LDAP:tä käyttävä PowerFlex-todennus ei toimi, kun käyttäjä on eri organisaatioyksikön polun jäsen kuin ryhmä

Summary: Käyttäjä, joka on LDAP-palvelumääritykseen määritetyn jakeluryhmän jäsen, ei voinut kirjautua sisään sen jälkeen, kun LDAP-todennus oli otettu käyttöön ScaleIO-klusterissa.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

 

Tilanne

LDAP-palveluiden määrittäminen ScaleIO:lle joko MDM-klusterissa tai yhdyskäytävässä yhdellä Active Directory -domainilla. Tämä ongelma voi ilmetä, kun käyttäjiä ja ScaleIO-ryhmää määritetään saman toimialueen eri organisaatioorganisaatioissa.

Oireet

Käyttäjä on kohteessa CN=testuser,OU=Users,OU=IT-osasto,DC=swlab,DC=local

 

Ryhmä on: CN=Sio_Admin_Role,OU=GlobalGroups,OU=Groups,DC=swlab,DC=local

 

Seuraavat varoitusviestit löytyvät MDM:n tai yhdyskäytävän jäljityslokista.

gateway-trace.log virheilmoitus on: 2017-06-14 11:49:46,587 [http-nio-443-exec-6] VIRHE c.e.s.s.w.s.ScaleIOSecurityUtils - Käyttäjän testuseria ei löytynyt ryhmästä CN=Sio_Admin_Role,OU=GlobalGroups,OU=Groups,DC=swlab,DC=local

Vaikutus

Jotkut käyttäjät eivät pysty kirjautumaan ScaleIO-järjestelmään tai yhdyskäytävään LDAP-todennuksella.

Cause

Pääsyy

Ongelman perimmäinen syy on se, että parametri --ldap_base_dn, jota käytettiin, kun LDAP-palvelu lisättiin ScaleIO-klusteriin, oli liian alhaisella tasolla.

Katso yllä oleva esimerkki ongelmasta alla olevasta määrityksestä:

scli --add_ldap_service --ldap_service_uri "ldap://swlab.local" --ldap_base_dn "OU=GlobalGroups,OU=Groups,DC=swlab,DC=local" --ldap_service_name testldap
scli --assign_ldap_groups_to_roles --administrator_role_dn "CN=Sio_Admin_Role,OU=GlobalGroups,OU=Groups,DC=swlab,DC=local" --monitor_role_dn "CN=Sio_Admin_Role,OU=GlobalGroups,OU=Groups,DC=swlab,DC=local" --ldap_service_name testldap

Tämä asettaa perus-dn:n aloittamaan haun liian matalalle AD-pesärakenteessa. Kun käyttäjä aloittaa komennosta swlab.local/Groups/GlobalGroups, LDAP ei voi tehdä kyselyjä korkeamman tason käyttäjälle.

Tässä tapauksessa testuser on siis olemassa kansiossa swlab.local/IT Dept/Users/testuser, joten kun Sio_Admin_Role-ryhmää kysytään, se yrittää löytää jäsenkäyttäjän uudelleen base_dn alta.

Käyttäjää ei ole siellä, eikä kirjautuminen onnistu.   

Resolution

Kiertotapa

Voit ratkaista tämän ongelman luomalla LDAP-palvelun uudelleen ScaleIO:ssa ja käyttämällä korkeamman tason base_dn. Yllä olevassa esimerkissä seuraavaa voidaan muuttaa komennolla "add_ldap_service".

   scli --add_ldap_service --ldap_service_uri "ldap://swlab.local" --ldap_base_dn "DC=swlab,DC=local" --ldap_service_name testldap

Muuttamalla base_dn toimialueen päähakemistoksi LDAP voi tehdä kyselyn mistä tahansa organisaatioyksiköstä tai CN:stä sopivalle käyttäjälle, joka on SIO-rooliryhmän jäsen.

Affected Products

VxFlex Product Family

Products

VxFlex Product Family
Article Properties
Article Number: 000080292
Article Type: Solution
Last Modified: 01 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.