IDPA: Implementering mislykkes med fejlen "Kunne ikke aktivere godkendelsespolitik på Protection Storage"

Implementering af Data Domain mislykkes på Protection Storage.

Følgende fejl kan opleves i diagnosticeringsrapporten:

• Godkendelsespolitikken på Protection Storage kunne ikke aktiveres
• Kunne ikke markere konfigurationsopsætningen som fuldført-markering

I ACM CLI viser /usr/local/dataprotection/var/configmgr/server_data/logs/server.log-logfilen følgende fejlmeddelelse:

2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

DD SO-brugernavn- og adgangskodekriterier stemmer ikke overens med kriterier, som er pålagt af ACM på ny installationsbrugergrænsefladen på siden Skift enhedadgangskode.

Det følgende er de yderligere DD SO-brugernavn- og adgangskodekriterier, som er pålagt af DD og ikke er screenet af ACM i IDPA 2.6 eller 2.6.1.

1. Det kan ikke være "admin" og ingen af følgende (ikke forskel på store og små bogstaver):

• Administratorer
• Gæsterne
• Brugere

2. Det kan ikke være det samme som for indbyggede brugere (ikke med forskel på store og små bogstaver):

• root
• Bin
• Daemon
• Adm
• Lp
• Sync
• Mail
• Operatør
• Ingen
• Sshd
• Apache
• Ldap
• Rpc
• vcsa
• pcap
• tcpdump
• Dbus
• Ntp
• rpcuser
• cifsuser
• sys-intern
• nfsnobody
• chrony (chrony)
• svcuser
• Sysadmin
• __security_internal__
• dd_scpuser
• adgangskode (skjult nøgleord)
• min.-days-between-change (min. dag-mellem-ændring)
• maks. dag-mellem-ændring
• warn-days-before-expire
• disable-days-after-expire
• disable-date (deaktiver dato)
• force-password-change

3. Tegn, der er tilladt som en del af brugernavnet: a-zA-Z0-9_.-
4. Kontrol af enkeltheden af adgangskode:
   1. Adgangskoden skal mindst indeholde "3" særskilte tegn. F.eks.
      • Hvis den adgangskode, der indstilles, er "aaaa11", afvises den som en svag adgangskode med fejlen "Svag adgangskode: Ikke nok forskellige tegn eller klasser."
      • På samme måde afvises "aaaaa". Men "abbb11" accepteres. Det skyldes, at adgangskoden skal bestå af mindst tre særskilte tegn: "a", "b" og "1".
5. DDOS husker også de sidste "6"-adgangskoder, der blev indstillet til en bruger. Hvis brugeren forsøger at genbruge nogen af disse "6"-adgangskoder, fejler DDOS.
6. Hvis adgangskode og brugernavn har en almindelig understreng med en længde på mere end "4", fjernes den fælles understreng fra adgangskoden, og de resterende tegn i adgangskoden er underlagt kontrol af adgangskodestyrken. Matchet til almindelig understreng skelner mellem store og små bogstaver. F.eks.
   • Hvis brugernavnet er "security_officer", og den indstillede adgangskode er Security_12345, er "12345" underlagt en kontrol af adgangskodestyrken. Da længden er mindre end "6", mislykkes adgangskodeændringen med årsagen "almindelig understreng" i adgangskoden. 
   • Hvis brugernavnet er "news", og adgangskoden er indstillet "news_12345", lykkes adgangskoden. Det skyldes, at DDOS fjerner den almindelige understreng "news" og bekræfter adgangskodestyrken ved de resterende tegn, "_12345". Da denne adgangskode overholder parametrene for standardadgangskodens styrke, gennemføres ændringen af adgangskoden. 
7. På samme måde, hvis det omvendte af adgangskode og brugernavn har en fælles understreng med en længde på mere end "4", så fjernes den almindelige understreng fra adgangskoden, og resterende tegn i adgangskoden er underlagt kontrol af adgangskodens styrke. Match for almindelig understreng skelner mellem store og små bogstaver, f.eks. indstilling af "swen_1234" adgangskode. Omvendt adgangskode har fælles understreng af "news", og den resterende adgangskode har "_1234", som ikke overholder kravet om minimumlængde for adgangskode, som er "6". Dette returnerer en fejl. 

 

8. Minimumlængden er "6", og DDOS gennemtvinger IKKE en adgangskode for at have:

• mindst ét lille bogstav
• mindst ét stort bogstav
• mindst ét ciffer
• mindst ét specialtegn, dvs. !@#$%^&*()_+-=
• højst tre på hinanden følgende gentagne tegn.

Scenarier:

På grund af disse yderligere begrænsninger vil det, hvis brugeren angiver DD SO-brugernavn "idpa_admin" og adgangskode "Idpa_12345", medføre fejl, fordi almindelig streng idpa_ fjernes, og der sker en kontrol af minimumlængden på strengen "12345", og den tilfredsstiller ikke reglen.

DD SO-brugernavnet "idpaadmin" og adgangskoden "Idpa_12345" fungerer, da adgangskodens længde evalueres på "_123456" og resulterer i, at adgangskoden lykkedes.

Løsning:
For DP4400-enheder skal du kontakte Support eller Professional Services for at køre RESET Utility og derefter vælge brugernavn og adgangskode for Data Domain > Protection Storage Security Officer i henhold til ovenstående krav.

For udstyr i PowerProtect DP-serien eller IDPA-modellerne DP5800, 5900, 8300, 8400, 8800 og 8900 fungerer NULSTILLINGsværktøjet ikke, da det ikke rydder brugeren af DD Security Officer. Kontakt Dell EMC Support, der henviser til denne artikel.

Vigtige bemærkninger:

• Dette problem håndteres i IDPA version 2.7, som omfatter passende begrænsninger på ACM-indtastningsfeltet for Feltet for Data Domain og Protection Storage Security-lederfeltet.
• Dette problem gælder kun for IDPA-versioner 2.6.x.
• Denne KB gælder kun for scenarie med implementerings- eller installationsfejl.