IDPA: Implementeringen mislykkes med feilen «Failed to enable authorization policy on Protection Storage» (Kunne ikke aktivere godkjenningspolicy for beskyttelseslagring)

Data Domain-implementering mislykkes på Protection Storage.

Følgende feil kan forekomme i diagnostikkrapporten:

• Kunne ikke aktivere autorisasjonspolicy på Protection Storage
• Kunne ikke merke konfigurasjonsoppsettets fullstendige flagg

På ACM CLI viser loggfilen /usr/local/dataprotection/var/configmgr/server_data/logs/server.log følgende feilmelding:

2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

DD SO-brukernavn og passordkriterier samsvarer ikke med kriterier som er pålagt av ACM på det nye installasjonsgrensesnittet i siden Endre passord for verktøy.

Følgende er ytterligere DD SO-brukernavn og passordkriterier som er pålagt av DD og ikke vist av ACM i IDPA 2.6 eller 2.6.1.

1. Det kan ikke være "admin" og ingen av følgende (skiller ikke mellom store og små bokstaver):

• Administratorer
• Gjester
• Brukere

2. Den kan ikke være den samme som for innebygde brukere (skiller ikke mellom store og små bokstaver):

• root
• Bin
• Daemon
• Adm
• Lp
• Synkronisere
• E
• Operatør
• Ingen
• Sshd
• Apache
• Ldap
• Rpc
• vcsa
• pcap (pcap)
• Tcpdump
• dbus
• Ntp
• rpcuser
• cifsuser
• sys-internal
• nfsnobody
• chrony (chrony)
• svkuser
• Sysadmin
• __security_internal__
• dd_scpuser
• passord (skjult nøkkelord)
• min-days-between-change
• maks. dager mellom endring
• warn-days-before-expire
• disable-days-after-expire
• deaktiveringsdato
• force-password-change (tvungen passordendring)

3. Tegn som er tillatt som en del av brukernavnet: a-zA-Z0-9_.-
4. Kontrollere passordets enkelhet:
   1. Passordet MÅ ha minst "3" forskjellige tegn. For eksempel,
      • Hvis passordet som angis, er «aaaa11», blir dette avvist som svakt passord med feilmeldingen «Svakt passord: Not enough different characters or classes." (Ikke nok ulike tegn eller klasser.»
      • På samme måte blir "aaaaa" avvist. Imidlertid godtas "pstb11". Grunnen til dette er at passordet har minst tre tegn: "a", "b" og "1".
5. DDOS husker også de siste «6»-passordene som ble angitt for en bruker. Hvis brukeren prøver å gjenbruke noen av disse "6"-passordene, feiler DDOS.
6. Hvis passordet og brukernavnet har en felles understreng på mer enn «4», fjernes den vanlige understrengen fra passordet, og gjenværende passordtegn utsettes for kontroller av passordstyrke. Samsvaret med felles understrenger skilles mellom store og små bokstaver. For eksempel,
   • Hvis brukernavnet er "security_officer" og passordet som angis, er Security_12345, er "12345" underlagt passordstyrkekontroll. Siden lengden er mindre enn "6", mislykkes passordendringen med årsak som "vanlig understreng" i passordet. 
   • Hvis brukernavnet er «news» (nyheter), og passordet som angis, er «news_12345», lykkes passordet. Grunnen til dette er at DDOS fjerner den vanlige understrengen «news» (Nyheter) og bekrefter passordstyrkekontrollen på gjenværende tegn, «_12345». Ettersom dette passordet er i samsvar med standard parametere for passordstyrke, er passordendringen vellykket. 
7. Hvis omvendt passord og brukernavn har en vanlig lengde på mer enn "4", fjernes den vanlige understrengen fra passordet, og gjenværende tegn i passordet er underlagt passordstyrkekontroll. Samsvar med vanlig understreng er skille mellom store og små bokstaver, for eksempel angi passordet "swen_1234". Reverse of password has common substring of "news" and remaining password has "_1234" (Omvendt passord har vanlig understreng av "nyheter", og gjenværende passord har "_1234", som ikke overholder minimumskrav til lengde for passord som er "6". Dette returnerer en feil. 

 

8. Minimumslengden som kreves er "6" og DDOS tvinger IKKE passord for å ha:

• minst én liten bokstav
• minst én stor bokstav
• minst ett siffer
• at-least one special character that is, !@#$%^&*()_+-=
• på det meste tre påfølgende gjentatte tegn.

Scenarioer:

På grunn av disse ekstra begrensningene, hvis brukeren gir DD SO-brukernavnet "idpa_admin" og passordet "Idpa_12345", resulterer det i feil fordi vanlig streng idpa_ fjernes, og minimumslengdekontroll skjer på strengen "12345", og den tilfredsstiller ikke regelen.

DD SO Brukernavn "idpaadmin" og passord "Idpa_12345" fungerer som passordlengde blir evaluert på "_123456" og resulterer i suksess.

Løsning:
For DP4400-verktøy kan du kontakte kundestøtte eller professional-tjenester for å kjøre RESET Utility, og deretter velge brukernavn og passord for Data Domain > Protection Storage Security Officer i henhold til kravene ovenfor.

For PowerProtect DP Series Appliance- eller IDPA-modellene DP5800, 5900, 8300, 8400, 8800 og 8900 fungerer ikke RESET-verktøyet fordi det ikke renser DD Security Officer-brukeren. Kontakt Dell EMC Support med henvisning til denne artikkelen.

Viktige merknader:

• Dette problemet er løst i IDPA versjon 2.7, som inkluderer egnede restriksjoner på ACM-inndatafelt for datadomene og beskyttelse for lagringssikkerhet.
• Dette problemet gjelder bare for IDPA-versjon 2.6.x.
• Denne KB-en gjelder bare for scenarioer med implementerings- eller installasjonsfeil.