Isilon: Gateway-Konnektivitätsstatus zeigt "Getrennt", interner Fehler 401 "Nicht autorisiert" Antwortcodes
Summary: Der Gateway-Verbindungsstatus zeigt "Getrennt" und der interne Fehler 401 "Nicht autorisierte Antwortcodes" wird angezeigt (vom Nutzer korrigierbar).
Symptoms
Der Konnektivitätsstatus des Cluster-Gateways, der zuvor funktioniert und verbunden war, zeigt "Getrennt" an.401 Unauthorized Antworten werden vom Secure Connect Gateway angezeigt, die NICHT mit ungültigen Nutzernamen und Kennwörtern zusammenhängen.
Auf Isilon-Clustern, die Secure Connect Gateway verwenden, isi esrs view zeigt an, dass der Gateway-Konnektivitätsstatus getrennt ist. Die Konfiguration funktionierte zuvor ordnungsgemäß.
Versuche, zu deaktivieren und erneut zu aktivieren isi_esrs_d und isi_rsapi_d Helfen Sie nicht, die Konnektivität wiederherzustellen.
Versucht, die Konfiguration mithilfe eines username und versucht, Secure Connect Gateway (--enabled=false) in der Hoffnung, die Konfiguration neu zu erstellen, schlägt fehl.
Ein ähnlicher Fehler tritt auch bei der Ausgabe des isi esrs modify --enabled==false Befehl durchgeführt:
Internal error:
ESRSBadCodeError: ESRS Delete Device failed. Error response code from gateway: 401, Unauthorized. Response dictionary was: {{'http_response_code': 401, 'curl_trace': "* Trying 1.2.3.4:9443...\n* TCP_NODELAY set\n* Name '1.2.3.4' family 2 resolved to '1.2.3.4' family 2\n* Local port: 0\n* Connected to 1.2.3.4 (1.2.3.4) port 9443 (#0)\n* ALPN, offering http/1.1\n* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH\n* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384\n* ALPN, server accepted to use http/1.1\n* Server certificate:\n* subject: C=US; ST=MA; L=SO; O=EMC; OU=ESRS; CN=myname\n* start date: Dec 4 12:20:29 2019 GMT\n* expire date: Dec 4 12:20:29 2039 GMT\n* issuer: C=US; ST=MA; L=SO; O=EMC; OU=ESRS; CN=myname\n* SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.\n> DELETE /esrs/v1/devices/ISILON-GW/ELMISLxxxxxxxx HTTP/1.1\r\nHost: 1.2.3.4:9443\r\nUser-Agent: PycURL/7.43.0 libcurl/7.66.0 OpenSSL/1.0.2r-fips zlib/1.2.11\r\nAccept: */*\r\nAuthorization: ISILON-GW:ELMISLxxxxxxxx:keykeykeyGYskKOwNZQg7SGOgC8=,domain=Device\r\nDate: Wed, 04 Nov 2020 19:15:47 GMT\r\n\r\n* Mark bundle as not supporting multiuse\n< HTTP/1.1 401 Unauthorized\r\n< Date: Wed, 04 Nov 2020 19:15:48 GMT\r\n< Server: Apache PivotalWebServer\r\n< Strict-Transport-Security: max-age=31536000; includeSubDomains;\r\n< Content-Security-Policy: frame-ancestors 'self'\r\n< Transfer-Encoding: chunked\r\n< \r\n* Connection #0 to host 1.2.3.4 left intact\n"}}
Wenn die 401-Meldung die folgende Textzeichenfolge enthält: Invalid username and password, gilt dieser Artikel NICHT.
Cause
Beachten Sie in der obigen Antwort, dass Isilon eine
HTTP DELETE Befehl durchgeführt:
DELETE /esrs/v1/devices/ISILON-GW/ELMISLxxxxxxxx
Der Geräteschlüssel wird verwendet, um diese Kommunikation zwischen Isilon und dem Secure Connect Gateway zu authentifizieren:
Authorization: ISILON-GW:ELMISLxxxxxxxx:keykeykeyGYskKOwNZQg7SGOgC8=
Wenn das Gateway neu installiert wurde oder den Geräteschlüssel aus einem anderen Grund verloren hat, schlägt die REST-API-Authentifizierung mit dem Schlüssel fehl mit einem
401 Unauthorized Fehler.
Wenn es manchmal nicht möglich ist, den Status des Secure Connect Gateway zu bestimmen, kann der Dell Support mit der Untersuchung beauftragt werden. Geräteschlüssel gehen verloren, wenn ein Gateway neu installiert wird, können aber auch verloren gehen, wenn das Gateway auf einen alten Snapshot zurückgesetzt wird (bevor der Schlüssel erstellt oder aktualisiert wurde). Wenn auf einem sicheren Verbindungsgateway nicht genügend Speicherplatz vorhanden ist und während dieser Zeit ein neues Gerät hinzugefügt wird, kann die Datenbank der Geräteschlüssel auf dem sicheren Verbindungsgateway nicht erweitert werden.
