Dell Unity: In einer Multiprotokollumgebung mit LDAP schlägt der freigegebene Zugriff von Windows-Clients fehl, da keine Zuordnung vom Nutzer korrigierbar ist.
Summary: In diesem Artikel werden die Schritte zum Trennen und Umgehen des Problems einer falschen Zuordnung bei der Verwendung von LDAP erläutert, wobei die verwendete Verschlüsselungsmethode die LDAP-Zuordnung beeinflusst. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Unity LDAP ist korrekt konfiguriert, benutzer werden jedoch nicht zugeordnet.
Wenn Sie den LDAP-Suchbefehl verwenden, um nach Benutzern auf dem LDAP-Server zu suchen, werden sie korrekt angezeigt.
HINWEIS: Der Suchbefehl erfordert die Anmeldung bei der Root-Shell. Wenden Sie sich an den Support, wenn Sie Unterstützung benötigen. Sie können bei der Aktivierung der Root-Shell und der Verwendung des Befehls helfen.
Befehl:
ldapsearch -h <ldapserver ip> -D "<BindDN>" -w <Password> -b "<BaseDN>" -s <scope(base,one,sub)> "cn=<username>"
Beispiel für einen erfolgreichen Befehl:
--------------------- root@solaris11:~# ldapsearch -h 5.6.7.xxx -D "cn=admin,dc=peeps,dc=lab" -w Password123# -b "ou=people,dc=peeps,dc=lab" -s sub "cn=user1" version: 1 dn: uid=user1,ou=People,dc=peeps,dc=lab uid: user1 uidNumber: 1 gidNumber: 1 cn: user1 sn: user1 objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount loginShell: /bin/bash homeDirectory: /home/user1 You have new mail in /var/mail/root ---------------------
Wenn Sie jedoch den SVC NAS-Befehl verwenden, um nach Benutzern zu suchen, schlägt dies mit der folgenden Meldung fehl:
Befehl:
svc_nas <server name> -ldap -lookup -user <user name>
Beispiel für einen fehlgeschlagenen Befehl:
--------------------- service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user2 nas_multi : commands processed: 1 command(s) succeeded output is complete 1659693343: LDAP: 6: LdapService::connect: Connection to Ldap server ***.***.***.*** SUCCEEDED IP[0/1]=***.***.***.*** port=389 1659693343: LDAP: 3: User user2t: User name + password + uid + gid are too large to fit into buffer. 1659693343: LDAP: 6: Unable to get information for user user2 --------------------- ---------------------
Darüber hinaus enthält der fehlgeschlagene Benutzername möglicherweise unnötige Zeichen nach dem Benutzernamen.
Beispiel für einen erfolgreichen Befehl:
--------------------- service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user1 nas_multi : commands processed: 1 command(s) succeeded output is complete 1659694219: LDAP: 6: user: user1, uid: 12333, gid: 12333, homeDir: /home/user1 Command succeeded --------------------- ---------------------
Cause
Der Kunde hat die LDAP-Verschlüsselungsmethode auf "PBKDF2_SHA256" festgelegt.
Unity unterstützt "PBKDF2_SHA256", aber es gibt eine Einschränkung, die Summe von [Benutzername + Passwort + UID + GID] muss innerhalb von 452 Byte sein.
Wenn bei PBKDF2_SHA256 Verschlüsselung viele Byte für das Passwort verwendet werden, kann das 452-Byte-Limit überschritten werden, wenn uidNumber, gidNumber und uid zur Gesamtanzahl hinzugefügt werden.
Die Überschreitung des 452-Byte-Limits führt dazu, dass der gemeinsame Zugriff von Windows-Clients fehlschlägt, da keine Zuordnung in einer LDAP-Multiprotokollumgebung vorliegt.
Wenn das Kundenpasswort beispielsweise 447 Byte verwendet, beträgt die verbleibende Anzahl von Byte, die für uidNumber, gidNumber und uid verwendet werden sollen, nur 5 Byte.
Beispiel, das in das Limit von 452 Byte passt:
userPassword= 404 Byte
uidNumber = 16 Byte
gidNumber = 16 Byte
uid = 16 Byte
insgesamt = 452 Byte
Unity unterstützt "PBKDF2_SHA256", aber es gibt eine Einschränkung, die Summe von [Benutzername + Passwort + UID + GID] muss innerhalb von 452 Byte sein.
Wenn bei PBKDF2_SHA256 Verschlüsselung viele Byte für das Passwort verwendet werden, kann das 452-Byte-Limit überschritten werden, wenn uidNumber, gidNumber und uid zur Gesamtanzahl hinzugefügt werden.
Die Überschreitung des 452-Byte-Limits führt dazu, dass der gemeinsame Zugriff von Windows-Clients fehlschlägt, da keine Zuordnung in einer LDAP-Multiprotokollumgebung vorliegt.
Wenn das Kundenpasswort beispielsweise 447 Byte verwendet, beträgt die verbleibende Anzahl von Byte, die für uidNumber, gidNumber und uid verwendet werden sollen, nur 5 Byte.
Beispiel, das in das Limit von 452 Byte passt:
userPassword= 404 Byte
uidNumber = 16 Byte
gidNumber = 16 Byte
uid = 16 Byte
insgesamt = 452 Byte
Resolution
Erwägen Sie die Verwendung eines anderen Verschlüsselungsschemas als PBKDF2_SHA256, z. B. verwenden Sie SSHA-512.
Von Unity unterstützte LDAP-Verschlüsselungsschemata:
Ab August 2022 sind die folgenden Chiffren in OE 5.2 verfügbar:
SHA, SHA-256, SHA-384, SHA-512, SSHA, SSHA-256, SSHA-384, SSHA-512, MD5, SMD5, PKCS5S2, CRYPT, CRYPT-MD5, CRYPT-SHA-256, CRYPT-SHA-512, PBKDF2_SHA256****
Bei Verwendung von PBKDF2_SHA256 ist die Summe von [Benutzername + Kennwort + uid + gid] auf 452 Byte begrenzt.
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000204586
Article Type: Solution
Last Modified: 14 Dec 2023
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.