IDPA: Implementatie mislukt met de foutmelding "Failed to enable authorization policy on Protection Storage"

Summary: IDPA 2.6 of 2.6.1 Nieuwe installatie: Het maken van gebruikers van DD Security Officer (SO) mislukt omdat niet aan de gebruikersnaam- en wachtwoordcriteria wordt voldaan. Dit veroorzaakt de foutmelding "Failed to enable authorization policy on Protection Storage". ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Implementatie van Data Domain mislukt op Protection Storage.

De volgende fouten zijn te zien in het diagnostische rapport:
  • Kan geen autorisatiebeleid inschakelen op Protection Storage
  • Failed to mark configuration setup complete flag (Kan configuratie-setup complete vlag niet markeren)
In de ACM CLI geeft het logboekbestand /usr/local/dataprotection/var/configmgr/server_data/logs/server.log de volgende foutmelding weer: 
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

Cause

DD SO-gebruikersnaam- en wachtwoordcriteria komen niet overeen met criteria die door ACM worden opgelegd op de nieuwe installatie-UI op de pagina Wachtwoord wijzigen apparaat.

Resolution

Hieronder volgen de extra DD SO-gebruikersnaam- en wachtwoordcriteria die worden opgelegd door DD en niet worden gescreend door ACM in IDPA 2.6 of 2.6.1.
  1. Het kan niet 'admin' zijn en geen van de volgende (niet hoofdlettergevoelig):
  • Beheerders
  • Gasten
  • Gebruikers
  1. Het kan niet hetzelfde zijn als dat van ingebouwde gebruikers (niet hoofdlettergevoelig):
  • root
  • Bin
  • Daemon
  • Adm
  • Lp
  • Sync
  • Mail
  • Operator
  • Niemand
  • Sshd
  • Apache
  • Ldap
  • Rpc
  • Vcsa
  • Pcap
  • Tcpdump
  • Dbus
  • Ntp
  • rpcuser
  • cifsuser
  • sys-internal
  • nfsnobody
  • Chrony
  • svcuser
  • Sysadmin
  • __security_internal__
  • dd_scpuser
  • wachtwoord (verborgen trefwoord)
  • min-days-between-change
  • max. dagen-tussen-verandering
  • warn-days-before-expire
  • dagen na verlopen uitschakelen
  • disable-date
  • force-password-change
  1. Tekens die zijn toegestaan als onderdeel van de gebruikersnaam: a-zA-Z0-9_.-
  2. De eenvoud van het wachtwoord controleren:
    1. Wachtwoord MOET ten minste "3" afzonderlijke tekens bevatten. Bijvoorbeeld,
      • Als het wachtwoord dat wordt ingesteld "aaaa11" is, wordt dit afgewezen als zwak wachtwoord met de foutmelding "Zwak wachtwoord: Niet genoeg verschillende tekens of klassen."
      • Op dezelfde manier wordt 'aaaaa' afgewezen. Maar "abbb11" wordt geaccepteerd. Dit komt doordat dit wachtwoord ten minste drie verschillende tekens heeft: 'a', 'b' en '1'.
  3. DDOS onthoudt ook de laatste '6' wachtwoorden die zijn ingesteld voor een gebruiker. Als de gebruiker een van deze '6'-wachtwoorden probeert te hergebruiken, worden DDOS-fouten weergegeven.
  4. Als wachtwoord en gebruikersnaam een gemeenschappelijke lengteonderwerp van meer dan "4" hebben, wordt de gemeenschappelijke substring verwijderd uit het wachtwoord en worden de resterende tekens van het wachtwoord onderworpen aan wachtwoordsterktecontroles. De overeenkomst voor veelvoorkomende substring is hoofdlettergevoelig. Bijvoorbeeld,
    • Als de gebruikersnaam 'security_officer' is en het wachtwoord dat wordt ingesteld Security_12345, is '12345' onderworpen aan een wachtwoordsterktecontrole. Omdat de lengte minder is dan '6', mislukt wachtwoordwijziging met de reden als 'common substring' in password. 
    • Als de gebruikersnaam 'nieuws' is en het wachtwoord dat wordt ingesteld 'news_12345' is, dan slaagt het wachtwoord. Dit komt doordat DDOS het algemene substring "nieuws" verwijdert en de controle van de wachtwoordsterkte controleert op resterende tekens, "_12345". Aangezien dit wachtwoord voldoet aan de standaard parameters voor wachtwoordsterkte, slaagt wachtwoordwijziging. 
  5. Als het omgekeerde wachtwoord en de gebruikersnaam meer dan "4" algemene lengtesubstring hebben, wordt algemene substring van het wachtwoord verwijderd en worden de resterende tekens in het wachtwoord onderworpen aan een controle van de wachtwoordsterkte. Overeenkomst voor veelvoorkomende substring is hoofdlettergevoelig, bijvoorbeeld door het instellen van het 'swen_1234'-wachtwoord. Het omkeren van het wachtwoord heeft algemene substring van 'nieuws' en het resterende wachtwoord heeft '_1234' die niet voldoet aan de minimale lengtevereiste voor het wachtwoord dat '6' is. Dit retourneert een fout. 
sysadmin@time# user change password news
Voer een nieuw wachtwoord in: (Hier "swen_1234" verstrekt)
Nieuw wachtwoord opnieuw invoeren:
wachtwoorden komen overeen.
** Wachtwoord voor gebruiker 'nieuws' niet ingesteld vanwege de volgende redenen:
Zwak wachtwoord: gebaseerd op persoonlijke aanmeldingsgegevens.
 
