XtremIO: Errore di configurazione LDAP quando si utilizza Secure Channel LDAPS
Summary: Potrebbero verificarsi errori di autenticazione quando l'autenticazione LDAP, utilizzando ldaps, è configurata per gli utenti esterni.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Informazioni preliminari
In alcuni casi, quando il cliente configura l'autenticazione LDAP per gli utenti esterni, potrebbero verificarsi errori di autenticazione.
I seguenti ambienti XtremIO possono essere interessati da questo problema:
- Software Dell EMC: XtremIO 6.3.2 e versioni successive.
Problema
Quando il cliente configura l'autenticazione LDAP per gli utenti esterni, possono verificarsi errori di autenticazione quando sussistono tutte le seguenti condizioni:
- Il server LDAP serve tramite un canale sicuro ldaps anziché ldap
- Esiste un elemento di configurazione TLS_CIPHER_SUITE ALL:! ECDHE in /etc/openldap/ldap.conf
- La certificazione lato server esistente viene generata tramite la crittografia ECDHE.
Date le condizioni di cui sopra, il lato server restituirà un errore del tipo:
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Problema software dovuto all'incompatibilità di TLS_CIPHER_SUITE ALL:! ECDHE con certificazione lato server generata tramite ECDHE cifrato
Resolution
Per determinare se LDAP è in uso, eseguire il comando xmcli show-user-accounts. La proprietà External-Account è True quando si utilizza LDAP:
Per evitare questo errore, effettuare una delle seguenti operazioni:
Se XMS viene aggiornato a XMS 6.3.2 o versione successiva, questa operazione deve essere eseguita dopo l'aggiornamento.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Per evitare questo errore, effettuare una delle seguenti operazioni:
- Rigenerare il file di certificazione insieme alla crittografia oltre ECDHE. Utilizzare lo strumento openssl per generare un nuovo certificato senza utilizzare la suite di crittografia ECDHE, quindi eseguire il comando modify-ldap-config nella console xmcli, ad esempio:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
oppure
- Commentare l'elemento di configurazione TLS_CIPHER_SUITE ALL:! ECDHE in /etc/openldap/ldap.conf.
Se XMS viene aggiornato a XMS 6.3.2 o versione successiva, questa operazione deve essere eseguita dopo l'aggiornamento.
Affected Products
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Article Properties
Article Number: 000185589
Article Type: Solution
Last Modified: 19 Sep 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.