XtremIO: LDAP-configuratiefout bij gebruik van beveiligde kanaal-LDAP's
Summary: Verificatiefouten kunnen optreden wanneer LDAP-verificatie, met behulp van LDAPS, is geconfigureerd voor externe gebruikers.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Achtergrond
In sommige gevallen kunnen er verificatiefouten optreden wanneer de klant LDAP-authenticatie configureert voor externe gebruikers.
De volgende XtremIO-omgevingen kunnen door dit probleem worden beïnvloed:
- Dell EMC software: XtremIO 6.3.2 en hoger.
Probleem
Wanneer de klant LDAP-verificatie configureert voor externe gebruikers, kunnen er verificatiefouten optreden onder alle volgende omstandigheden:
- De LDAP-server dient via een beveiligd kanaal LDAPS in plaats van LDAP
- Er bestaat een configuratie-item TLS_CIPHER_SUITE ALL:! ECDHE in /etc/openldap/ldap.conf
- De bestaande certificering aan de serverzijde wordt gegenereerd via versleuteling ECDHE.
Gezien de bovenstaande omstandigheden retourneert de serverzijde een fout zoals,
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Softwareprobleem als gevolg van incompatibiliteit van TLS_CIPHER_SUITE ALL:! ECDHE met certificering aan serverzijde die wordt gegenereerd via Cipher ECDHE
Resolution
Om te bepalen of LDAP wordt gebruikt, voert u de xmcli-opdracht show-user-accounts uit. De eigenschap External-Account is True wanneer LDAP wordt gebruikt:
Om deze fout te voorkomen, voert u een van de volgende opties uit:
Als het XMS wordt geüpgraded naar XMS 6.3.2 of hoger, dient dit na de upgrade te worden uitgevoerd.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Om deze fout te voorkomen, voert u een van de volgende opties uit:
- Genereer het certificeringsbestand opnieuw samen met de code buiten ECDHE. Gebruik openssl tool om een nieuw certificaat te genereren zonder gebruik te maken van ECDHE cipher suite en voer vervolgens de opdracht modify-ldap-config uit in xmcli console, bijvoorbeeld:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
of
- Reageer op het configuratie-item TLS_CIPHER_SUITE ALLE:! ECDHE in /etc/openldap/ldap.conf.
Als het XMS wordt geüpgraded naar XMS 6.3.2 of hoger, dient dit na de upgrade te worden uitgevoerd.
Affected Products
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Article Properties
Article Number: 000185589
Article Type: Solution
Last Modified: 19 Sept 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.