IDPA：部署失敗，並顯示錯誤「在 Protection Storage 上無法啟用授權原則」

Data Domain 部署在保護儲存裝置上失敗。

診斷報告中可能會出現以下錯誤：

• 在 Protection Storage 上無法啟用授權原則
• 無法標記組態設定完成旗標

在 ACM CLI 上，/usr/local/dataprotection/var/configmgr/server_data/logs/server.log 記錄檔會顯示下列錯誤訊息：

2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

DD SO 使用者名稱和密碼條件與 ACM 在變更裝置密碼頁面全新安裝 UI 上所施加的標準不符。

以下是 DD 強制執行且非由 IDPA 2.6 或 2.6.1 中 ACM 篩選的其他 DD SO 使用者名稱和密碼準則。

1. 它不能是「admin」，而且沒有下列任何一項 （不區分大小寫）：

• 系統管理員
• 訪客
• 使用者

2. 不能與內建使用者相同 （不區分大小寫）：

• 根目錄
• bin
• daemon
• adm
• lp
• sync
• mail
• operator
• nobody
• sshd
• apache
• ldap
• rpc
• vcsa
• pcap
• tcpdump
• dbus
• ntp
• rpcuser
• cifsuser
• sys-internal
• nfsnobody
• chrony
• svcuser
• sysadmin
• __security_internal__
• dd_scpuser
• 密碼 （隱藏關鍵字）
• 變更-之間-天數-下限
• 變更-之間-天數-上限
• 到期-之前-警告-天數
• 到期-之後-停用-天數
• 停用-日期
• 強制-密碼-變更

3. 允許作為使用者名稱一部分的字元：a-zA-Z0-9_.-
4. 檢查密碼的簡化度：
   1. 密碼必須具有至少「3」個不同的字元。例如：
      • 如果設定的密碼為「aaaa11」，則此密碼會被拒絕為「弱密碼」，並顯示錯誤「弱密碼：沒有足夠不同字元或類別。」
      • 同樣地，「aaaaa」也會遭到拒絕。但接受「abbb11」。這是因為此密碼至少有三個不同的字元：「a」、「b」和「1」。
5. DDOS 也會記住為使用者設定的最後一個「6」密碼。如果使用者嘗試重複使用這些「6」密碼中的任何一個，DDOS 錯誤就會出現。
6. 如果密碼和使用者名稱的一般子線長度超過「4」，則從密碼中移除一般子線，其餘密碼字元則會接受密碼強度檢查。一般子字串的相符項目不會區分大小寫。例如：
   • 如果使用者名稱為「security_officer」，且Security_12345設定的密碼，則「12345」會接受密碼強度檢查。由於長度小於「6」，密碼變更失敗，因此在密碼中會以「一般子線」作為原因。 
   • 如果使用者名稱為「news」，而設定的密碼為「news_12345」，則密碼會成功。這是因為 DDOS 會移除常見的子線「新聞」，並驗證剩餘字元「_12345」的密碼強度檢查。由於此密碼會遵守預設的密碼強度參數，因此密碼變更會成功。 
7. 同樣地，如果密碼和使用者名稱的一般子組長度超過「4」，則從密碼中移除一般子線，密碼中其餘字元則會接受密碼強度檢查。一般子線的比對是不敏感的案例，例如，設定「swen_1234」密碼。密碼反向有一般子組的「news」，其餘密碼則有「_1234」，其未符合密碼的最低長度要求，即「6」。這會傳回錯誤。 

 

8. 所需的最短長度為「6」，而 DDOS 不會強制使用密碼：

• 至少一個小寫字元
• 至少一個大寫字元
• 至少一個位數
• 至少一個特殊字元，即 ！@#$%^&*（）_+-=
• 最多可重複三個字元。

案例：

由於這些額外的限制，如果使用者提供 DD SO 使用者名稱「idpa_admin」和密碼「Idpa_12345」，則會導致失敗，因為已移除一般字串idpa_，且字串「12345」執行最小長度檢查，而不符合規則。

DD SO 使用者名稱「idpaadmin」和「password」Idpa_12345」可運作，因為在「_123456」上評估密碼長度，結果成功。

解決方案：
若為 DP4400 應用裝置，請聯絡支援或專業服務以執行重設公用程式，然後根據上述需求選擇 Data Domain > Protection Storage Security Officer 使用者名稱和密碼。

若為 PowerProtect DP 系列應用裝置或 IDPA 型號 DP5800、5900、8300、8400、8800 和 8900，RESET Utility 無法運作，因為它無法清理 DD Security Officer 使用者。請連絡 Dell EMC 支援以參考本文。

重要注意事項：

• 此問題已在 IDPA 版本 2.7 中獲得解決，其中包括 Data Domain 和 Protection Storage Security 人員欄位的 ACM 輸入欄位適用的限制。
• 此問題僅適用於 IDPA 版本 2.6.x。
• 此知識庫文章僅適用于部署或安裝故障情境。