IDPA. Сбой развертывания с ошибкой «Failed to enable authorization policy on Protection Storage»

Сбой развертывания Data Domain в платформе защиты данных.

В отчете о диагностике могут отображаться следующие ошибки:

• «Failed to enable authorization policy on Protection Storage»
• «Failed to mark configuration setup complete flag»

В CLI ACM в файле журнала /usr/local/dataprotection/var/configmgr/server_data/logs/server.log отображается следующее сообщение об ошибке:

2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

Критерии имени пользователя и пароля DD SO не соответствуют критериям, которые налагаются ACM на новый пользовательский интерфейс установки на странице «Изменение пароля устройства».

Далее приведены дополнительные критерии имени пользователя и пароля DD SO, которые налагаются DD и не проверяются ACM в IDPA 2.6 или 2.6.1.

1. Он не может быть «admin», и ни одно из следующих действий (не учитывает регистр):

• Administrators
• Гости
• Пользователи

2. Он не может быть таким же, как для встроенных пользователей (не учитывает регистр):

• root
• bin
• daemon
• adm
• lp
• sync
• mail
• operator
• nobody
• sshd
• apache
• ldap
• rpc
• vcsa
• pcap
• tcpdump
• dbus
• ntp
• rpcuser
• cifsuser
• sys-internal
• nfsnobody
• chrony
• svcuser
• sysadmin
• __security_internal__
• dd_scpuser
• пароль (скрытое ключевое слово)
• min-days-between-change
• max-days-between-change
• warn-days-before-expire
• disable-days-after-expire
• disable-date
• force-password-change

3. Допустимые символы в имени пользователя: a-zA-Z0-9_.-
4. Проверка простоты пароля.
   1. Пароль ДОЛЖЕН содержать не менее 3 различных символов. Например:
      • Если установлен пароль «aaaa11», этот пароль отклоняется как слабый пароль с ошибкой «Слабый пароль: Недостаточно различных символов или классов».
      • Аналогичным образом отклоняется «aaaaa». Но «abbb11» принято. Это потому, что этот пароль имеет не менее трех отдельных символов: «a», «b» и «1».
5. DDOS также запоминает последние 6 паролей, установленных для пользователя. Если пользователь пытается повторно использовать любой из этих 6 паролей, ошибки DDOS будут устранены.
6. Если длина пароля и имени пользователя превышает «4», общая подразделы удаляются из пароля, а остальные символы пароля проверяются на прочность пароля. При совпадении общей подстроки регистр не учитывается. Например:
   • Если имя пользователя «security_officer» и установлен пароль Security_12345, для параметра «12345» будет установлена проверка надежности пароля. Поскольку длина меньше «6», изменение пароля завершается сбоем по причине «общей подстроки» в пароле. 
   • Если для имени пользователя задано значение «news», а для пароля задано значение «news_12345», пароль будет выполнен успешно. Это потому, что DDOS удаляет общую подраздел «news» и проверяет проверку надежности пароля для оставшихся символов «_12345». Поскольку этот пароль соблюдает параметры надежности пароля по умолчанию, изменение пароля завершается успешно. 
7. Аналогичным образом, если длина обратного пароля и имени пользователя превышает «4», общая подразделка удаляется из пароля, а остальные символы пароля подлежат проверке надежности пароля. Совпадение для общей подстройки не учитывает регистр, например, задав «swen_1234» пароль. Обратный пароль имеет общее подраздел «news», а оставшийся пароль имеет значение «_1234», которое не соответствует требованию к минимальной длине пароля, которая «6». Это возвращает ошибку. 

 

8. Минимальная требуемая длина — «6», и DDOS НЕ принудительно устанавливает пароль, чтобы иметь:

• не менее одного символа в нижнем регистре;
• не менее одного символа в верхнем регистре;
• не менее одной цифры;
• at-at one special character that is, !@#$%^&*()_+-=
• не более трех повторяющихся символов подряд.

Сценарии.Из-за

этих дополнительных ограничений, если пользователь предоставляет DD SO имя пользователя «idpa_admin» и пароль «Idpa_12345», это приводит к сбою, так как общая строка idpa_ удаляется, а проверка минимальной длины выполняется в строке «12345» и не выполняет правило.

Имя пользователя DD SO «idpaadmin» и пароль «Idpa_12345» работают, так как длина пароля оценивается на «_123456» и приводит к успеху.

Решение.Для
устройств DP4400 обратитесь в службу поддержки или службу dell EMC Professional Services, чтобы запустить утилиту СБРОС, а затем выберите имя пользователя и пароль Data Domain > Protection Storage Security Officer в соответствии с вышеуказанными требованиями.

Для устройств PowerProtect серии DP или IDPA модели DP5800, 5900, 8300, 8400, 8800 и 8900 утилита RESET не работает, так как она не очищает пользователя DD Security Officer. Обратитесь в службу поддержки Dell EMC, см. статью.

Важные примечания.

• Эта проблема устранена в IDPA версии 2.7, которая включает соответствующие ограничения на поле ввода ACM для поля Data Domain и Protection Storage Security.
• Эта проблема применима только к IDPA версии 2.6.x.
• Эта статья базы знаний применима только к сценарию сбоя развертывания или установки.