Resolution
Die einfachste Methode und wahrscheinlichste Lösung ist, die folgenden Befehle auszuführen, um die Konfiguration zu deaktivieren und anschließend eine neue Registrierung durchzuführen, um einen neuen Geräteschlüssel für Isilon zu erstellen. Die Spalte --force Die Markierung weist Isilon an, Secure Connect Gateway Services zu deaktivieren, ohne zu versuchen, zuerst das Gateway zu kontaktieren, um die Registrierung aufzuheben.
isi esrs modify --enabled=false --force isi esrs modify --enabled=true --username=DellSupportEmail --password=MYPASS
Wenn diese Befehle nicht funktionieren, kann der Dell Support kontaktiert werden, um den Schlüssel manuell zu löschen und die Kommunikation zwischen dem Secure Connect Gateway und dem Isilon-Cluster zurückzusetzen. Erstellen Sie einen Service-Request mit diesem Artikel.
Ein erfahrener Administrator muss die folgenden Befehle ausführen, um die relevanten Services auf dem Cluster zu deaktivieren, um Secure Connect Gateway manuell zu deaktivieren und um den vorhandenen Authentifizierungsschlüssel auf der Clusterseite zu löschen.
- Deaktivieren Sie die relevanten Dienste, wenn diese ausgeführt werden. Diese Services stellen Daemons dar, die den Secure Connect Gateway Service und den REST-API-Service für Secure Connect Gateway -Konnektivität ausführen. Die Deaktivierung dieser Services wirkt sich nicht auf den Client-Zugriff auf den Cluster aus.
isi services -a isi_esrs_d disable isi services -a isi_rsapi_d disable
- Erzwingen Sie manuell die Deaktivierung von Secure Connect Gateway.
isi_gconfig -t esrs esrs.enabled=false
- Löschen Sie den für die Kommunikation verwendeten Schlüssel.
isi_gconfig -t esrs esrs.esrs_api_key=""
NOTE: if secondary Gateway is configured, clear the API key for secondary Gateway using command below:
isi_gconfig -t esrs esrs.secondary_esrs_api_key=""
- Aktivieren Sie NUR die Option
rsapiverwaltet
isi services -a isi_rsapi_d enable
- Verwenden Sie die normalen Befehle, um die Konfiguration von Secure Connect Gateway zu aktivieren.
isi esrs modify --enabled=true --username=DELL-Support-Account --password=MYPASS
- Wenn beim Warten auf eine REST-Antwort ein Timeout beim Befehl auftritt, geben Sie den folgenden Befehl ein:
isi --timeout=600 esrs modify --enabled=true --username=DELL-Support-Account --password=MYPASS
- Wenn der Befehl weiterhin Fehler anzeigt, starten Sie eine neue Erfassung auf dem Isilon und wenden Sie sich an den Dell Support.
Diese Schritte werden verwendet, um die Kommunikation zwischen Isilon und Secure Connect Gateway neu zu erstellen und wiederherzustellen.
Additional Information
Wenn der primäre Node ausfällt, wählt das Cluster einen neuen primären Node aus und die Landing-IP-Adresse wird mithilfe des REST-Protokolls auf dem Secure Connect Gateway aktualisiert. Sowohl der "isi_esrs_d"- als auch der "isi_rsapi_d"-Service sollten auf allen Nodes im Cluster ausgeführt werden. Der primäre Node wird basierend auf den Nodes ausgewählt, die in den Gatewayzugriffspools konfiguriert sind.
Die primäre Datenbank wird erkannt, indem Sie die Protokolle überprüfen oder den folgenden Befehl ausgeben:
sqlite3 /ifs/.ifsvar/modules/tardis/namespaces/esrs.registered.state.sqlite 'select value from kv_table where key == "esrs_registered_lnn";' 5
Im obigen Beispiel ist der primäre Node Node 5. Bei der Überprüfung der IP-Adresse aus dem Gateway Access Pool für diesen Node finden Sie diese als die IP-Adresse, die für die ELM*-Clusterlizenz auf dem Secure Connect Gateway verwendet wird. Dell Supportmitarbeitern wird diese IP-Adresse auch in den ServiceLink Secure Connect Gateway-Systemen angezeigt, die zur Einwahl in Cluster verwendet werden.