XtremIO: Błąd konfiguracji LDAP podczas korzystania z bezpiecznego kanału ldaps
Summary: Błędy uwierzytelniania mogą wystąpić, gdy uwierzytelnianie LDAP, przy użyciu ldaps, jest skonfigurowane dla użytkowników zewnętrznych.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Tło
W niektórych przypadkach, gdy klient skonfiguruje uwierzytelnianie LDAP dla użytkowników zewnętrznych, wystąpić mogą błędy uwierzytelniania.
Ten problem może mieć wpływ na następujące środowiska XtremIO:
- Oprogramowanie Dell EMC: XtremIO w wersji 6.3.2 i nowszej.
Problem
Gdy klient skonfiguruje uwierzytelnianie LDAP dla użytkowników zewnętrznych, mogą wystąpić błędy uwierzytelniania, gdy spełnione są wszystkie poniższe warunki:
- Serwer LDAP obsługuje bezpieczny kanał ldaps zamiast ldap
- Istnieje element konfiguracji TLS_CIPHER_SUITE ALL:!ECDHE w /etc/openldap/ldap.conf
- Istniejący certyfikat po stronie serwera jest generowany za pomocą szyfru ECDHE.
Biorąc pod uwagę powyższe warunki, po stronie serwera zwrócony zostanie błąd, np:
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Problem z oprogramowaniem ze względu na niezgodność TLS_CIPHER_SUITE ALL:!ECDHE z certyfikatem po stronie serwera generowanym za pomocą szyfru ECDHE
Resolution
Aby ustalić, czy używany jest protokół LDAP, uruchom polecenie xmcli show-user-accounts. Właściwość External-Account jest prawdziwa, gdy używany jest protokół LDAP:
Aby zapobiec wystąpieniu tego błędu, wykonaj jedną z następujących opcji:
Jeśli XMS jest aktualizowany do wersji XMS 6.3.2 lub nowszej, należy zrobić to po aktualizacji.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Aby zapobiec wystąpieniu tego błędu, wykonaj jedną z następujących opcji:
- Ponownie wygeneruj plik z certyfikatem razem z szyfrem poza ECDHE. Użyj narzędzia openssl, aby wygenerować nowy certyfikat bez użycia pakietu szyfrowania ECDHE, a następnie uruchom polecenie modify-ldap-config w konsoli xmcli, na przykład:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
lub
- Dodaj komentarz do elementu konfiguracyjnego TLS_CIPHER_SUITE ALL:!ECDHE w /etc/openldap/ldap.conf.
Jeśli XMS jest aktualizowany do wersji XMS 6.3.2 lub nowszej, należy zrobić to po aktualizacji.
Affected Products
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Article Properties
Article Number: 000185589
Article Type: Solution
Last Modified: 19 Sep 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.