IDPA: A implementação falha com o erro "Falha ao ativar a política de autorização no Protection Storage"

A implementação do Data Domain falha no armazenamento de proteção.

Os seguintes erros podem ser vistos no relatório de diagnóstico:

• Falha ao ativar a política de autorização no Protection Storage
• Falha ao marcar o indicador de configuração concluída

Na CLI do ACM, o arquivo /usr/local/dataprotection/var/configmgr/server_data/logs/server.log mostra a seguinte mensagem de erro:

2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

Os critérios de nome de usuário e senha do DD SO não correspondem aos critérios impostos pelo ACM na interface do usuário de instalação nova na página Change Appliance Password.

Veja a seguir os critérios adicionais de nome de usuário e senha do diretor de segurança do DD que são impostos pelo DD e não verificados pelo ACM no IDPA 2.6 ou 2.6.1.

1. Ele não pode ser "admin" e nenhum dos seguintes (não diferencia maiúsculas de minúsculas):

• Administrators
• Guests
• Usuários

2. Ele não pode ser igual ao dos usuários integrados (não diferencia maiúsculas de minúsculas):

• root
• bin
• daemon
• adm
• lp
• sync
• mail
• operator
• nobody
• sshd
• apache
• ldap
• rpc
• vcsa
• pcap
• tcpdump
• dbus
• ntp
• rpcuser
• cifsuser
• sys-internal
• nfsnobody
• chrony
• svcuser
• sysadmin
• __security_internal__
• dd_scpuser
• senha (palavra-chave oculta)
• min-days-between-change
• max-days-between-change
• warn-days-before-expire
• disable-days-after-expire
• disable-date
• force-password-change

3. Caracteres permitidos como parte do nome de usuário: a-zA-Z0-9_.-
4. Como verificar a simplicidade da senha:
   1. A senha DEVE ter pelo menos "3" caracteres distintos. Por exemplo,
      • Se a senha que está sendo definida for "aaaa11", ela será rejeitada como senha fraca com o erro "Senha fraca: Não há caracteres ou classes diferentes suficientes."
      • Da mesma forma, "aaaaa" é rejeitado. No entanto, "abbb11" é aceito. Isso ocorre porque essa senha tem pelo menos três caracteres distintos: "a", "b" e "1".
5. O DDOS também se lembra das últimas "6" senhas que foram definidas para um usuário. Se o usuário tentar reutilizar qualquer uma dessas senhas "6", ocorrerá um erro no DDOS.
6. Se a senha e o nome de usuário tiverem uma substring comum de comprimento superior a "4", a substring comum será removida da senha e os caracteres restantes da senha serão sujeitos a verificações de força da senha. A correspondência da substring comum não diferencia maiúsculas de minúsculas. Por exemplo,
   • Se o nome de usuário for "security_officer" e a senha que está sendo definida for Security_12345, "12345" estará sujeita à verificação de força da senha. Como o comprimento é menor que "6", a alteração de senha falha com o motivo como "substring comum" na senha. 
   • Se o nome de usuário for "news" e a senha que está sendo definida for "news_12345", a senha será bem-sucedida. Isso ocorre porque o DDOS remove a "news" de substring comum e verifica a verificação de força da senha nos caracteres restantes, "_12345". Como essa senha segue os parâmetros padrão de força da senha, a alteração de senha é bem-sucedida. 
7. Da mesma forma, se o inverso de senha e nome de usuário tiver uma substring comum de comprimento superior a "4", a substring comum será removida da senha e os caracteres restantes da senha estão sujeitos à verificação de força da senha. A correspondência de substring comum não diferencia maiúsculas de minúsculas, por exemplo, configurando a senha "swen_1234". O inverso da senha tem a substring comum de "news" e a senha restante tem "_1234", que não adere ao requisito de comprimento mínimo para a senha que é "6". Isso retorna um erro. 

 

8. O comprimento mínimo necessário é "6" e o DDOS NÃO impõe a senha para ter:

• pelo menos um caractere minúsculo
• pelo menos um caractere maiúsculo
• pelo menos um dígito
• pelo menos um caractere especial, ou seja, !@#$%^&*()_+-=
• no máximo, três caracteres repetidos consecutivos.

Cenários:

devido a essas restrições adicionais, se o usuário fornecer o nome de usuário "idpa_admin" e a senha "Idpa_12345" do DD SO, isso resultará em falha porque a string comum idpa_ é removida e a verificação de comprimento mínimo acontece na string "12345" e não satisfaz a regra.

O nome de usuário "idpaadmin" e a senha "Idpa_12345" do DD SO funcionam conforme o comprimento da senha é avaliado em "_123456" e resulta em sucesso.

Solução:
para dispositivos DP4400, entre em contato com o suporte ou serviços profissionais para executar o utilitário RESET e, em seguida, escolha o nome de usuário e a senha do Data Domain > Protection Storage Security Officer de acordo com os requisitos acima.

Para o equipamento PowerProtect série DP ou os modelos IDPA DP5800, 5900, 8300, 8400, 8800 e 8900, o utilitário RESET não funciona, pois não limpa o usuário do agente de segurança do DD. Entre em contato com o suporte da Dell EMC fazendo referência a este artigo.

Notas importantes:

• Esse problema é resolvido no IDPA versão 2.7, que inclui restrições apropriadas no campo de entrada do ACM para o campo agente data domain e protection storage security.
• Esse problema é aplicável somente às versões 2.6.x. do IDPA.
• Este artigo da KB se aplica apenas ao cenário de falha de implementação ou instalação.