Het 'swen_12345'-wachtwoord instellen. Omgekeerd wachtwoord heeft algemene substring van "nieuws" en het resterende wachtwoord heeft "_12345" voldoet aan de minimale lengtevereiste en bevat ten minste "3" afzonderlijke tekens. Wachtwoordwijziging is dus geslaagd. 
sysadmin@time# user change password news
Voer een nieuw wachtwoord in: (Hier "swen_12345" verstrekt)
Nieuw wachtwoord opnieuw invoeren:
wachtwoorden komen overeen.
Wachtwoord gewijzigd voor 'nieuws' van gebruiker.
  1. De minimale lengte die is vereist is "6" en DDOS dwingt het wachtwoord NIET af om:
  • minimaal één kleine letter
  • minimaal één hoofdletter
  • minimaal één cijfer
  • ten minste één speciaal teken: !@#$%^&*()_+-=
  • ten hoogste drie opeenvolgende tekens.
Scenario's:

Als de gebruiker vanwege deze extra beperkingen de DD SO gebruikersnaam "idpa_admin" en Password "Idpa_12345" aangeeft, resulteert dit in een fout omdat de algemene tekenreeks idpa_ wordt verwijderd en de minimale lengtecontrole plaatsvindt op tekenreeks "12345" en de regel niet voldoet.

DD SO Gebruikersnaam "idpaadmin" en Password "Idpa_12345" werken als wachtwoordlengte wordt geëvalueerd op "_123456" en dit resulteert in succes.

Oplossing:
Neem voor DP4400-apparaten contact op met Support of Professional Services om het RESET-hulpprogramma uit te voeren en kies vervolgens de gebruikersnaam en het wachtwoord van de Data Domain > Protection Storage Security Officer volgens de bovenstaande vereisten.

Voor PowerProtect DP serie Appliance of IDPA modellen DP5800, 5900, 8300, 8400, 8800 en 8900 werkt RESET Utility niet omdat het de DD Security Officer gebruiker niet opschont. Neem contact op met Dell EMC Support onder verwijzing naar dit artikel.

Additional Information

Belangrijke opmerkingen:
  • Dit probleem is opgelost in IDPA release 2.7, waarin de juiste beperkingen zijn opgenomen in het ACM-invoerveld voor datadomein- en beschermingsopslagbeveiliging.
  • Dit probleem is alleen van toepassing op IDPA versies 2.6.x.
  • Dit KB-artikel is alleen van toepassing op scenario's met implementatie- of installatiefouten.

Products

PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
Article Properties
Article Number: 000184067
Article Type: Solution
Last Modified: 24 Aug 2023
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.