IDPA: No se puede realizar la implementación y se genera el error “Failed to enable authorization policy on Protection Storage”
Summary: Instalación nueva de IDPA 2.6 o 2.6.1: La creación de usuarios del director de seguridad de DD (SO) falla debido a que no se cumplen los criterios de nombre de usuario y contraseña. Esto provoca el error "Failed to enable authorization policy on Protection Storage". ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
La implementación de Data Domain falla en el almacenamiento con protección.
Es posible que se vean los siguientes errores en el informe de diagnóstico:
Es posible que se vean los siguientes errores en el informe de diagnóstico:
- No se pudo habilitar la política de autorización en Protection Storage
- No se pudo aplicar la marca de configuración completada
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed. 2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE 2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task. 2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH. com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.
Cause
Los criterios de nombre de usuario y contraseña de DD SO no coinciden con los criterios impuestos por ACM en la interfaz de usuario de instalación nueva en la página Cambiar contraseña del dispositivo.
Resolution
A continuación, se indican los criterios adicionales de nombre de usuario y contraseña de DD SO impuestos por DD que ACM no aplica en IDPA 2.6 o 2.6.1.
debido a estas restricciones adicionales, si el usuario proporciona el nombre de usuario de DD SO "idpa_admin" y la contraseña "Idpa_12345", se produce una falla debido a que se elimina la cadena común idpa_ y se realiza una comprobación de longitud mínima en la cadena "12345" y no se cumple la regla.
El nombre de usuario de DD SO "idpaadmin" y la contraseña "Idpa_12345" funcionan a medida que se evalúa la longitud de la contraseña en "_123456" y se realiza correctamente.
Solución:
para los dispositivos DP4400, póngase en contacto con el soporte o los servicios profesionales para ejecutar la utilidad RESET y, a continuación, elija el nombre de usuario y la contraseña del director de seguridad de almacenamiento con protección de Data Domain > según los requisitos anteriores.
Para el dispositivo PowerProtect serie DP o los modelos IDPA DP5800, 5900, 8300, 8400, 8800 y 8900, la utilidad RESET no funciona, ya que no limpia el usuario director de seguridad de DD. Comuníquese con el soporte de Dell EMC en este artículo.
- No puede ser "admin" ni ninguna de las siguientes opciones (no distingue mayúsculas de minúsculas):
- Administradores
- Invitados
- Usuarios
- No puede ser igual que el de los usuarios incorporados (no distingue mayúsculas de minúsculas):
- root
- bin
- daemon
- adm
- lp
- sync
- operator
- nobody
- sshd
- apache
- ldap
- rpc
- vcsa
- pcap
- tcpdump
- dbus
- ntp
- rpcuser
- cifsuser
- sys-internal
- nfsnobody
- chrony
- svcuser
- sysadmin
- __security_internal__
- dd_scpuser
- contraseña (palabra clave oculta)
- min-days-between-change
- max-days-between-change
- warn-days-before-expire
- disable-days-after-expire
- disable-date
- force-password-change
- Caracteres permitidos como parte del nombre de usuario: a-zA-Z0-9_.-
- Comprobación de la sencillez de la contraseña:
- La contraseña DEBE tener al menos “3” caracteres distintos. Por ejemplo:
- Si la contraseña que se establece es "aaaa11", esta se rechaza como contraseña débil con el error "Contraseña débil: No hay suficientes caracteres o clases diferentes".
- De manera similar, se rechaza "aaaaa". Sin embargo, se acepta "abbb11". Esto se debe a que esta contraseña tiene al menos tres caracteres distintos: "a", "b" y "1".
- La contraseña DEBE tener al menos “3” caracteres distintos. Por ejemplo:
- DDOS también recuerda las últimas "6" contraseñas que se configuraron para un usuario. Si el usuario intenta reutilizar cualquiera de estas "6" contraseñas, DDOS falla.
- Si la contraseña y el nombre de usuario tienen una subcadena de longitud común mayor que "4", la subcadena común se elimina de la contraseña y los caracteres restantes de la contraseña se someten a comprobaciones de seguridad de la contraseña. La coincidencia para la subcadena común no distingue mayúsculas de minúsculas. Por ejemplo:
- Si el nombre de usuario es "security_officer" y la contraseña que se está estableciendo está Security_12345, entonces "12345" está sujeto a la comprobación de seguridad de la contraseña. Dado que la longitud es menor que "6", el cambio de contraseña falla con el motivo como "subcadena común" en la contraseña.
