Dell Unity:在使用 LDAP 的多协议环境中,由于无映射用户可更正,来自 Windows 客户端的共享访问失败

Summary: 本文介绍了在使用 LDAP 时分隔并解决映射错误问题的步骤,其中使用的加密方法会影响 LDAP 映射。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Unity LDAP 配置正确,但未映射用户。

如果使用 LDAP Search 命令针对 LDAP 服务器搜索用户,则它们会正确显示。 

 
提醒:搜索命令需要登录 root shell。如果您需要帮助,请联系支持部门。他们可以帮助启用 root shell 并使用 命令。
 

命令:

ldapsearch -h <ldapserver ip> -D "<BindDN>" -w <Password> -b "<BaseDN>" -s <scope(base,one,sub)> "cn=<username>"

成功命令的示例:

---------------------
root@solaris11:~# ldapsearch -h 5.6.7.xxx -D "cn=admin,dc=peeps,dc=lab" -w Password123# -b "ou=people,dc=peeps,dc=lab" -s sub "cn=user1"
version: 1
dn: uid=user1,ou=People,dc=peeps,dc=lab
uid: user1
uidNumber: 1
gidNumber: 1
cn: user1
sn: user1
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
loginShell: /bin/bash
homeDirectory: /home/user1
You have new mail in /var/mail/root
---------------------


但是,如果使用 SVC NAS 命令搜索用户,则失败并显示以下消息:

命令:

svc_nas <server name> -ldap -lookup -user <user name>

失败命令的示例:

---------------------
service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user2

nas_multi : commands processed: 1
command(s) succeeded
output is complete

1659693343: LDAP: 6: LdapService::connect: Connection to Ldap server ***.***.***.*** SUCCEEDED IP[0/1]=***.***.***.*** port=389
1659693343: LDAP: 3: User user2t: User name + password + uid + gid are too large to fit into buffer.
1659693343: LDAP: 6: Unable to get information for user user2
---------------------
---------------------

此外,出现故障的用户名可能在用户名之后包含不必要的字符。

成功命令的示例:

---------------------
service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user1

nas_multi : commands processed: 1
command(s) succeeded
output is complete

1659694219: LDAP: 6: user: user1, uid: 12333, gid: 12333, homeDir: /home/user1

Command succeeded
---------------------

---------------------

Cause

客户已将 LDAP 加密方法设置为“PBKDF2_SHA256”。

Unity 支持“PBKDF2_SHA256”,但有一个限制,[用户名 + 密码 + uid + gid] 的总和必须在 452 字节内。

使用 PBKDF2_SHA256 加密时,如果为密码使用了许多字节,则在将 uidNumber、gidNumber 和 uid 添加到总数时,可能会超过 452 字节限制。

超过 452 字节限制会导致来自 Windows 客户端的共享访问失败,因为 LDAP 多协议环境中没有映射。

例如,如果客户密码使用 447 字节,则用于 uidNumber、gidNumber 和 uid 的剩余字节数仅为 5 字节。

符合 452 字节限制的示例:
userPassword= 404 字节
uidNumber = 16 字节
gidNumber = 16 字节
uid = 16 字节
总计 = 452 字节

Resolution

考虑使用PBKDF2_SHA256以外的加密方案,例如使用 SSHA-512。

Unity 支持的 LDAP 加密方案:
自 2022 年 8 月起,以下密码在 OE 5.2:
SHA、SHA-256、SHA-384、SHA-512 中可用, SSHA、SSHA-256、SSHA-384、SSHA-512、MD5、SMD5、PKCS5S2、CRYPT、CRYPT-MD5、CRYPT-SHA-256、CRYPT-SHA-512、PBKDF2_SHA256**
**使用PBKDF2_SHA256时,[用户名 + 密码 + uid + gid] 的和限制为 452 字节。

Affected Products

Dell EMC Unity
Article Properties
Article Number: 000204586
Article Type: Solution
Last Modified: 14 Dec 2023
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.