IDPA：導入が失敗し、「Failed to enable authorization policy on Protection Storage」というエラーが表示される

保護ストレージでData Domainの導入が失敗します。

診断レポートに次のエラーが表示される場合があります。

• Failed to enable authorization policy on Protection Storage
• Failed to mark configuration setup complete flag

ACM CLIで、/usr/local/dataprotection/var/configmgr/server_data/logs/server.logログ ファイルに次のエラー メッセージが表示されます。

2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

DD SOのユーザー名とパスワードの条件が、 アプライアンス パスワードの変更 ページの新規インストールUIでACMによって課される基準と一致しません。

次に、DDによって課され、IDPA 2.6または2.6.1でACMによってスクリーニングされない追加のDD SOユーザー名とパスワードの条件を示します。

1. 「admin」にすることはできません。また、次のいずれも使用できません(大文字と小文字は区別されません)。

• Administrators
• Guests
• ユーザー

2. 組み込みユーザーと同じにすることはできません(大文字と小文字は区別されません)。

• ルート
• bin
• daemon
• adm
• lp
• sync
• メール
• operator
• nobody
• sshd
• apache
• ldap
• rpc
• vcsa
• pcap
• tcpdump
• dbus
• ntp
• rpcuser
• cifsuser
• sys-internal
• nfsnobody
• chrony
• svcuser
• sysadmin
• __security_internal__
• dd_scpuser
• パスワード(非表示キーワード)
• min-days-between-change
• max-days-between-change
• warn-days-before-expire
• disable-days-after-expire
• disable-date
• force-password-change

3. ユーザー名の一部として使用できる文字：a-zA-Z0-9_.-
4. パスワードのシンプルさの確認：
   1. パスワードには、少なくとも「3」種類の文字が必要です。例
      • 設定されているパスワードが「aaaa11」の場合、これは脆弱なパスワードとして拒否され、「脆弱なパスワード: 異なる文字やクラスが足りない」
      • 同様に、「aaaaa」は拒否されます。ただし、「abbb11」は受け入れられます。これは、このパスワードに少なくとも3つの異なる文字があるためです。「a」、「b」、「1」です。
5. DDOSは、ユーザーに設定された最後の「6」パスワードも記憶します。ユーザーがこれらの「6」パスワードのいずれかを再利用しようとすると、DDOSエラーが発生します。
6. パスワードとユーザー名に「4」を超える長さの共通サブストリングがある場合、共通サブストリングはパスワードから削除され、残りのパスワードの文字はパスワード強度チェックの対象になります。共通の部分文字列との一致では、大文字と小文字は区別されません。例
   • ユーザー名が「security_officer」で、設定されているパスワードがSecurity_12345されている場合、「12345」はパスワード強度チェックの対象となります。長さが「6」未満であるため、パスワードの変更は失敗し、パスワードの「共通サブストリング」として理由が示されます。 
   • ユーザー名が「news」で、設定されているパスワードが「news_12345」の場合、パスワードは成功します。これは、DDOSが一般的なサブ文字列「news」を削除し、残りの文字「_12345」のパスワード強度チェックを確認するためです。このパスワードはデフォルトのパスワード強度パラメータに準拠しているため、パスワードの変更は成功します。 
7. 同様に、パスワードとユーザー名の逆に「4」を超える一般的なサブストリングがある場合、一般的なサブストリングはパスワードから削除され、パスワードの残りの文字はパスワード強度チェックの対象になります。「swen_1234」パスワードの設定など、一般的なサブストリングの一致は大文字と小文字を区別しません。パスワードの逆引きには「news」の一般的なサブストリングがあり、残りのパスワードには「_1234」があり、パスワードの最小長要件である「6」に準拠していません。これにより、エラーが返されます。 

 

8. 必要な最小長は「6」で、DDOSは次のパスワードを適用しません。

• 1文字以上の小文字
• 1文字以上の大文字
• 1桁以上の数字
• !@#$%^&*()_+-=
• 最大で3つの連続した繰り返し文字。

シナリオ:

これらの追加の制限により、ユーザーがDD SOユーザー名「idpa_admin」とパスワード「Idpa_12345」を提供すると、一般的な文字列idpa_が削除され、最小長チェックが文字列「12345」で実行され、ルールを満たしていないために失敗します。

DD SOユーザー名「idpaadmin」とパスワード「Idpa_12345」は、パスワードの長さが「_123456」で評価され、成功した場合に機能します。

対処法:
DP4400アプライアンスの場合は、サポートまたはプロフェッショナル サービスに問い合わせて RESET Utility を実行し、上記の要件に従ってData Domain > Protection Storage Security Officerのユーザー名とパスワードを選択します。

PowerProtect DPシリーズ アプライアンスまたはIDPAモデルDP5800、5900、8300、8400、8800、8900では、DDセキュリティ担当者ユーザーをクリーンアップしないため、RESETユーティリティーは機能しません。この記事を参照しているDell EMCサポートにお問い合わせください。

重要な注意事項：

• この問題は、IDPAリリース2.7で対処されています。これには、Data Domainおよび保護ストレージ セキュリティ担当者フィールドのACM入力フィールドに対する適切な制限が含まれています。
• この問題は、IDPAバージョン2.6.xにのみ適用されます。
• このKBは、導入またはインストールの失敗シナリオにのみ適用されます。