PowerScale OneFS: LDAP ist auf allen Nodes offline, wenn ein Upgrade von einer Version vor OneFS 9.5 auf 9.5 durchgeführt wird

Beim Upgrade von OneFS 9.4 oder früher auf OneFS 9.5 besteht die Möglichkeit, dass LDAP für alle Nodes als offline angezeigt wird.

 Meldungen ähnlich der folgenden werden angezeigt in /var/log/lsassd.log Auf einem bestimmten Node: 

ClusterName-2(id2) lsass[6461]: [lsass] Failed to bind to LDAP server as 'BindAccount', [Error 49, Invalid credentials] 

ClusterName-2(id2) lsass[6461]: [lsass] Failed connect to ldap server: ldap://LDAPFQDN. Error code: 40330 (symbol: LW_ERROR_LDAP_INVALID_CREDENTIALS). Marking server as denylist.

Bei der Überprüfung auf der LDAP-Seite wird das für BIND verwendete Konto aufgrund zu vieler fehlgeschlagener Kennwortversuche als gesperrt angezeigt. 

In OneFS 9.5 ist das Kennwort für BIND wird verschoben von gconfig an den Key Manager. Es kann jedoch vorkommen, dass der Ladevorgang von LSASS abgeschlossen ist, bevor die Migration abgeschlossen ist, was zu folgendem Ergebnis führt: NULL gespeichert werden für die BindPW im Key Manager. Das Cluster versucht dann, BIND an den LDAP-Server über die NULL Kennwort zu ändern.
 

Durch das Entsperren des Kontos auf der LDAP-Seite, die für BIND verwendet wird, wird der Zugriff wiederhergestellt. Dieses Problem sollte sich nicht auf zukünftige Codeupgrades auswirken, da das Kennwort erfolgreich vom Key Manager gelesen wird, sobald lsass aktualisiert wurde. 

Durch ein Upgrade auf eine der folgenden OneFS-Versionen sollte das Problem vermieden werden, da ein Failback eingeführt wurde, wenn nicht vom Key Manager gelesen werden konnte:

• OneFS 9.5.1.0
• OneFS 9.7.1.1
• OneFS 9.8.0.1