IDPA: "Failed to enable authorization policy on Protection Storage." 오류로 구축 실패

보호 스토리지에서 Data Domain 배포가 실패합니다.

진단 보고서에 다음과 같은 오류가 표시될 수 있습니다.

• Failed to enable authorization policy on Protection Storage
• Failed to mark configuration setup complete flag

ACM CLI에서 /usr/local/dataprotection/var/configmgr/server_data/logs/server.log 파일에 다음과 같은 오류 메시지가 표시됩니다.

2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

DD SO 사용자 이름 및 암호 기준은 Change Appliance Password 페이지의 새로 설치 UI에서 ACM이 부과한 기준과 일치하지 않습니다.

다음은 DD에서 부과하고 IDPA 2.6 또는 2.6.1에서 ACM에 의해 선별되지 않은 추가 DD SO 사용자 이름 및 암호 기준입니다.

1. "admin"일 수 없으며 다음 중 어느 것도 할 수 없습니다(대/소문자를 구분하지 않음).

• Administrators
• Guests
• 사용자

2. 기본 제공 사용자와 동일할 수 없습니다(대/소문자를 구분하지 않음).

• root
• bin
• daemon
• adm
• lp
• sync
• mail
• operator
• nobody
• sshd
• apache
• ldap
• rpc
• vcsa
• pcap
• tcpdump
• dbus
• ntp
• rpcuser
• cifsuser
• sys-internal
• nfsnobody
• chrony
• svcuser
• sysadmin
• __security_internal__
• dd_scpuser
• 암호(숨겨진 키워드)
• min-days-between-change
• max-days-between-change
• warn-days-before-expire
• disable-days-after-expire
• disable-date
• force-password-change

3. 사용자 이름의 일부에 사용 가능한 문자: a-zA-Z0-9_.-
4. 암호의 단순성 확인:
   1. 암호에는 최소한 "3"자 이상의 구별되는 문자가 있어야 합니다. 예를 들어 다음과 같습니다.
      • 설정되는 암호가 "aaaa11"인 경우 약한 암호로 거부되고 "약한 암호: 문자나 클래스가 충분하지 않습니다."
      • 마찬가지로 "aaaaa"는 거부됩니다. 하지만 "abbb11"은 허용됩니다. 이 암호에는 3자 이상의 고유 문자가 있기 때문입니다. 'a', 'b' 및 '1'.
5. DDOS는 사용자에 대해 설정된 마지막 "6" 암호도 기억합니다. 사용자가 이러한 "6" 암호를 재사용하려고 하면 DDOS 오류가 발생합니다.
6. 암호와 사용자 이름에 "4" 이상의 공통 하위 저장소가 있는 경우 암호에서 일반 하위 저장소가 제거되고 나머지 암호 문자는 암호 강도 검사를 받습니다. 공통 부분 문자열에 대한 일치는 대/소문자를 구분하지 않습니다. 예를 들어 다음과 같습니다.
   • 사용자 이름이 "security_officer"이고 설정되는 암호가 Security_12345 경우 "12345"에는 암호 강도 검사가 적용됩니다. 길이가 "6" 미만이므로 암호 변경이 실패하고 암호에서 "일반 하위 저장소"로 간주합니다. 
   • 사용자 이름이 "news"이고 설정되는 암호가 "news_12345"인 경우 암호가 성공합니다. 이는 DDOS가 일반적인 하위 문자 "news"를 제거하고 나머지 문자 "_12345"에 대한 암호 강도 검사를 확인하기 때문입니다. 이 암호는 기본 암호 강도 매개변수를 준수하므로 암호 변경이 성공합니다. 
7. 마찬가지로, 암호와 사용자 이름의 반대 방향에 "4"가 넘는 일반 하위 저장소가 있는 경우 암호에서 일반 하위 저장소가 제거되고 암호의 나머지 문자는 암호 강도 검사를 받습니다. 일반적인 하위 저장소와 일치하면 대/소문자를 구분하지 않습니다(예: "swen_1234" 암호 설정). 비밀번호 반대는 "news"의 일반적인 하위 저장소를 가지며, 나머지 암호에는 "_1234"가 있으며 암호의 최소 길이 요구 사항인 "6"을 준수하지 않습니다. 그러면 오류가 반환됩니다. 

 

8. 필요한 최소 길이는 "6"이며 DDOS는 다음을 갖도록 암호를 적용하지 않습니다.

• 하나 이상의 소문자
• 하나 이상의 대문자
• 하나 이상의 숫자
• 적어도 하나의 특수 문자, !@#$%^&*()_+-=
• 3개의 연속된 문자입니다.

시나리오:

이러한 추가 제한 사항으로 인해 사용자가 DD SO 사용자 이름 "idpa_admin" 및 암호 "Idpa_12345"를 제공하는 경우 일반 문자열 idpa_ 제거되고 "12345" 문자열에서 최소 길이 검사가 수행되고 규칙을 충족하지 못하기 때문에 오류가 발생합니다.

DD SO 사용자 이름 "idpaadmin" 및 암호 "Idpa_12345"는 암호 길이가 "_123456"에서 평가되고 성공으로 이어지고 작동합니다.

해결책:
DP4400 어플라이언스의 경우 지원 또는 Professional Services에 문의하여 RESET 유틸리티를 실행한 다음 위의 요구 사항에 따라 Data Domain > Protection Storage Security Officer 사용자 이름과 암호를 선택합니다.

PowerProtect DP Series 어플라이언스 또는 IDPA 모델 DP5800, 5900, 8300, 8400, 8800 및 8900의 경우 DD Security Officer 사용자를 정리하지 않으므로 RESET Utility가 작동하지 않습니다. 이 문서를 참조하여 Dell EMC 지원 부서에 문의하십시오.

중요 사항:

• 이 문제는 IDPA 릴리스 2.7에서 해결되었습니다. 여기에는 Data Domain 및 Protection Storage Security Officer 필드의 ACM 입력 필드에 대한 적절한 제한 사항이 포함되어 있습니다.
• 이 문제는 IDPA 버전 2.6.x에만 적용됩니다.
• 이 KB는 배포 또는 설치 실패 시나리오에만 적용됩니다.