IDPA: Wdrożenie nie powiodło się z powodu błędu „Failed to enable authorization policy on Protection Storage”

Wdrożenie Data Domain kończy się niepowodzeniem w pamięci masowej ochrony.

W raporcie diagnostycznym mogą pojawić się następujące błędy:

• Nie można włączyć zasad autoryzacji w Protection Storage
• Nie można oznaczyć flagi pełnej konfiguracji

W interfejsie CLI ACM plik dziennika /usr/local/dataprotection/var/configmgr/server_data/logs/server.log wyświetla następujący komunikat o błędzie:

2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

Kryteria nazwy użytkownika i hasła DD SO nie są zgodne z kryteriami, które są nakładane przez ACM na nowy interfejs instalacji na stronie Zmiany hasła urządzenia.

Poniżej przedstawiono dodatkowe kryteria nazwy użytkownika i hasła DD SO, które są nakładane przez DD i nie są wyświetlane przez ACM w IDPA 2.6 lub 2.6.1.

1. Nie może być "administratorem" i żadna z poniższych (z uwzględnieniem wielkości liter):

• Administratorzy
• Goście
• Użytkownicy

2. Nie może być taka sama jak w przypadku użytkowników wbudowanych (wielkość liter nie uwzględnia wielkości liter):

• root
• bin
• daemon
• adm
• lp
• sync
• mail
• operator
• nobody
• sshd
• apache
• ldap
• rpc
• vcsa
• pcap
• tcpdump
• dbus
• ntp
• rpcuser
• cifsuser
• sys-internal
• nfsnobody
• chrony
• svcuser
• sysadmin
• __security_internal__
• dd_scpuser
• hasło (ukryte słowo kluczowe)
• min-days-between-change
• max-days-between-change
• warn-days-before-expire
• disable-days-after-expire
• disable-date
• force-password-change

3. Znaki dozwolone jako część nazwy użytkownika: a-zA-Z0-9_.-
4. Sprawdzanie prostoty hasła:
   1. Hasło MUSI mieć co najmniej 3 różne znaki. Na przykład:
      • Jeśli ustawione hasło to "aaaa11", jest ono odrzucane jako słabe hasło z błędem "Słabe hasło: Niewystarczająco dużo różnych znaków lub klas".
      • Podobnie "aaaaa" jest odrzucane. Ale "abbb11" jest akceptowany. Dzieje się tak, ponieważ hasło składa się z co najmniej trzech różnych znaków: "a", "b" i "1".
5. DDOS zapamiętuje także ostatnie "6" haseł, które zostały ustawione dla użytkownika. Jeśli użytkownik spróbuje ponownie użyć dowolnego z tych "6" haseł, błędy DDOS się.
6. Jeśli hasło i nazwa użytkownika mają wspólne podciągi o długości większej niż "4", wspólne podciągi są usuwane z hasła, a pozostałe znaki hasła są poddawane kontrolom siły hasła. Dopasowanie wspólnego ciągu nie uwzględnia wielkości liter. Na przykład:
   • Jeśli nazwa użytkownika to "security_officer", a ustawione hasło jest Security_12345, wartość "12345" podlega kontroli siły hasła. Ponieważ długość jest mniejsza niż "6", zmiana hasła kończy się niepowodzeniem z powodu "wspólnego podciągu" w haśle. 
   • Jeśli nazwa użytkownika to "news", a ustawione hasło to "news_12345", hasło zostanie zastąpine. Dzieje się tak dlatego, że DDOS usuwa wspólne podciągi "news" i weryfikuje sprawdzanie siły hasła dla pozostałych znaków, "_12345". Ponieważ hasło jest zgodne z domyślnymi parametrami siły hasła, zmiana hasła kończy się powodzeniem. 
7. Podobnie, jeśli zwrot hasła i nazwy użytkownika ma wspólne podciągi o długości większej niż "4", częste podciągi są usuwane z hasła, a pozostałe znaki w haśle podlegają kontroli siły hasła. Dopasowanie do typowego podciągu to uwzględnianie wielkości liter, na przykład ustawienie hasła "swen_1234". W przypadku zwrotu hasła hasło ma zazwyczaj podrozdziały "news", a pozostałe hasło ma wartość "_1234", co nie jest zgodne z minimalnym wymogiem dotyczącym długości hasła wynoszącym "6". Spowoduje to zwrot błędu. 

 

8. Minimalna wymagana długość to "6", a DDOS NIE wymusza hasła, aby:

• co najmniej jedną małą literę
• co najmniej jedną wielką literę
• co najmniej jedną cyfrę
• co najmniej jeden znak specjalny, !@#$%^&*()_+-=
• co najmniej trzy powtarzane po sobie znaki.

Scenariusze:

ze względu na te dodatkowe ograniczenia, jeśli użytkownik udostępnia nazwę użytkownika DD SO "idpa_admin" i hasło "Idpa_12345", powoduje to błąd, ponieważ usunięto wspólny ciąg idpa_ i sprawdzanie minimalnej długości odbywa się w ciągu "12345" i nie spełnia reguły.

Nazwa użytkownika DD SO "idpaadmin" i hasło "Idpa_12345" działa, ponieważ długość hasła jest szacowana na "_123456" i skutkuje powodzeniem.

Rozwiązanie:
w przypadku urządzeń DP4400 należy skontaktować się z działem pomocy technicznej lub professional services w celu uruchomienia narzędzia RESET Utility, a następnie wybrać nazwę użytkownika i hasło użytkownika data domain > Protection Storage Security Officer zgodnie z powyższymi wymaganiami.

W przypadku urządzeń PowerProtect serii DP lub modeli IDPA DP5800, 5900, 8300, 8400, 8800 i 8900 narzędzie RESET nie działa, ponieważ nie czyści użytkownika DD Security Officer. Skontaktuj się z działem pomocy technicznej Firmy Dell EMC, odwołując się do tego artykułu.

Ważne uwagi:

• Ten problem został rozwiązany w wersji IDPA 2.7, która zawiera odpowiednie ograniczenia dotyczące pola wprowadzania ACM dla pola Data Domain and Protection Storage Security officer.
• Ten problem dotyczy tylko IDPA w wersji 2.6.x.
• Ta baza wiedzy dotyczy tylko scenariusza niepowodzenia wdrożenia lub instalacji.