IDPA: Distributionen misslyckas med felmeddelandet "Failed to enable authorization policy on Protection Storage"

Data Domain-distributionen misslyckas på skyddslagring.

Följande fel kan visas i diagnostikrapporten:

• Det gick inte att aktivera auktoriseringspolicyn för skyddslagring
• Det gick inte att markera flaggan complete flag för konfigurationsinstallationen

I ACM CLI visas följande felmeddelande i loggfilen /usr/local/dataprotection/var/configmgr/server_data/logs/server.log:

2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

DD SO:s kriterier för användarnamn och lösenord överensstämmer inte med kriterier som ACM har påförts för det nya installationsgränssnittet på sidan Change Appliance Password.

Nedan följer de ytterligare DD SO-användarnamn och lösenordskriterier som påförs av DD och inte screenas av ACM i IDPA 2.6 eller 2.6.1.

1. Det kan inte vara "admin" och inget av följande (inte skiftlägeskänsligt):

• Administratörer
• Gästerna
• Användare

2. Det kan inte vara samma som för inbyggda användare (inte skiftlägeskänsliga):

• root
• Bin
• Daemon
• Adm
• Lp
• Sync
• Mail
• Operatör
• Ingen
• Sshd
• Apache
• Ldap
• Rpc
• Vcsa
• Pcap
• Tcpdump
• Dbus
• Ntp
• rpcuser
• cifsuser
• sys-internal
• nfsnobody
• Chrony
• svcuser
• Sysadmin
• __security_internal__
• dd_scpuser
• lösenord (dolt nyckelord)
• min-days-between-change
• max dagar mellan förändring
• warn-days-before-expire
• disable-days-after-expire
• inaktiveringsdatum
• force-password-change

3. Tecken som är tillåtna som en del av användarnamnet: a-zA-Z0-9_.-
4. Kontrollera enkelheten med lösenordet:
   1. Lösenordet MÅSTE ha minst 3 olika tecken. Till exempel
      • Om lösenordet som ställs in är "aaaa11" avvisas detta som ett svagt lösenord med felmeddelandet "Weak password: Not enough different characters or classes."
      • På liknande sätt avvisas "aaaaa". Men "abbb11" accepteras. Det beror på att lösenordet har minst tre olika tecken: "a", "b" och "1".
5. DDOS kommer även ihåg de senaste "6"-lösenorden som ställts in för en användare. Om användaren försöker återanvända något av de här "6"-lösenorden uppstår ett DDOS-fel.
6. Om lösenordet och användarnamnet är längre än "4" är det vanliga understrängningen som tas bort från lösenordet och återstående lösenordstecken utsätts för kontroll av lösenordsstyrka. Matchningen för vanlig understring är skiftlägeskänslig. Till exempel
   • Om användarnamnet är "security_officer" och lösenordet som ställs in Security_12345 är "12345" föremål för kontroll av lösenordsstyrka. Eftersom längden är mindre än "6" misslyckas lösenordsändringen med orsaken "common substring" i lösenordet. 
   • Om användarnamnet är "news" och lösenordet som ställs in är "news_12345" lyckas lösenordet. Det beror på att DDOS tar bort den vanliga understrängen "news" och verifierar kontrollen av lösenordsstyrkan på återstående tecken, "_12345". Eftersom det här lösenordet följer standardparametrarna för lösenordsstyrka lyckas lösenordsändringen. 
7. Om omvänden av lösenord och användarnamn har en vanlig understräng som är mer än "4" tas vanlig understräng bort från lösenordet och återstående tecken i lösenordet är föremål för kontroll av lösenordsstyrka. Matchning vid vanlig understrängning är skiftlägeskänsligt, till exempel att ställa in lösenordet "swen_1234". Omvänd lösenord har gemensam understrängning av "nyheter" och det återstående lösenordet har "_1234" som inte följer minimikravet för längd för lösenord som är "6". Detta returnerar ett fel. 

 

8. Den minsta längd som krävs är "6" och DDOS tvingar INTE lösenord att ha:

• minst ett gement tecken
• minst en versal
• minst en siffra
• minst ett specialtecken: !@#$%^&*()_+-=
• som mest tre upprepade tecken i rad.

Scenarier:

Om användaren tillhandahåller DD SO Username "idpa_admin" och Password "Idpa_12345" på grund av dessa ytterligare begränsningar leder det till fel eftersom vanlig sträng idpa_ tas bort och minimal längdkontroll sker på strängen "12345" och den uppfyller inte regeln.

DD SO-användarnamnet "idpaadmin" och "Idpa_12345" fungerar eftersom lösenordslängden utvärderas på "_123456" och resulterar i framgång.

Lösning:
För DP4400-enheter kontaktar du support eller professionella tjänster för att köra ÅTERSTÄLLNINGsverktyget och väljer sedan användarnamn och lösenord för Data Domain > Protection Storage Security Officer enligt ovanstående krav.

För PowerProtect DP-seriens enhet eller IDPA-modellerna DP5800, 5900, 8300, 8400, 8800 och 8900 fungerar återställningsverktyget inte eftersom det inte rensar DD Security Officer-användaren. Kontakta Dell EMC:s support som hänvisar till den här artikeln.

Viktig information:

• Det här problemet har åtgärdats i IDPA version 2.7 som innehåller lämpliga begränsningar i ACM-inmatningsfältet för datadomänen och skyddslagringssäkerhetsansvariga.
• Det här problemet gäller endast för IDPA-version 2.6.x.
• Den här kunskapsdatabasartikeln gäller endast för scenarion med distribution eller installation.