PowerStore: Falha na autenticação LDAPS após o NDU para o PowerStoreOS 4.0.x (corrigível pelo usuário)

Summary: O PowerStoreOS 4.0.x é forçado a usar o TLS 1.2 e reduz o número de suítes de codificações compatíveis de 33 para 4. Se o servidor LDAPS não for compatível com o conjunto de codificações usado pelo PowerStore, a conexão LDAPS não poderá ser estabelecida. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

A conexão LDAPS entre o PowerStore e o servidor LDAPS é interrompida após o upgrade para o PowerStoreOS 4.0.x. Como resultado, os usuários LDAP não conseguem fazer login na interface do usuário do PowerStore. 

A "Verificação de conexão" na interface do usuário falha com o erro"LDAP domain connection error (0xE0906001000B)".

Cause

A partir do PowerStoreOS 4.0.x, o PowerStore oferece suporte a apenas quatro suítes de codificação no TLS1.2, de acordo com a Política de Segurança da Dell. 

    Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)
    Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)
    Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
    Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)

Se o servidor LDAP não for compatível com nenhum dos conjuntos de codificações acima, ocorrerá falha no handshake do LDAPS entre o PowerStore e o servidor LDAP e não será possível estabelecer a conexão LDAPS. 

Antes do PowerStoreOS 4.0.x, o PowerStore era compatível com os 33 conjuntos de codificações a seguir. 
 

                Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca9)
                Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
                Cipher Suite: TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8)
                Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024)
                Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)
                Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)
                Cipher Suite: TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02e)
                Cipher Suite: TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384 (0xc032)
                Cipher Suite: TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02d)
                Cipher Suite: TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 (0xc031)
                Cipher Suite: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384 (0xc026)
                Cipher Suite: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384 (0xc02a)
                Cipher Suite: TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 (0xc025)
                Cipher Suite: TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 (0xc029)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)
                Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)
                Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)
                Cipher Suite: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA (0xc005)
                Cipher Suite: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA (0xc00f)
                Cipher Suite: TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA (0xc004)
                Cipher Suite: TLS_ECDH_RSA_WITH_AES_128_CBC_SHA (0xc00e)
                Cipher Suite: TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
                Cipher Suite: TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
                Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)
                Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)
                Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
                Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
                Cipher Suite: TLS_EMPTY_RENEGOTIATION_INFO_SCSV (0x00ff)

 

Resolution

Solução temporária

Alterne da conexão LDAPS para a conexão LDAP. 

Correção permanente:

Habilite um dos quatro conjuntos de codificações a seguir no servidor LDAP. 
 

    Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)
    Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)
    Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
    Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)

Como determinar qual conjunto de codificações está ativado em um servidor LDAP. 

A partir do PowerStore CLI com root injetado ou de um client Linux com nmap instalado:

nmap --script ssl-enum-ciphers -p 636 <LDAP server name or IP>

Se o servidor LDAPS for um controlador de domínio do Windows, o seguinte comando do PowerShell poderá listar os conjuntos de codificações instalados no servidor. 

Get-TlsCipherSuite |findstr Name

Affected Products

PowerStoreOS
Article Properties
Article Number: 000228829
Article Type: Solution
Last Modified: 19 Nov 2024
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.