Dell Unity: LDAP:tä käyttävässä usean protokollan ympäristössä Windows-työasemien jaettu käyttö epäonnistuu, koska yhdistämiskäyttäjää ei ole korjattavissa

Summary: Tässä artikkelissa selitetään ohjeet virheellisen yhdistämisen ongelman eristämiseen ja kiertämiseen käytettäessä LDAP:tä, kun käytettävä salaustapa vaikuttaa LDAP-yhdistämiseen.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Unityn LDAP on määritetty oikein, mutta käyttäjiä ei ole yhdistetty.

Jos LDAP-hakukomennolla haetaan käyttäjiä LDAP-palvelimesta, ne näkyvät oikein. 

 
HUOMAUTUS: Hakukomento edellyttää kirjautumista pääkäyttäjän komentotulkkiin. Jos tarvitset apua, ota yhteys tukeen. Ne voivat auttaa root-komentotulkin käyttöönotossa ja komennon käytössä.
 

Komento:

ldapsearch -h <ldapserver ip> -D "<BindDN>" -w <Password> -b "<BaseDN>" -s <scope(base,one,sub)> "cn=<username>"

Esimerkki onnistuneesta komennosta:

---------------------
root@solaris11:~# ldapsearch -h 5.6.7.xxx -D "cn=admin,dc=peeps,dc=lab" -w Password123# -b "ou=people,dc=peeps,dc=lab" -s sub "cn=user1"
version: 1
dn: uid=user1,ou=People,dc=peeps,dc=lab
uid: user1
uidNumber: 1
gidNumber: 1
cn: user1
sn: user1
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
loginShell: /bin/bash
homeDirectory: /home/user1
You have new mail in /var/mail/root
---------------------


Jos etsit käyttäjiä SVC NAS -komennolla, se epäonnistuu ja näyttöön tulee seuraava ilmoitus:

Komento:

svc_nas <server name> -ldap -lookup -user <user name>

Esimerkki epäonnistuneesta komennosta:

---------------------
service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user2

nas_multi : commands processed: 1
command(s) succeeded
output is complete

1659693343: LDAP: 6: LdapService::connect: Connection to Ldap server ***.***.***.*** SUCCEEDED IP[0/1]=***.***.***.*** port=389
1659693343: LDAP: 3: User user2t: User name + password + uid + gid are too large to fit into buffer.
1659693343: LDAP: 6: Unable to get information for user user2
---------------------
---------------------

Viallinen käyttäjätunnus voi lisäksi sisältää tarpeettomia merkkejä käyttäjätunnuksen jälkeen.

Esimerkki onnistuneesta komennosta:

---------------------
service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user1

nas_multi : commands processed: 1
command(s) succeeded
output is complete

1659694219: LDAP: 6: user: user1, uid: 12333, gid: 12333, homeDir: /home/user1

Command succeeded
---------------------

---------------------

Cause

Asiakas on määrittänyt LDAP-salaustavaksi PBKDF2_SHA256.

Unity tukee PBKDF2_SHA256, mutta siinä on rajoitus, [käyttäjätunnuksen + salasanan + uid + gid] summan on oltava enintään 452 tavua.

PBKDF2_SHA256 salauksessa 452 tavun raja saattaa ylittyä, kun uidNumber-, gidNumber- ja uid-arvo lisätään kokonaismäärään. 

Kun 452 tavun raja ylittyy, Windows-työasemien jaettu käyttö epäonnistuu, koska LDAP:n usean protokollan ympäristössä ei ole yhdistämistä.

Jos asiakkaan salasana käyttää esimerkiksi 447 tavua, uidNumber-, gidNumber- ja uid-numeroissa jäljellä olevien tavujen määrä on vain 5 tavua.

Esimerkki 452 tavun rajoituksesta:
userPassword= 404 tavua
uidNumber = 16 tavua
gidNumber = 16 tavua
uid = 16 tavua
yhteensä = 452 tavua

Resolution

Kokeile käyttää muuta salausmallia kuin PBKDF2_SHA256, esimerkiksi SSHA-512.

Unityn tukemat LDAP-salausmallit:
Elokuusta 2022 alkaen seuraavat salaustoiminnot ovat käytettävissä seuraavissa järjestelmissä: OE 5.2:
SHA, SHA-256, SHA-384, SHA-512, SSHA, SSHA-256, SSHA-384, SSHA-512, MD5, SMD5, PKCS5S2, CRYPT, CRYPT-MD5, CRYPT-SHA-256, CRYPT-SHA-512, PBKDF2_SHA256**
***Käytettäessä PBKDF2_SHA256 summa [käyttäjätunnus + salasana + uid + gid] on rajoitettu 452 tavuun.

Affected Products

Dell EMC Unity
Article Properties
Article Number: 000204586
Article Type: Solution
Last Modified: 14 Dec 2023
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.