IDPA: L'implementazione ha esito negativo con errore "Failed to enable authorization policy on Protection Storage"

L'implementazione di Data Domain ha esito negativo sul protection storage.

Nel report di diagnostica possono essere visualizzati i seguenti errori:

• Impossibile abilitare la policy di autorizzazione sul protection storage
• Impossibile contrassegnare il flag configuration setup complete

Nella CLI di ACM, il file /usr/local/dataprotection/var/configmgr/server_data/logs/server.log log mostra il seguente messaggio di errore:

2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

I criteri di nome utente e password DD SO non corrispondono ai criteri imposti da ACM sulla nuova interfaccia utente di installazione nella pagina Modifica password appliance.

Di seguito sono riportati i criteri aggiuntivi per nome utente e password DD SO che sono imposti da DD e non vengono schermati da ACM in IDPA 2.6 o 2.6.1.

1. Non può essere "admin" e nessuno dei seguenti elementi (senza maiuscole e minuscole):

• Administrators
• Ospiti
• Users

2. Non può essere uguale a quella degli utenti integrati (senza la differenza tra maiuscole e minuscole):

• root
• Bin
• Daemon
• Ammiraglio
• Lp
• Sincronizzazione
• Posta
• Operatore
• Nessuno
• Sshd
• Apache
• Ldap
• Rpc
• Vcsa
• pcap
• Tcpdump
• Dbus
• Ntp
• utente rpc
• cifsuser
• sys-internal
• nfsno engine
• chrony
• utentesvc
• Sysadmin
• __security_internal__
• dd_scpuser
• password (parola chiave nascosta)
• min-days-between-change
• giorni max tra una modifica e l'altro
• warn-days-before-expire
• disabilitare giorni dopo la scadenza
• disable-date
• forzare la modifica della password

3. Caratteri consentiti come parte del nome utente: a-zA-Z0-9_.-
4. Verifica della semplicità della password:
   1. La password DEVE avere almeno "3" caratteri distinti. Esempio:
      • Se la password impostata è "aaaa11", viene rifiutata come password debole con errore "Password debole: Non sono sufficienti caratteri o classi diverse"."
      • Analogamente, "aaaaa" viene rifiutato. Tuttavia, "abbb11" è accettato. Ciò è dovuto al fatto che questa password ha almeno tre caratteri distinti: 'a', 'b' e '1'.
5. DDOS memorizza inoltre le ultime "6" password impostate per un utente. Se l'utente tenta di riutilizzare una di queste password "6", DDOS genera errori.
6. Se password e nome utente hanno una sottostringa comune di lunghezza superiore a "4", la sottostringa comune viene rimossa dalla password e i rimanenti caratteri della password sono soggetti a controlli di complessità della password. La corrispondenza per la sottostringa comune non richiede distinzione tra maiuscole e minuscole. Esempio:
   • Se il nome utente è "security_officer" e la password impostata è Security_12345, "12345" è soggetto a un controllo di complessità della password. Poiché la lunghezza è inferiore a "6", la modifica della password ha esito negativo con motivo "common substring" nella password. 
   • Se il nome utente è "news" e la password impostata è "news_12345", la password ha esito positivo. Ciò è dovuto al fatto che DDOS rimuove la sottostringa comune "news" e verifica il controllo di complessità della password sui caratteri rimanenti, "_12345". Poiché questa password rispetta i parametri predefiniti di complessità della password, la modifica della password ha esito positivo. 
7. Analogamente, se il valore inverso di password e nome utente ha una sottostringa comune di lunghezza superiore a "4", la sottostringa comune viene rimossa dalla password e i rimanenti caratteri della password sono soggetti al controllo della complessità della password. La corrispondenza per la sottostringa comune non distingue tra maiuscole e minuscole, ad esempio l'impostazione della password "swen_1234". Il contrario della password ha una sottostringa comune di "news" e la password rimanente ha "_1234" che non rispetta il requisito di lunghezza minima per la password che è "6". Viene restituito un errore. 

 

8. La lunghezza minima richiesta è "6" e DDOS NON applica la password per avere:

• almeno un carattere minuscolo
• almeno un carattere maiuscolo
• almeno una cifra
• almeno un carattere speciale, !@#$%^&*()_+-=
• al massimo, tre caratteri consecutivi ripetuti.

Scenari:

a causa di queste restrizioni aggiuntive, se l'utente fornisce il nome utente DD SO "idpa_admin" e la password "Idpa_12345", si verifica un errore perché la stringa comune idpa_ viene rimossa e il controllo della lunghezza minima avviene sulla stringa "12345" e non soddisfa la regola.

Il nome utente DD SO "idpaadmin" e la password "Idpa_12345" funzionano quando la lunghezza della password viene valutata su "_123456" e porta all'esito positivo.

Soluzione:
per gli appliance DP4400, contattare il supporto o Professional Services per eseguire l'utilità RESET, quindi scegliere il nome utente e la password di Data Domain > Protection Storage Security Officer in base ai requisiti di cui sopra.

Per i modelli appliance PowerProtect serie DP o IDPA DP5800, 5900, 8300, 8400, 8800 e 8900, l'utilità RESET non funziona poiché non pulisce l'utente DD Security Officer. Contattare il supporto Dell EMC facendo riferimento a questo articolo.

Note importanti:

• Questo problema è risolto nella release 2.7 di IDPA, che include restrizioni appropriate sul campo di input ACM per il campo Data Domain e Protection Storage Security Officer.
• Questo problema è applicabile solo alle versioni IDPA 2.6.x.
• Questo articolo della KB si applica solo allo scenario di errore di deployment o installazione.