Dell Unity: I et miljø med flere protokoller som bruker LDAP, mislykkes delt tilgang fra Windows-klienter på grunn av at ingen tilordningsbrukere kan korrigeres
Summary: Denne artikkelen forklarer trinnene for å skille og omgå problemet med feil tilordning når du bruker LDAP, der krypteringsmetoden som brukes, påvirker LDAP-tilordning.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Unity LDAP er riktig konfigurert, men brukerne er ikke tilordnet.
Hvis du bruker LDAP-søkekommandoen til å søke etter brukere mot LDAP-serveren, vises de på riktig måte.
MERK: Søkekommandoen krever pålogging til rotskallet. Kontakt kundestøtte hvis du trenger hjelp. De kan hjelpe deg med å aktivere rotskallet og bruke kommandoen.
Kommando:
ldapsearch -h <ldapserver ip> -D "<BindDN>" -w <Password> -b "<BaseDN>" -s <scope(base,one,sub)> "cn=<username>"
Eksempel på en vellykket kommando:
--------------------- root@solaris11:~# ldapsearch -h 5.6.7.xxx -D "cn=admin,dc=peeps,dc=lab" -w Password123# -b "ou=people,dc=peeps,dc=lab" -s sub "cn=user1" version: 1 dn: uid=user1,ou=People,dc=peeps,dc=lab uid: user1 uidNumber: 1 gidNumber: 1 cn: user1 sn: user1 objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount loginShell: /bin/bash homeDirectory: /home/user1 You have new mail in /var/mail/root ---------------------
Hvis du imidlertid bruker SVC NAS-kommandoen til å søke etter brukere, mislykkes den med følgende melding:
Kommando:
svc_nas <server name> -ldap -lookup -user <user name>
Eksempel på en mislykket kommando:
--------------------- service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user2 nas_multi : commands processed: 1 command(s) succeeded output is complete 1659693343: LDAP: 6: LdapService::connect: Connection to Ldap server ***.***.***.*** SUCCEEDED IP[0/1]=***.***.***.*** port=389 1659693343: LDAP: 3: User user2t: User name + password + uid + gid are too large to fit into buffer. 1659693343: LDAP: 6: Unable to get information for user user2 --------------------- ---------------------
I tillegg kan det mislykkede brukernavnet inneholde unødvendige tegn etter brukernavnet.
Eksempel på en vellykket kommando:
--------------------- service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user1 nas_multi : commands processed: 1 command(s) succeeded output is complete 1659694219: LDAP: 6: user: user1, uid: 12333, gid: 12333, homeDir: /home/user1 Command succeeded --------------------- ---------------------
Cause
Kunden har angitt LDAP-krypteringsmetoden til «PBKDF2_SHA256».
Unity støtter «PBKDF2_SHA256», men det er en begrensning, summen av [brukernavn+ passord + uid + gid] må være innenfor 452 byte.
Hvis mange byte brukes for passordet med PBKDF2_SHA256 kryptering, kan grensen på 452 byte overskrides når uidNumber, gidNumber og uid legges til totalen.
Overskridelse av grensen på 452 byte fører til at delt tilgang fra Windows-klienter mislykkes på grunn av ingen tilordning i et LDAP-miljø med flere protokoller.
Hvis for eksempel kundepassordet bruker 447 byte, er det gjenværende antallet byte som skal brukes for uidNumber, gidNumber og uid, bare 5 byte.
Eksempel som passer i grensen på 452 byte:
userPassword= 404 Byte
uidNumber = 16 Byte
gidNumber = 16 Byte
uid = Total for 16 byte
= 452 byte
Unity støtter «PBKDF2_SHA256», men det er en begrensning, summen av [brukernavn+ passord + uid + gid] må være innenfor 452 byte.
Hvis mange byte brukes for passordet med PBKDF2_SHA256 kryptering, kan grensen på 452 byte overskrides når uidNumber, gidNumber og uid legges til totalen.
Overskridelse av grensen på 452 byte fører til at delt tilgang fra Windows-klienter mislykkes på grunn av ingen tilordning i et LDAP-miljø med flere protokoller.
Hvis for eksempel kundepassordet bruker 447 byte, er det gjenværende antallet byte som skal brukes for uidNumber, gidNumber og uid, bare 5 byte.
Eksempel som passer i grensen på 452 byte:
userPassword= 404 Byte
uidNumber = 16 Byte
gidNumber = 16 Byte
uid = Total for 16 byte
= 452 byte
Resolution
Vurder å bruke en annen krypteringsplan enn PBKDF2_SHA256, for eksempel bruke SSHA-512.
LDAP-krypteringsoppsett som støttes av Unity:
Fra august 2022 er følgende koder tilgjengelige i OE 5.2:
SHA, SHA-256, SHA-384, SHA-512, SSHA, SSHA-256, SSHA-384, SSHA-512, MD5, SMD5, PKCS5S2, CRYPT, CRYPT-MD5, CRYPT-SHA-256, CRYPT-SHA-512, PBKDF2_SHA256**
**Når du bruker PBKDF2_SHA256, er summen av [brukernavn + passord + uid + gid] begrenset til 452 byte.
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000204586
Article Type: Solution
Last Modified: 14 Dec 2023
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.