IDPA : Échec du déploiement avec l’erreur « Failed to enable authorization policy on Protection Storage »
Summary: IDPA 2.6 ou 2.6.1 Nouvelle installation: La création de l’utilisateur DD Security Officer (SO) échoue en raison de critères de nom d’utilisateur et de mot de passe qui ne sont pas respectés. L’erreur « Failed to enable authorization policy on Protection Storage » s’affiche. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Le déploiement de Data Domain échoue sur le stockage de protection.
Les erreurs suivantes peuvent apparaître dans le rapport de diagnostic:
Les erreurs suivantes peuvent apparaître dans le rapport de diagnostic:
- Failed to enable authorization policy on Protection Storage
- Failed to mark configuration setup complete flag
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed. 2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE 2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task. 2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH. com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.
Cause
Les critères de nom d’utilisateur et de mot de passe DD SO ne correspondent pas aux critères imposés par ACM sur l’interface utilisateur de nouvelle installation sur la page Modifier le mot de passe de l’appliance.
Resolution
Vous trouverez ci-dessous les critères supplémentaires de nom d’utilisateur et de mot de passe DD SO imposés par DD mais pas analysés par ACM dans IDPA 2.6 ou 2.6.1.
en raison de ces restrictions supplémentaires, si l’utilisateur fournit le nom d’utilisateur DD SO « idpa_admin » et le mot de passe « Idpa_12345 », cela entraîne l’échec, car la idpa_ de chaîne commune est supprimée et la vérification de longueur minimale se produit sur la chaîne « 12345 » et cela ne répond pas à la règle.
Le nom d’utilisateur DD SO « idpaadmin » et le mot de passe « Idpa_12345 » fonctionnent comme la longueur du mot de passe est évaluée sur « _123456 » et se traduit par une réussite.
Solution:
pour les appliances DP4400, contactez le support ou les services professionnels pour exécuter l’utilitaire RESET, puis choisissez le nom d’utilisateur et le mot de passe data domain > Protection Storage Security Officer conformément aux exigences ci-dessus.
Pour les appliances PowerProtect série DP ou les modèles IDPA DP5800, 5900, 8300, 8400, 8800 et 8900, l’utilitaire RESET ne fonctionne pas car il ne nettoie pas l’utilisateur responsable de la sécurité DD. Contactez le support Dell EMC en référence à cet article.
- Il ne peut pas être « admin » et aucun des éléments suivants (non sensible à la casse):
- Administrateurs
- Invités
- Utilisateurs
- Il ne peut pas être identique à celui des utilisateurs intégrés (non sensibles à la casse):
- racine
- bin
- daemon
- adm
- lp
- sync
- mail (courrier)
- operator
- nobody
- sshd
- apache
- ldap
- rpc
- vcsa
- pcap
- tcpdump
- dbus
- ntp
- rpcuser
- cifsuser
- sys-internal
- nfsnobody
- chrony
- svcuser
- sysadmin
- __security_internal__
- dd_scpuser
- mot de passe (mot-clé masqué)
- nombre-jours-min-entre-modification
- nombre-jours-max-entre-modification
- nombre-jours-avertissement-avant-expiration
- nombre-jours-désactivation-avant-expiration
- date-de-désactivation
- forcer-modification-mot de passe
- Caractères autorisés dans le cadre du nom d’utilisateur : a-zA-Z0-9_.-
- Vérification de la simplicité du mot de passe :
- Le mot de passe DOIT comporter au moins « 3 » caractères distincts. Par exemple :
- Si le mot de passe en cours de définition est « aaaa11 », il est rejeté en tant que mot de passe faible avec l’erreur « Mot de passe faible: Pas assez de caractères ou de classes différents. »
- De même, « aaaaa » est rejeté. Toutefois, « abbb11 » est accepté. Cela est dû au fait que ce mot de passe comporte au moins trois caractères distincts: « a », « b » et « 1 ».
- Le mot de passe DOIT comporter au moins « 3 » caractères distincts. Par exemple :
- DDOS mémorise également les 6 derniers mots de passe définis pour un utilisateur. Si l’utilisateur tente de réutiliser l’un de ces « 6 » mots de passe, les erreurs DDOS s’affichent.
- Si le mot de passe et le nom d’utilisateur ont une sous-chaîne commune de longueur supérieure à « 4 », la sous-chaîne commune est supprimée du mot de passe et les caractères restants du mot de passe sont soumis à des vérifications de sécurité du mot de passe. La correspondance des sous-chaînes courantes n’est pas sensible à la casse. Par exemple :
- Si le nom d’utilisateur est « security_officer » et que le mot de passe en cours de définition est Security_12345, « 12345 » est soumis à la vérification de la sécurité du mot de passe. Étant donné que la longueur est inférieure à « 6 », la modification du mot de passe échoue avec le motif « common substring » dans le mot de passe.
