PowerScale OneFS: LDAP offline op alle knooppunten bij het upgraden van pre-OneFS 9.5 naar 9.5

Bij het upgraden van OneFS 9.4 of eerder naar OneFS 9.5 bestaat de kans dat LDAP offline wordt weergegeven voor alle knooppunten.

 Berichten die vergelijkbaar zijn met de volgende zijn te zien in /var/log/lsassd.log Op een bepaald knooppunt: 

ClusterName-2(id2) lsass[6461]: [lsass] Failed to bind to LDAP server as 'BindAccount', [Error 49, Invalid credentials] 

ClusterName-2(id2) lsass[6461]: [lsass] Failed connect to ldap server: ldap://LDAPFQDN. Error code: 40330 (symbol: LW_ERROR_LDAP_INVALID_CREDENTIALS). Marking server as denylist.

Wanneer u aan de LDAP-kant controleert, wordt het account dat voor BIND wordt gebruikt, weergegeven als vergrendeld vanwege te veel mislukte wachtwoordpogingen. 

In OneFS 9.5 is het wachtwoord dat wordt gebruikt voor BIND wordt verplaatst van gconfig aan de sleutelbeheerder. LSASS kan echter worden geladen voordat de migratie is voltooid, wat leidt tot NULL worden opgeslagen voor de BindPW in Key Manager. Het cluster probeert vervolgens het volgende te doen: BIND naar de LDAP-server met behulp van de NULL Wachtwoord.
 

Als u het account aan de LDAP-kant ontgrendelt dat wordt gebruikt voor BIND, wordt de toegang hersteld. Dit probleem zou geen invloed moeten hebben op toekomstige code-upgrades, aangezien het wachtwoord met succes wordt gelezen uit de sleutelbeheerder zodra lsass is vernieuwd. 

Upgraden naar een van de volgende OneFS-versies zou het probleem moeten voorkomen, omdat er een failback is geïntroduceerd als er niet kan worden gelezen vanuit de Key Manager:

• OneFS 9.5.1.0
• OneFS 9.7.1.1
• OneFS 9.8.0.1