Dell Unity: I et multiprotocol-miljø, der bruger LDAP, mislykkes delt adgang fra Windows-klienter på grund af, at der ikke kan rettes en mapping-bruger
Summary: Denne artikel beskriver trinnene til at adskille og løse problemet med forkert tilknytning ved brug af LDAP, hvor den anvendte krypteringsmetode påvirker LDAP-tilknytning.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Unity LDAP er konfigureret korrekt, men brugerne er ikke tilknyttet.
Hvis du bruger LDAP-søgekommandoen til at søge efter brugere med LDAP-serveren, vises de korrekt.
BEMÆRK: Søgekommandoen kræver login til root shell. Kontakt support, hvis du har brug for hjælp. De kan hjælpe med at aktivere rod-shell'en og bruge kommandoen.
Kommando:
ldapsearch -h <ldapserver ip> -D "<BindDN>" -w <Password> -b "<BaseDN>" -s <scope(base,one,sub)> "cn=<username>"
Eksempel på en vellykket kommando:
--------------------- root@solaris11:~# ldapsearch -h 5.6.7.xxx -D "cn=admin,dc=peeps,dc=lab" -w Password123# -b "ou=people,dc=peeps,dc=lab" -s sub "cn=user1" version: 1 dn: uid=user1,ou=People,dc=peeps,dc=lab uid: user1 uidNumber: 1 gidNumber: 1 cn: user1 sn: user1 objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount loginShell: /bin/bash homeDirectory: /home/user1 You have new mail in /var/mail/root ---------------------
Hvis du imidlertid bruger SVC NAS-kommandoen til at søge efter brugere, mislykkes det med følgende meddelelse:
Kommando:
svc_nas <server name> -ldap -lookup -user <user name>
Eksempel på en mislykket kommando:
--------------------- service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user2 nas_multi : commands processed: 1 command(s) succeeded output is complete 1659693343: LDAP: 6: LdapService::connect: Connection to Ldap server ***.***.***.*** SUCCEEDED IP[0/1]=***.***.***.*** port=389 1659693343: LDAP: 3: User user2t: User name + password + uid + gid are too large to fit into buffer. 1659693343: LDAP: 6: Unable to get information for user user2 --------------------- ---------------------
Derudover kan det defekte brugernavn indeholde unødvendige tegn efter brugernavnet.
Eksempel på en vellykket kommando:
--------------------- service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user1 nas_multi : commands processed: 1 command(s) succeeded output is complete 1659694219: LDAP: 6: user: user1, uid: 12333, gid: 12333, homeDir: /home/user1 Command succeeded --------------------- ---------------------
Cause
Kunden har indstillet LDAP-krypteringsmetoden til "PBKDF2_SHA256".
Unity understøtter "PBKDF2_SHA256", men der er en begrænsning. Summen af [brugernavn + adgangskode + uid + gid] skal være inden for 452 byte.
Med PBKDF2_SHA256 kryptering kan grænsen på 452-byte blive overskredet, hvis der bruges mange bytes til adgangskoden, når uidNumber, gidNumber og uid føjes til totalen.
Overskridelse af grænsen på 452 byte medfører, at delt adgang fra Windows-klienter mislykkes på grund af manglende tilknytning i et LDAP-miljø med flere adgangsprotokoller.
Hvis kundens adgangskode f.eks. bruger 447 bytes, er det resterende antal byte, der skal bruges til uidNumber, gidNumber og uid, kun 5 bytes.
Eksempel, der passer til grænsen på 452-Byte:
userPassword= 404 Byte
uidNumber = 16 Byte
gidNumber = 16 Byte
uid = 16 byte
i alt = 452 byte
Unity understøtter "PBKDF2_SHA256", men der er en begrænsning. Summen af [brugernavn + adgangskode + uid + gid] skal være inden for 452 byte.
Med PBKDF2_SHA256 kryptering kan grænsen på 452-byte blive overskredet, hvis der bruges mange bytes til adgangskoden, når uidNumber, gidNumber og uid føjes til totalen.
Overskridelse af grænsen på 452 byte medfører, at delt adgang fra Windows-klienter mislykkes på grund af manglende tilknytning i et LDAP-miljø med flere adgangsprotokoller.
Hvis kundens adgangskode f.eks. bruger 447 bytes, er det resterende antal byte, der skal bruges til uidNumber, gidNumber og uid, kun 5 bytes.
Eksempel, der passer til grænsen på 452-Byte:
userPassword= 404 Byte
uidNumber = 16 Byte
gidNumber = 16 Byte
uid = 16 byte
i alt = 452 byte
Resolution
Overvej at bruge en anden krypteringsplan end PBKDF2_SHA256, brug f.eks. SSHA-512.
LDAP-krypteringsskemaer, der understøttes af Unity:
Fra og med august 2022 er følgende koder tilgængelige i OE 5.2:
SHA, SHA-256, SHA-384, SHA-512, SSHA, SSHA-256, SSHA-384, SSHA-512, MD5, SMD5, PKCS5S2, CRYPT, CRYPT-MD5, CRYPT-SHA-256, CRYPT-SHA-512, PBKDF2_SHA256**
** Ved brug af PBKDF2_SHA256 er summen af [brugernavn + adgangskode + uid + gid] begrænset til 452 byte.
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000204586
Article Type: Solution
Last Modified: 14 Dec 2023
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.