- Si le nom d’utilisateur est « news » et que le mot de passe défini est « news_12345 », le mot de passe réussit. Cela est dû au fait que DDOS supprime la sous-chaîne commune « news » et vérifie la force du mot de passe sur les caractères restants, « _12345 ». Comme ce mot de passe respecte les paramètres de niveau de sécurité du mot de passe par défaut, la modification du mot de passe réussit.
- De même, si l’inverse du mot de passe et du nom d’utilisateur a une sous-chaîne commune de longueur supérieure à « 4 », la sous-chaîne commune est supprimée du mot de passe et les caractères restants du mot de passe sont soumis à la vérification de la sécurité du mot de passe. La correspondance des sous-chaînes courantes n’est pas sensible à la casse, par exemple, la définition du mot de passe « swen_1234 ». L’inverse du mot de passe a une sous-chaîne commune de « news » et le mot de passe restant est « _1234 », ce qui ne respecte pas l’exigence de longueur minimale pour le mot de passe qui est « 6 ». Cela renvoie une erreur.
sysadmin@time# user change password news
Saisissez un nouveau mot de passe : (Fourni « swen_1234 » ici)
Saisissez à nouveau le nouveau mot de passe:
mots de passe correspondants.
** Le mot de passe de l’utilisateur « news » n’est pas défini pour les raisons suivantes:
Saisissez un nouveau mot de passe : (Fourni « swen_1234 » ici)
Saisissez à nouveau le nouveau mot de passe:
mots de passe correspondants.
** Le mot de passe de l’utilisateur « news » n’est pas défini pour les raisons suivantes:
Mot de passe faible: basé sur les informations de connexion personnelles.
Définition du mot de passe « swen_12345 ». L’inverse du mot de passe a une sous-chaîne commune de « news » et le mot de passe restant a « _12345 » respecte la longueur minimale requise et contient au moins « 3 » caractères distincts. Le mot de passe a été modifié avec succès.
sysadmin@time# user change password news
Saisissez un nouveau mot de passe : (À condition que « swen_12345 » ici)
Saisissez à nouveau le nouveau mot de passe:
mots de passe correspondants.
Mot de passe modifié pour l’utilisateur « news ».
sysadmin@time# user change password news
Saisissez un nouveau mot de passe : (À condition que « swen_12345 » ici)
Saisissez à nouveau le nouveau mot de passe:
mots de passe correspondants.
Mot de passe modifié pour l’utilisateur « news ».
- La longueur minimale requise est de « 6 » et DDOS n’applique PAS le mot de passe pour avoir:
- au moins un caractère minuscule
- au moins un caractère majuscule
- au moins un chiffre
- au moins un caractère spécial: !@#$%^&*()_+-=
- au maximum, trois caractères répétés consécutifs.
en raison de ces restrictions supplémentaires, si l’utilisateur fournit le nom d’utilisateur DD SO « idpa_admin » et le mot de passe « Idpa_12345 », cela entraîne l’échec, car la idpa_ de chaîne commune est supprimée et la vérification de longueur minimale se produit sur la chaîne « 12345 » et cela ne répond pas à la règle.
Le nom d’utilisateur DD SO « idpaadmin » et le mot de passe « Idpa_12345 » fonctionnent comme la longueur du mot de passe est évaluée sur « _123456 » et se traduit par une réussite.
Solution:
pour les appliances DP4400, contactez le support ou les services professionnels pour exécuter l’utilitaire RESET, puis choisissez le nom d’utilisateur et le mot de passe data domain > Protection Storage Security Officer conformément aux exigences ci-dessus.
Pour les appliances PowerProtect série DP ou les modèles IDPA DP5800, 5900, 8300, 8400, 8800 et 8900, l’utilitaire RESET ne fonctionne pas car il ne nettoie pas l’utilisateur responsable de la sécurité DD. Contactez le support Dell EMC en référence à cet article.
Additional Information
Remarques importantes :
- Ce problème est résolu dans la version 2.7 d’IDPA, qui inclut les restrictions appropriées sur le champ d’entrée ACM pour le champ Data Domain and Protection Storage Security Officer.
- Ce problème s’applique uniquement aux versions 2.6.x d’IDPA.
- Cet article de la base de connaissances s’applique uniquement au scénario d’échec du déploiement ou de l’installation.
Products
PowerProtect Data Protection Software, Integrated Data Protection Appliance FamilyArticle Properties
Article Number: 000184067
Article Type: Solution
Last Modified: 24 Aug 2023
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.