IDPA: Помилка розгортання відбувається з помилкою "Не вдалося ввімкнути політику авторизації в сховищі захисту"

Помилка розгортання домену даних у сховищі захисту.

У діагностичному звіті можна побачити такі помилки:

• Не вдалося ввімкнути політику авторизації в сховищі захисту
• Не вдалося позначити прапорець настроювання конфігурації завершено

У файлі журналу ACM CLI, /usr/local/dataprotection/var/configmgr/server_data/logs/server.log відображається таке повідомлення про помилку:

2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.DataDomainUtil: toggelAuthorizationPolicy --> Exception occcured while executing command : authorization policy set security-officer enabled Authentication failed.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: Successfully executed command : reg set config_master.setup.complete=TRUE
2021-02-19 17:00:14,819 ERROR [pool-10-thread-10]-ddadapter.ConfigDataDomainTask: ApplianceException occurred while executing Datadomain config task.
2021-02-19 17:00:05,916 INFO [pool-10-thread-10]-util.SSHUtil: Successfully executed remote command using SSH.
com.emc.vcedpa.common.exception.ApplianceException: Failed to enable authorization policy on Protection Storage.

Критерії імені користувача та пароля DD SO не відповідають критеріям, які накладаються ACM на новий інтерфейс інсталяції на сторінці зміни пароля приладу.

Нижче наведено додаткові критерії імені користувача та пароля DD SO, які накладаються DD і не перевіряються ACM у IDPA 2.6 або 2.6.1.

1. Це не може бути "адміністратор" і жодне з переліченого нижче (не враховує регістр):

• Адміністратори
• Гості
• Користувачів

2. Він не може бути таким самим, як у вбудованих користувачів (не враховує регістр):

• корінь
• .bin
• Демон
• адм
• ЛП
• синхронізація
• пошта
• Оператор
• Ніхто не
• СШД
• Апачі
• LDAP
• ПКЦ
• VCSA
• pcap
• tcpdump
• dbus
• НТП
• RPCUSER
• CIFSUSER
• sys-internal
• nfsnobody
• хронія
• svcuser
• сисадмін
• __security_internal__
• dd_scpuser
• пароль (приховане ключове слово)
• хв днів-між-зміною
• максимум-дні-між-зміною
• попереджати за кілька днів до закінчення терміну дії
• disable-days-after-expire
• дата-вимкнення
• примусова зміна пароля

3. Символи, дозволені як частина імені користувача: a-zA-Z0-9_.-
4. Перевірка простоти пароля:
   1. Пароль ПОВИНЕН містити принаймні "3" чіткі символи. Наприклад
      • Якщо встановлюється пароль "aaaa11", це відхиляється як Слабкий пароль з помилкою "Слабкий пароль: Недостатньо різних персонажів чи класів».
      • Аналогічно відкидається «ааааа». Але, "abbb11" прийнято. Це пов'язано з тим, що цей пароль містить принаймні три різні символи: 'a', 'b' і '1'.
5. DDOS також запам'ятовує останні "6" паролі, які були встановлені для користувача. Якщо користувач намагається повторно використати будь-який з цих паролів "6", DDOS помиляється.
6. Якщо пароль та ім'я користувача мають спільний підрядок довжиною більше "4", то загальний підрядок видаляється з пароля, а решта символів пароля підлягають перевірці надійності пароля. Збіг для загального підрядка нечутливий до регістру. Наприклад
   • Якщо ім'я користувача "security_officer", а пароль встановлюється Security_12345, перевірка надійності пароля "12345" підлягає перевірці. Оскільки довжина менше "6", зміна пароля не вдається, як "загальний підрядок" у паролі. 
   • Якщо ім'я користувача "новина", а пароль встановлюється "news_12345", пароль має успіх. Це пов'язано з тим, що DDOS видаляє загальний підрядок "новини" та перевіряє перевірку надійності пароля для символів, що залишилися, "_12345". Оскільки цей пароль дотримується параметрів надійності пароля за замовчуванням, зміна пароля проходить успішно. 
7. Аналогічно, якщо зворотний бік пароля та імені користувача має загальний підрядок довжиною більше "4", то загальний підрядок видаляється з пароля, а решта символів у паролі підлягають перевірці надійності пароля. Відповідність для поширеного підрядка нечутлива до регістру, наприклад, встановлення пароля "swen_1234". Зворотний бік пароля має загальний підрядок "новини", а пароль, що залишився, має "_1234", що не відповідає вимогам мінімальної довжини для пароля, який становить "6". Це повертає помилку. 

 

8. Мінімальна необхідна довжина - "6", і DDOS НЕ застосовує пароль для наявності:

• принаймні один символ нижнього регістру
• принаймні один символ верхнього регістру
• принаймні одна цифра
• принаймні один спеціальний символ, тобто !@#$%^&*()_+-=
• Максимум три послідовних повторюваних символу.

Сценарії:

Через ці додаткові обмеження, якщо користувач надає ім'я користувача DD SO "idpa_admin" та пароль "Idpa_12345", це призводить до помилки, оскільки загальний idpa_ рядків видаляється, а перевірка мінімальної довжини відбувається для рядка "12345", і це не задовольняє правилу.

DD SO Ім'я користувача "idpaadmin" та пароль "Idpa_12345" працюють, оскільки довжина пароля оцінюється на "_123456" і призводить до успіху.

Рішення:
Для приладів DP4400 зверніться до служби підтримки або професійних послуг, щоб запустити утиліту RESET, а потім виберіть ім'я користувача та пароль для захисту домену > захисту даних, сховища відповідно до вищезазначених вимог.

Для моделей PowerProtect DP Series Appliance або IDPA DP5800, 5900, 8300, 8400, 8800 і 8900 утиліта RESET не працює, оскільки не очищує користувача DD Security Office. Зверніться до служби підтримки Dell EMC, посилаючись на цю статтю.

Важливі примітки:

• Цю проблему вирішено у випуску IDPA 2.7, який містить відповідні обмеження щодо поля введення ACM для поля Data Domain and Protection Storage Security (Захист сховища даних).
• Ця проблема стосується лише IDPA версій 2.6.x.
• Ця служба знань застосовується лише до сценарію розгортання або помилки інсталяції.