IDPA: Dağıtım, "Failed to enable authorization policy on Protection Storage" (Protection Storage'da yetkilendirme politikası etkinleştirilemedi) hatasıyla başarısız oluyor

Data Domain dağıtımı Protection Storage'da başarısız oluyor.

Tanılama raporunda aşağıdaki hatalar görülebilir:

• Failed to enable authorization policy on Protection Storage (Protection Storage'da yetkilendirme politikası etkinleştirilemedi)
• Failed to mark configuration setup complete flag (Yapılandırma kurulumu tamamlandı bayrağı işaretlenemedi)

ACM CLI'de , /usr/local/dataprotection/var/configmgr/server_data/logs/server.log günlük dosyası aşağıdaki hata mesajını gösterir:

2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

DD SO kullanıcı adı ve parola kriterleri, Aygıt Parolasını Değiştir Sayfasındaki yeni yükleme kullanıcı arayüzünde ACM tarafından dayatılan kriterlerle eşleşmiyor.

IDPA 2.6 veya 2.6.1'de DD tarafından gerekli kılınan ve ACM tarafından taranmayan ek DD SO kullanıcı adı ile parola kriterleri aşağıda verilmiştir.

1. "admin" (yönetici) ve hiçbiri (Büyük/küçük harfe duyarlı değil) olarak algılanamamaz:

• Administrators
• Guests
• Users

2. Yerleşik kullanıcılarınkiyle aynı değildir (Büyük/küçük harfe duyarlı değildir):

• root
• bin
• daemon
• adm
• lp
• sync
• mail
• operator
• nobody
• sshd
• apache
• ldap
• rpc
• vcsa
• pcap
• tcpdump
• dbus
• ntp
• rpcuser
• cifsuser
• sys-internal
• nfsnobody
• chrony
• svcuser
• sysadmin
• __security_internal__
• dd_scpuser
• parola (gizli anahtar sözcük)
• min-days-between-change
• max-days-between-change
• warn-days-before-expire
• disable-days-after-expire
• disable-date
• force-password-change

3. Kullanıcı adına dahil edilmesine izin verilen karakterler: a-zA-Z0-9_.-
4. Parolanın basitliğini kontrol edin:
   1. Parolada en az "3" farklı karakter BULUNMALIDIR. Örneğin:
      • Ayarlanmış parola "aaaa11" ise bu, Zayıf parola olarak reddedilir ve "Zayıf parola: Yeterli farklı karakter veya sınıf yok."
      • Benzer şekilde "aaaaa" reddedilir. Ancak "abbb11" kabul edilir. Bunun nedeni, bu parolanın en az üç farklı karaktere sahip olmasıdır: "a", "b" ve "1".
5. DDOS ayrıca bir kullanıcı için ayarlanmış son "6" parolayı da hatırlar. Kullanıcı bu "6" parolalardan herhangi birini yeniden kullanmayı dendiğinde DDOS hataları görüntülenir.
6. Parola ve kullanıcı adı "4"ten daha uzun ortak bir alt dizeye sahipse ortak alt dize paroladan kaldırılır ve parolanın kalan karakterleri parola gücü denetimlerine tabi olarak kalır. Ortak alt dizeye ilişkin eşleşme büyük/küçük harfe duyarlı değildir. Örneğin:
   • Kullanıcı adı "security_officer" ise ve parola Security_12345 ise "12345" parola gücü kontrolüne tabidir. Uzunluk "6"dan küçük olduğundan parola değişikliği, parolada "ortak alt dize" olarak neden ile başarısız oluyor. 
   • Kullanıcı adı "news" (haber) ve ayarlanmış parola "news_12345" ise parola başarılı olur. Bunun nedeni, DDOS'un ortak alt dize "haberleri" kaldırır ve kalan karakter "_12345" üzerindeki parola gücü denetimi doğrular. Bu parola varsayılan parola güç parametrelerine bağlı olduğu için parola değişikliği başarılı olur. 
7. Benzer şekilde, parolanın tersinde ve kullanıcı adı "4"ten daha uzun ortak alt dizeye sahipse paroladan ortak alt dize kaldırılır ve paroladaki kalan karakterler parola gücü kontrolüne tabi olur. Ortak alt dizeyle eşleşme, büyük/küçük harfe duyarlıdır; örneğin, "swen_1234" parolasını ayarlama. Parolanın ters bölümünde "news" (haber) alt dizilimleri ve kalan parolada "6" olan minimum uzunluk gereksinimine uymamış "_1234" parola vardır. Bu bir hata döndürür. 

 

8. Gerekli olan minimum uzunluk "6" ve DDOS aşağıdakilere sahip olmak için parola uygulamaZ:

• en az bir küçük harf
• en az bir büyük harf
• en az bir rakam
• en az bir özel karakter: !@#$%^&*()_+-=
• en fazla art arda üç karakter.

Senaryolar:

Bu ek kısıtlamalar nedeniyle, kullanıcı DD SO Kullanıcı Adı "idpa_admin" ve Parola "Idpa_12345" sağlarsa ortak dize idpa_ kaldırıldığından ve "12345" dizesinde minimum uzunluk kontrolü gerçekleştiği ve kuralı karşılamaması nedeniyle hataya neden olur.

DD SO Kullanıcı Adı "idpaadmin" ve Parola "Idpa_12345" parola uzunluğu "_123456" üzerinde değerlendirildiğinden başarılı sonuçlar verir.

Çözüm:
DP4400 Cihazları için, RESET Yardımcı Programını çalıştırmak için Destek veya Profesyonel Hizmetler ile iletişime geçin ve ardından yukarıdaki gereksinimlere göre Data Domain > Protection Storage Security Officer kullanıcı adı ve parolasını seçin.

PowerProtect DP Serisi Cihaz veya IDPA modelleri DP5800, 5900, 8300, 8400, 8800 ve 8900 modellerinde, DD Güvenlik Görevlisi Kullanıcısını temizlemezken RESET Yardımcı Programı çalışmaz. Bu makaleye referans olarak Dell EMC Destek ile iletişime geçin.

Önemli Notlar:

• Bu sorun, Data Domain ve Protection Storage Security (Koruma Depolama Güvenliği) görevlisi alanı için ACM giriş alanında uygun kısıtlamaları içeren IDPA sürüm 2.7'de giderildi.
• Bu sorun yalnızca IDPA 2.6.x sürümlerinde ortaya çıkabilir.
• Bu KB yalnızca dağıtım veya kurulum arızası senaryosu için geçerlidir.