PowerScale OneFS : LDAP hors ligne sur tous les nœuds lors de la mise à niveau de la version antérieure à OneFS 9.5 vers la version 9.5

Lors de la mise à niveau de OneFS 9.4 ou version antérieure vers OneFS 9.5, il est possible que LDAP s’affiche hors ligne pour tous les nœuds.

 Des messages similaires à ce qui suit s’affichent dans /var/log/lsassd.log Sur un nœud donné : 

ClusterName-2(id2) lsass[6461]: [lsass] Failed to bind to LDAP server as 'BindAccount', [Error 49, Invalid credentials] 

ClusterName-2(id2) lsass[6461]: [lsass] Failed connect to ldap server: ldap://LDAPFQDN. Error code: 40330 (symbol: LW_ERROR_LDAP_INVALID_CREDENTIALS). Marking server as denylist.

Lors de la vérification côté LDAP, le compte utilisé pour BIND s’affiche comme verrouillé en raison d’un trop grand nombre de tentatives de mot de passe infructueuses. 

Dans OneFS 9.5, le mot de passe utilisé pour BIND est déplacé de gconfig au gestionnaire de clés. Toutefois, LSASS peut terminer le chargement avant la fin de la migration, ce qui entraîne NULL en cours de stockage pour le BindPW dans le gestionnaire de clés. Le cluster tente ensuite de : BIND vers le serveur LDAP à l’aide de la commande NULL par défaut.
 

Le déverrouillage du compte du côté LDAP utilisé pour restaurer l’accès BIND. Ce problème ne devrait pas avoir d’impact sur les futures mises à niveau de code, car le mot de passe est lu à partir du gestionnaire de clés avec succès une fois lsass actualisé. 

La mise à niveau vers l’une des versions OneFS suivantes doit éviter le problème, car une restauration automatique est introduite en cas d’échec de la lecture à partir du gestionnaire de clés :

• OneFS 9.5.1.0
• OneFS 9.7.1.1
• OneFS 9.8.0.1