IDPA：部署失败，并显示错误“Failed to enable authorization policy on Protection Storage”

Data Domain 在保护存储上的部署失败。

诊断报告中可能会出现以下错误：

• Failed to enable authorization policy on Protection Storage
• Failed to mark configuration setup complete flag

在 ACM CLI 上，/usr/local/dataprotection/var/configmgr/server_data/logs/server.log 日志文件显示以下错误消息：

2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

DD SO 用户名和密码条件与 ACM 在更改设备密码页面中全新安装 UI 上施加的标准不匹配。

以下是由 DD 施加但在 IDPA 2.6 或 2.6.1 中未通过 ACM 审查的其他 DD SO 用户名和密码准则。

1. 它不能是“admin”，并且不是以下任何一项（不区分大小写）：

• Administrators
• Guests
• 用户

2. 它不能与内置用户相同（不区分大小写）：

• root
• bin
• daemon
• adm
• lp
• sync
• mail
• operator
• nobody
• sshd
• apache
• ldap
• rpc
• vcsa
• pcap
• tcpdump
• dbus
• ntp
• rpcuser
• cifsuser
• sys-internal
• nfsnobody
• chrony
• svcuser
• sysadmin
• __security_internal__
• dd_scpuser
• 密码（隐藏关键字）
• min-days-between-change
• max-days-between-change
• warn-days-before-expire
• disable-days-after-expire
• disable-date
• force-password-change

3. 允许作为用户名一部分的字符：a-zA-Z0-9_.-
4. 检查密码是否过于简单：
   1. 密码必须至少具有“3”个不同的字符。例如，
      • 如果设置的密码为“aaaa11”，则此密码被拒绝为弱密码，并显示错误“弱密码：没有足够的不同字符或类。”
      • 类似地，“aaaaa”被拒绝。但是，“abbb11”被接受。这是因为此密码至少有三个不同的字符：“a”、“b”和“1”。
5. DDOS 还记得为用户设置的最后一个“6”密码。如果用户尝试重复使用这些“6”密码中的任何一个，则 DDOS 出错。
6. 如果密码和用户名的常用子串长度超过“4”，则将从密码中删除通用子串，并且密码的其余字符将接受密码强度检查。常用子字符串的匹配不区分大小写。例如，
   • 如果用户名为“security_officer”且设置的密码Security_12345，则“12345”将接受密码强度检查。由于长度小于“6”，密码更改失败，原因为密码中的“通用子串”。 
   • 如果用户名为“news”，并且设置的密码为“news_12345”，则密码会成功。这是因为 DDOS 删除了常见的子串“news”，并验证对剩余字符“_12345”的密码强度检查。由于此密码遵循默认密码强度参数，密码更改成功。 
7. 同样，如果密码和用户名的反向具有长度超过“4”的通用子串，则将从密码中删除通用子串，密码中的剩余字符将接受密码强度检查。常见子串匹配不区分大小写，例如设置“swen_1234”密码。反向密码具有“news”的常见子串，剩余密码具有“_1234”，不符合密码的最小长度要求，即“6”。这将返回错误。 

 

8. 所需的最小长度为“6”，并且 DDOS 不强制使用以下密码：

• 至少一个小写字符
• 至少一个大写字符
• 至少一位
• 至少一个特殊字符，即 ！@#$%^&*（）_+-=
• 最多三个连续重复字符。

情景：

由于这些额外的限制，如果用户提供 DD SO 用户名“idpa_admin”和密码“Idpa_12345”，则会导致失败，因为删除了常用字符串idpa_，并且在字符串“12345”上执行最小长度检查，并且它不符合规则。

DD SO 用户名“idpaadmin”和密码“Idpa_12345”在“_123456”上计算密码长度并成功。

解决方案：
对于 DP4400 一体机，请联系支持或专业服务以运行 RESET 实用程序，然后根据上述要求选择 Data Domain > Protection Storage Security Officer 用户名和密码。

对于 PowerProtect DP 系列一体机或 IDPA 型号 DP5800、5900、8300、8400、8800 和 8900，RESET Utility 无法正常工作，因为它无法清理 DD Security Officer 用户。请参考本文联系 Dell EMC 支持。

重要说明：

• 此问题已在 IDPA 版本 2.7 中得到解决，其中包括对 Data Domain 和 Protection Storage Security officer 字段的 ACM 输入字段的相应限制。
• 此问题仅适用于 IDPA 版本 2.6.x。
• 本知识库文章仅适用于部署或安装故障情形。