IDPA: Käyttöönotto epäonnistuu virheen "Failed to enable authorization policy on Protection Storage" vuoksi

Data Domainin käyttöönotto Protection Storagessa epäonnistuu.

Diagnostiikkaraportissa voi näkyä seuraavia virheitä:

• Failed to enable authorization policy on Protection Storage
• Failed to mark configuration setup complete flag

ACM-komentoriviliittymässä /usr/local/dataprotection/var/configmgr/server_data/logs/server.log-lokitiedostossa näkyy seuraava virheilmoitus:

2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

DD SO:n käyttäjätunnus- ja salasanaehdot eivät vastaa ehtoja, jotka ACM on asettanut change appliance password -sivun puhtaassa asennuskäyttöliittymässä.

Seuraavassa ovat DD:n määrittämät DD SO -käyttäjänimen ja -salasanan ehdot, joita ACM ei tarkista IDPA 2.6- tai 2.6.1-versiossa.

1. Se ei voi olla admin eikä mikään seuraavista (kirjainkoko ei ole merkitsevä):

• Administrators
• Guests
• Users

2. Se ei voi olla sama kuin sisäisillä käyttäjillä (kirjainkoko ei ole merkitsevä):

• root
• bin
• daemon
• adm
• lp
• sync
• mail
• operator
• nobody
• sshd
• apache
• ldap
• rpc
• vcsa
• pcap
• tcpdump
• dbus
• ntp
• rpcuser
• cifsuser
• sys-internal
• nfsnobody
• chrony
• svcuser
• sysadmin
• __security_internal__
• dd_scpuser
• salasana (piilotettu avainsana)
• min-days-between-change
• max-days-between-change
• warn-days-before-expire
• disable-days-after-expire
• disable-date
• force-password-change

3. Käyttäjänimessä sallitaan merkit: a–zA–Z0–9_.-
4. Salasanan yksinkertaisuuden tarkistaminen:
   1. Salasanassa ON OLTAVA vähintään 3 eri merkkiä. Esimerkki:
      • Jos määritettävä salasana on aaaa11, se hylätään heikkona salasanana ja näyttöön tulee virheilmoitus Heikko salasana: Not enough different characters or classes.
      • Vastaavasti "aaaaa" hylätään. abbb11 on kuitenkin hyväksytty. Tämä johtuu siitä, että salasanassa on vähintään kolme merkkiä eri merkkiä: a, b ja 1.
5. DDOS muistaa myös viimeisimmät 6 käyttäjän salasanaa. Jos käyttäjä yrittää käyttää jotakin näistä 6 salasanasta, DDOS ei toimi.
6. Jos salasanan ja käyttäjänimen yhteispituus on yli 4, yleinen alistrstrointi poistetaan salasanasta ja muut salasanan merkit tarkistetaan salasanan voimakkuustarkistuksissa. Yhteisen alimerkkijonon vastaavuudessa ei huomioida kirjainkokoa. Esimerkki:
   • Jos käyttäjätunnus on security_officer ja salasana on Security_12345, salasanan vahvuustarkistus koskee 12345-kirjainta. Koska pituus on alle 6, salasanan muutos epäonnistuu, ja salasanassa näkyy teksti Common substring. 
   • Jos käyttäjätunnus on "news" ja salasana määritetään news_12345, salasana onnistuu. Tämä johtuu siitä, että DDOS poistaa yleiset alisyötteet "news" ja varmistaa salasanan voimakkuuden tarkistuksen jäljellä olevista merkeistä, "_12345". Salasanan oletusvahvuusparametrit ovat käytössä, ja salasanan muutos onnistuu. 
7. Vastaavasti jos salasanan ja käyttäjänimen käänteisessä järjestyksessä on yleinen yli 4 pituuden alisyöte, salasanan yleiset alisalasanat poistetaan ja salasanan jäljellä olevat merkit tarkistetaan salasanan voimakkuustarkistuksen mukaisesti. Common Substring -asetuksen vastaavuus on merkitsevä, esimerkiksi swen_1234 salasanan asettaminen. Salasanan käänteisessä käänteessä on usein "news"-alisalasana, ja jäljellä olevalla salasanalla on _1234, joka ei ole salasanan vähimmäispituusvaatimus eli 6. Tämä palauttaa virheen. 

 

8. Tarvittava vähimmäispituus on 6, ja DDOS EI vaadi salasanaa, jotta:

• vähintään yksi pieni kirjain
• vähintään yksi iso kirjain
• vähintään yksi numero
• vähintään yksi erikoismerkki on !@#$%^&*()_+-=
• useimmiten kolme peräkkäistä merkkiä.

Skenaariot:

Jos käyttäjä antaa DD SO:n käyttäjätunnuksen idpa_admin ja salasanan Idpa_12345, se epäonnistuu, koska yleinen merkkijono idpa_ poistetaan ja 12345-merkkijono ei täytä sääntöä.

DD SO -käyttäjätunnus idpaadmin ja salasana "Idpa_12345" toimivat, koska salasanan pituus arvioidaan _123456-kohdassa, mikä onnistuu.

Ratkaisu:
Jos kyseessä on DP4400-laite, ota yhteys tukeen tai professional-palveluihin reset-apuohjelman suorittamista varten ja valitse Data Domain > Protection Storage Security Officer -käyttäjätunnus ja -salasana yllä olevien vaatimusten mukaisesti.

PowerProtect DP -sarjan laite- tai IDPA-malleissa DP5800, 5900, 8300, 8400, 8800 ja 8900 RESET Utility ei toimi, koska se ei puhdista DD Security Officer -käyttäjää. Ota yhteys Dell EMC -tukeen, joka viittaa tähän artikkeliin.

Tärkeät huomautukset:

• Ongelma on korjattu IDPA-versiossa 2.7, joka sisältää asianmukaiset rajoitukset Data Domainin ja Protection Storage Security Officerin ACM-syöttökenttään.
• Ongelma koskee vain IDPA-versioita 2.6.x.
• Tämä tietämyskanta koskee vain käyttöönotto- tai asennusvirhetilanteisiin.