio123!" }' | jq -r .access_token`
#Change the password to the password used to login to the PFxM UI
#Ingress IP
INGRESS_IP=$(kubectl get svc -A | grep -i rke2-ingress-nginx-controller | awk 'NR==1{print $5}')
#LDAP ID
LDAP_ID=$(curl -k https://${INGRESS_IP}/rest/v1/directory-services --header 'Accept: application/json' --header 'Content-Type: application/json' --header "Authorization: Bearer ${PM_TOKEN}" | jq -r '.[0].id')
Starten Sie die Synchronisierung von PFMP zum LDAP-Server:
curl -k -X POST https://${INGRESS_IP}/rest/v1/directory-services/${LDAP_ID}/sync --header "Authorization: Bearer ${PM_TOKEN}" --header 'Accept: application/json' --header 'Content-Type: application/json'
Der obige Befehl sollte nichts an den Bildschirm zurückgeben, wenn er erfolgreich ist.
Warten Sie bis zu 15 Minuten und versuchen Sie es erneut, einen Nutzer oder eine Gruppe hinzuzufügen.
Betroffene Versionen
PowerFlex Manager 4.x
Behoben in Version
PowerFlex Manager 4.5.1