IDPA: Nasazení selže s chybou „Failed to enable authorization policy on Protection Storage“

Nasazení systému Data Domain selže v úložišti Protection Storage.

Diagnostická zpráva obsahuje následující chyby:

• Failed to enable authorization policy on Protection Storage
• Failed to mark configuration setup complete flag

V rozhraní příkazového řádku ACM se v souboru /usr/local/dataprotection/var/configmgr/server_data/logs/server.log zobrazuje následující chybová zpráva:

2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

Kritéria uživatelského jména a hesla DD SO neodpovídají kritériím, která ACM zavedla na nové uživatelské rozhraní instalace na stránce Change Appliance Password.

Níže najdete dodatečná kritéria uživatelského jména a hesla DD SO, která jsou určena systémem DD a nejsou uvedena na obrazovce rozhraní ACM v nástroji IDPA 2.6 nebo 2.6.1.

1. Nemůže být "admin" a žádná z následujících (nerozlišují se velká a malá písmena):

• Administrators
• Guests
• Users

2. Nemůže být stejná jako u vestavěných uživatelů (nerozlišují se malá a velká písmena):

• root
• bin
• daemon
• adm
• lp
• sync
• mail
• operator
• nobody
• sshd
• apache
• ldap
• rpc
• vcsa
• pcap
• tcpdump
• dbus
• ntp
• rpcuser
• cifsuser
• sys-internal
• nfsnobody
• chrony
• svcuser
• sysadmin
• __security_internal__
• dd_scpuser
• heslo (skryté klíčové slovo)
• min-days-between-change
• max-days-between-change
• warn-days-before-expire
• disable-days-after-expire
• disable-date
• force-password-change

3. Znaky povolené v rámci uživatelského jména: a-z, A-Z, 0-9 _ . -
4. Kontrola složitosti hesla:
   1. Heslo MUSÍ obsahovat alespoň 3 odlišné znaky. Například
      • Pokud je nastaveno heslo "aaaa11", bude toto heslo zamítnuto jako Slabé heslo s chybou "Slabé heslo: Not enough different characters or classes."
      • Podobně je chyba "aaaaa" zamítnuta. "abbb11" je však přijato. Důvodem je, že toto heslo má alespoň tři odlišné znaky: "a", "b" a "1".
5. Systém DDOS si také pamatuje posledních 6" hesel nastavených pro uživatele. Pokud se uživatel pokusí znovu použít některou z těchto 6" hesel, dojde k chybám systému DDOS.
6. Pokud má heslo a uživatelské jméno společnou dílčí řetězec délky větší než "4", společná podřetězec se z hesla odstraní a zbývající znaky hesla podléhají kontrolám síly hesla. Shoda společných podřetězců rozlišuje velká a malá písmena. Například
   • Pokud je uživatelské jméno "security_officer" a nastaveno heslo je Security_12345, bude hodnota "12345" pod kontrolou síly hesla. Vzhledem k tomu, že délka je menší než "6", selže změna hesla s odůvodněním jako "společná substring" v hesle. 
   • Pokud je uživatelské jméno "news" a nastaveno heslo je "news_12345", heslo bude úspěšné. Důvodem je, že systém DDOS odebírá společnou dílčí řetězec "news" a ověřuje kontrolu síly hesla u zbývajících znaků "_12345". Vzhledem k tomu, že toto heslo dodržuje výchozí parametry síly hesla, je změna hesla úspěšná. 
7. Podobně platí, že pokud má obrácené heslo a uživatelské jméno společnou dílčí řetězec délky větší než "4", potom je z hesla odstraněna společná dílčí řetězec a zbývající znaky v hesle podléhají kontrole síly hesla. Možnost Match for common substring rozlišuje velká a malá písmena, například nastavení hesla "swen_1234". Reverzní heslo má společnou dílčí řetězec zpráv a zbývající heslo má hodnotu "_1234", která nesplňuje požadavek na minimální délku hesla, což je "6". Tím se zobrazí chyba. 

 

8. Minimální požadovaná délka je "6" a systém DDOS NEVYNUCUJE heslo:

• alespoň jedno malé písmeno,
• alespoň jedno velké písmeno,
• alespoň jedna číslice,
• alespoň jeden speciální znak, !@#$%^&*()_+-=
• maximálně tři po sobě jdoucí opakované znaky.

Scénáře:

Z důvodu těchto dodatečných omezení, pokud uživatel poskytne uživatelské jméno DD SO "idpa_admin" a heslo "Idpa_12345", dojde k selhání, protože byl odstraněn běžný řetězec idpa_ a kontrola minimální délky se provádí u řetězce "12345" a nevyhovuje pravidlu.

Uživatelské jméno DD SO "idpaadmin" a heslo "Idpa_12345" funguje, jelikož délka hesla je vyhodnocena na "_123456" a výsledkem je úspěch.

Řešení:
V případě zařízení DP4400 se obraťte na podporu nebo profesionální služby, aby bylo možné spustit nástroj RESET Utility, a poté podle výše uvedených požadavků vyberte uživatelské jméno a heslo Data Domain > Protection Storage Security Officer.

U modelů zařízení PowerProtect řady DP nebo IDPA DP5800, 5900, 8300, 8400, 8800 a 8900 nefunguje nástroj RESET, jelikož nečistí uživatele DD Security Officer. Obraťte se na podporu společnosti Dell EMC s odkazem na tento článek.

Důležité poznámky:

• Tento problém je vyřešen ve verzi IDPA 2.7, která obsahuje příslušná omezení vstupního pole ACM pro pole Data Domain and Protection Storage Security officer.
• Tento problém se týká pouze nástroje IDPA verze 2.6.x.
• Tento článek databáze znalostí se vztahuje pouze na situaci selhání při nasazení nebo instalaci.