- Si el nombre de usuario es "news" y la contraseña que se está estableciendo es "news_12345", la contraseña se realiza correctamente. Esto se debe a que DDOS elimina las "noticias" de subcadenas comunes y verifica la comprobación de seguridad de la contraseña en los caracteres restantes, "_12345". Dado que esta contraseña cumple con los parámetros predeterminados de seguridad de las contraseñas, el cambio de contraseña se realiza correctamente.
- De manera similar, si la inversa de contraseña y nombre de usuario tiene una subcadena de longitud común mayor que "4", se elimina la subcadena común de la contraseña y los caracteres restantes de la contraseña están sujetos a la comprobación de seguridad de la contraseña. La coincidencia para la subcadena común no distingue mayúsculas de minúsculas, por ejemplo, la configuración de la contraseña "swen_1234". El inverso de la contraseña tiene una subcadena común de "noticias" y la contraseña restante tiene "_1234", que no cumple con el requisito de longitud mínima para la contraseña que es "6". Esto arroja un error.
sysadmin@time# user change password news
Enter new password: (Se proporciona "swen_1234" aquí)
Vuelva a ingresar la contraseña nueva:
las contraseñas coinciden.
** La contraseña para las "noticias" del usuario no está configurada debido a las siguientes razones:
Enter new password: (Se proporciona "swen_1234" aquí)
Vuelva a ingresar la contraseña nueva:
las contraseñas coinciden.
** La contraseña para las "noticias" del usuario no está configurada debido a las siguientes razones:
Contraseña débil: según la información de inicio de sesión personal.
Configuración de la contraseña "swen_12345". El inverso de la contraseña tiene una subcadena común de "noticias" y la contraseña restante tiene "_12345" cumple con el requisito de longitud mínima y contiene al menos "3" caracteres distintos. Por lo tanto, el cambio de contraseña se realiza correctamente.
sysadmin@time# user change password news
Enter new password: (Se proporcionó "swen_12345" aquí)
Vuelva a ingresar la contraseña nueva:
las contraseñas coinciden.
Se cambió la contraseña para las "noticias" del usuario.
sysadmin@time# user change password news
Enter new password: (Se proporcionó "swen_12345" aquí)
Vuelva a ingresar la contraseña nueva:
las contraseñas coinciden.
Se cambió la contraseña para las "noticias" del usuario.
- La longitud mínima requerida es "6" y DDOS NO exige que la contraseña tenga:
- al menos un carácter en minúscula
- al menos un carácter en mayúscula
- al menos un dígito
- al menos un carácter especial, !@#$%^&*()_+-=
- como máximo, tres caracteres repetidos consecutivos.
debido a estas restricciones adicionales, si el usuario proporciona el nombre de usuario de DD SO "idpa_admin" y la contraseña "Idpa_12345", se produce una falla debido a que se elimina la cadena común idpa_ y se realiza una comprobación de longitud mínima en la cadena "12345" y no se cumple la regla.
El nombre de usuario de DD SO "idpaadmin" y la contraseña "Idpa_12345" funcionan a medida que se evalúa la longitud de la contraseña en "_123456" y se realiza correctamente.
Solución:
para los dispositivos DP4400, póngase en contacto con el soporte o los servicios profesionales para ejecutar la utilidad RESET y, a continuación, elija el nombre de usuario y la contraseña del director de seguridad de almacenamiento con protección de Data Domain > según los requisitos anteriores.
Para el dispositivo PowerProtect serie DP o los modelos IDPA DP5800, 5900, 8300, 8400, 8800 y 8900, la utilidad RESET no funciona, ya que no limpia el usuario director de seguridad de DD. Comuníquese con el soporte de Dell EMC en este artículo.
Additional Information
Notas importantes:
- Este problema se aborda en idpa versión 2.7, que incluye restricciones adecuadas en el campo de entrada de ACM para el campo de director de seguridad de almacenamiento con protección y Data Domain.
- Este problema solo se aplica a las versiones 2.6.x de IDPA.
- Este artículo de la base de conocimientos solo se aplica a escenarios de falla de implementación o instalación.
Products
PowerProtect Data Protection Software, Integrated Data Protection Appliance FamilyArticle Properties
Article Number: 000184067
Article Type: Solution
Last Modified: 24 Aug 2023
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.