IDPA: Die Bereitstellung schlägt mit dem Fehler „Failed to enable authorization policy on Protection Storage“ fehl.

Data Domain-Bereitstellung schlägt auf Datenschutzspeicher fehl.

Im Diagnosebericht werden möglicherweise die folgenden Fehler angezeigt:

• Failed to enable authorization policy on Protection Storage
• Failed to mark configuration setup complete flag

In der ACM-CLI zeigt die Datei /usr/local/dataprotection/var/configmgr/server_data/logs/server.log die folgende Fehlermeldung an:

2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

DD SO-Benutzernamen- und Passwortkriterien stimmen nicht mit Kriterien überein, die von ACM auf der Benutzeroberfläche für die Neuinstallation auf der Seite "Change Appliance Password" auferlegt werden.

Im Folgenden sind die zusätzlichen DD SO-Nutzernamen- und Kennwortkriterien aufgeführt, die von DD festgelegt und von ACM in IDPA 2.6 oder 2.6.1 nicht geprüft werden.

1. Es darf nicht "admin" und keine der folgenden Optionen sein (ohne Groß- und Kleinschreibung beachten):

• Administratoren
• Gäste
• Nutzer

2. Sie darf nicht mit der von integrierten Benutzern identisch sein (ohne Groß- und Kleinschreibung beachten):

• Root
• bin
• daemon
• adm
• lp
• sync
• Mail
• operator
• nobody
• sshd
• apache
• ldap
• rpc
• vcsa
• pcap
• tcpdump
• dbus
• ntp
• rpcuser
• cifsuser
• sys-internal
• nfsnobody
• chrony
• svcuser
• sysadmin
• __security_internal__
• dd_scpuser
• Kennwort (ausgeblendetes Schlüsselwort)
• min-days-between-change
• max-days-between-change
• warn-days-before-expire
• disable-days-after-expire
• disable-date
• force-password-change

3. Zeichen, die als Teil des Nutzernamens zulässig sind: a-zA-Z0-9_.-
4. Überprüfen der Einfachheit des Kennworts:
   1. Das Kennwort MUSS mindestens 3 unterschiedliche Zeichen enthalten. Zum Beispiel:
      • Wenn das festgelegte Passwort "aaaa11" lautet, wird dies als schwaches Passwort mit dem Fehler "Schwaches Passwort: Not enough different characters or classes."
      • Ebenso wird "aaaaa" abgelehnt. "abbb11" wird jedoch akzeptiert. Dies liegt daran, dass dieses Passwort mindestens drei unterschiedliche Zeichen hat: "a", "b" und "1".
5. DDOS speichert auch die letzten "6" Passwörter, die für einen Benutzer festgelegt wurden. Wenn der Benutzer versucht, eines dieser "6"-Passwörter wiederzuverwenden, schlägt DDOS fehl.
6. Wenn Passwort und Benutzername eine gemeinsame Teilzeichenfolge mit einer Länge von mehr als "4" haben, wird die gemeinsame Teilzeichenfolge aus dem Passwort entfernt und die verbleibenden Zeichen des Passworts werden einer Überprüfung der Passwortstärke unterzogen. Bei der Überprüfung auf eine gemeinsame Teilzeichenfolge wird zwischen Groß- und Kleinschreibung unterschieden. Zum Beispiel:
   • Wenn der Benutzername "security_officer" ist und das festgelegte Passwort Security_12345 ist, unterliegt "12345" der Überprüfung der Passwortstärke. Da die Länge kleiner als "6" ist, schlägt die Passwortänderung mit dem Grund "common substring" im Passwort fehl. 
   • Wenn der Benutzername "news" ist und das festgelegte Passwort "news_12345" lautet, ist das Passwort erfolgreich. Der Grund dafür ist, dass DDOS die gemeinsame Teilzeichenfolge "news" entfernt und die Überprüfung der Passwortstärke auf den verbleibenden Zeichen "_12345" überprüft. Da dieses Passwort den Standardparametern für die Passwortstärke entspricht, ist die Kennwortänderung erfolgreich. 
7. Wenn das Umgekehrte von Passwort und Benutzername eine gemeinsame Teilzeichenfolge von mehr als "4" aufweist, wird die gemeinsame Teilzeichenfolge aus dem Passwort entfernt und die verbleibenden Zeichen im Passwort unterliegen der Überprüfung der Passwortstärke. Übereinstimmung für gemeinsame Teilzeichenfolge wird nicht zwischen Groß- und Kleinschreibung unterschieden, z. B. beim Festlegen des Passworts "swen_1234". Reverse-of-Password hat die gemeinsame Teilzeichenfolge "news" und das verbleibende Passwort hat "_1234", was nicht der Mindestlängenanforderung für das Passwort entspricht, die "6" ist. Dies gibt einen Fehlerwert aus. 

 

8. Die erforderliche Mindestlänge ist "6" und DDOS erzwingt nicht, dass das Passwort Folgendes hat:

• mindestens ein Kleinbuchstaben
• mindestens ein Großbuchstaben
• mindestens eine Ziffer
• mindestens ein Sonderzeichen: !@#$%^&*()_+-=
• höchstens drei aufeinanderfolgende Zeichen.

Szenarien:

Wenn der Benutzer aufgrund dieser zusätzlichen Einschränkungen den DD SO-Benutzernamen "idpa_admin" und das Passwort "Idpa_12345" bereitstellt, führt dies zu einem Fehler, da die gemeinsame Zeichenfolge idpa_ entfernt wird und eine Überprüfung der Mindestlänge für die Zeichenfolge "12345" durchgeführt wird und die Regel nicht erfüllt wird.

Der DD SO-Benutzername "idpaadmin" und das Passwort "Idpa_12345" funktionieren, da die Passwortlänge auf "_123456" ausgewertet wird, was zu einem Erfolg führt.

Lösung:
Wenden Sie sich für DP4400-Appliances an den Support oder Professional Services, um das RESET-Dienstprogramm auszuführen, und wählen Sie dann den Benutzernamen und das Passwort des Data Domain > Protection Storage Security Officer gemäß den oben genannten Anforderungen aus.

Bei Appliances der PowerProtect DP Serie oder IDPA-Modellen DP5800, 5900, 8300, 8400, 8800 und 8900 funktioniert das RESET-Dienstprogramm nicht, da es den DD Security Officer-Benutzer nicht bereinigt. Wenden Sie sich an den Dell EMC Support, der sich auf diesen Artikel bezieht.

Wichtige Hinweise:

• Dieses Problem wurde in IDPA-Version 2.7 behoben, die entsprechende Einschränkungen für das ACM-Eingabefeld für das Feld "Data Domain" und das Feld "Protection Storage Security Officer" enthält.
• Dieses Problem tritt nur bei den IDPA-Versionen 2.6.x auf.
• Dieser Wissensdatenbank-Artikel gilt nur für Szenarien mit Bereitstellungs- oder Installationsfehlern.