Dell Unity:LDAPを使用するマルチプロトコル環境で、マッピングユーザー修正ができないため、Windowsクライアントからの共有アクセスが失敗する
Summary: この文書では、暗号化方式がLDAPマッピングに影響を与えるLDAPを使用する場合に、不正なマッピングの問題を分離して回避する手順について説明します。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Unity LDAPは正しく構成されていますが、ユーザーはマッピングされていません。
LDAP検索コマンドを使用してLDAPサーバーに対してユーザーを検索する場合、ユーザーは正しく表示されます。
メモ: 検索コマンドでは、rootシェルにログインする必要があります。サポートが必要な場合は、サポートにお問い合わせください。rootシェルの有効化と コマンドの使用を支援できます。
コマンド:
ldapsearch -h <ldapserver ip> -D "<BindDN>" -w <Password> -b "<BaseDN>" -s <scope(base,one,sub)> "cn=<username>"
成功したコマンドの例:
--------------------- root@solaris11:~# ldapsearch -h 5.6.7.xxx -D "cn=admin,dc=peeps,dc=lab" -w Password123# -b "ou=people,dc=peeps,dc=lab" -s sub "cn=user1" version: 1 dn: uid=user1,ou=People,dc=peeps,dc=lab uid: user1 uidNumber: 1 gidNumber: 1 cn: user1 sn: user1 objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount loginShell: /bin/bash homeDirectory: /home/user1 You have new mail in /var/mail/root ---------------------
ただし、SVC NASコマンドを使用してユーザーを検索すると、次のメッセージで失敗します。
コマンド:
svc_nas <server name> -ldap -lookup -user <user name>
失敗したコマンドの例:
--------------------- service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user2 nas_multi : commands processed: 1 command(s) succeeded output is complete 1659693343: LDAP: 6: LdapService::connect: Connection to Ldap server ***.***.***.*** SUCCEEDED IP[0/1]=***.***.***.*** port=389 1659693343: LDAP: 3: User user2t: User name + password + uid + gid are too large to fit into buffer. 1659693343: LDAP: 6: Unable to get information for user user2 --------------------- ---------------------
さらに、失敗したユーザー名には、ユーザー名の後に不要な文字が含まれている場合があります。
成功したコマンドの例:
--------------------- service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user1 nas_multi : commands processed: 1 command(s) succeeded output is complete 1659694219: LDAP: 6: user: user1, uid: 12333, gid: 12333, homeDir: /home/user1 Command succeeded --------------------- ---------------------
Cause
お客様は、LDAP暗号化方式を「PBKDF2_SHA256」に設定しています。
Unityは「PBKDF2_SHA256」をサポートしていますが、制限があります。[username + password + uid + gid]の合計は452バイト以内である必要があります。
PBKDF2_SHA256暗号化では、パスワードに多数のバイトが使用されている場合、uidNumber、gidNumber、uidが合計に追加されると、452バイトの制限を超える可能性があります。
452バイトの制限を超えると、LDAPマルチプロトコル環境でマッピングがないため、Windowsクライアントからの共有アクセスが失敗します。
たとえば、お客様のパスワードが447バイトを使用している場合、uidNumber、gidNumber、uidに使用する残りのバイト数はわずか5バイトです。
452バイトの制限に適合する例:
userPassword= 404バイト
uidNumber = 16バイト
gidNumber = 16バイト
uid = 16バイト
合計 = 452バイト
Unityは「PBKDF2_SHA256」をサポートしていますが、制限があります。[username + password + uid + gid]の合計は452バイト以内である必要があります。
PBKDF2_SHA256暗号化では、パスワードに多数のバイトが使用されている場合、uidNumber、gidNumber、uidが合計に追加されると、452バイトの制限を超える可能性があります。
452バイトの制限を超えると、LDAPマルチプロトコル環境でマッピングがないため、Windowsクライアントからの共有アクセスが失敗します。
たとえば、お客様のパスワードが447バイトを使用している場合、uidNumber、gidNumber、uidに使用する残りのバイト数はわずか5バイトです。
452バイトの制限に適合する例:
userPassword= 404バイト
uidNumber = 16バイト
gidNumber = 16バイト
uid = 16バイト
合計 = 452バイト
Resolution
PBKDF2_SHA256以外の暗号化スキームの使用を検討してください。たとえば、SSHA-512を使用します。
UnityでサポートされているLDAP暗号化スキーム:
2022年8月時点で、OE 5.2:
SHA、SHA-256、SHA-384、SHA-512で次の暗号が使用可能です。 SSHA、SSHA-256、SSHA-384、SSHA-512、MD5、PKCS5S2、CRYPT、CRYPT-MD5、CRYPT-SHA-256、CRYPT-SHA-512、PBKDF2_SHA256****
PBKDF2_SHA256を使用する場合、[username + password + uid + gid]の合計は452バイトに制限されます。
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000204586
Article Type: Solution
Last Modified: 14 Dec 2023
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.