Dell Unity. В среде с несколькими протоколами, использующей LDAP, происходит сбой общего доступа от клиентов Windows из-за отсутствия исправимых сопоставлений пользователем
Summary: В этой статье описаны действия по разделизации и временному решению проблемы неправильного сопоставления при использовании протокола LDAP, при котором используемый метод шифрования влияет на сопоставление LDAP. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Unity LDAP настроен правильно, но пользователи не сопоставлены.
При использовании команды поиска LDAP для поиска пользователей на сервере LDAP они отображаются правильно.
ПРИМЕЧАНИЕ. Для выполнения команды поиска требуется вход в корневую оболочку. Если вам требуется помощь, обратитесь в службу поддержки. Они могут помочь в активации оболочки root и с помощью команды.
Команда:
ldapsearch -h <ldapserver ip> -D "<BindDN>" -w <Password> -b "<BaseDN>" -s <scope(base,one,sub)> "cn=<username>"
Пример успешного выполнения команды:
--------------------- root@solaris11:~# ldapsearch -h 5.6.7.xxx -D "cn=admin,dc=peeps,dc=lab" -w Password123# -b "ou=people,dc=peeps,dc=lab" -s sub "cn=user1" version: 1 dn: uid=user1,ou=People,dc=peeps,dc=lab uid: user1 uidNumber: 1 gidNumber: 1 cn: user1 sn: user1 objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount loginShell: /bin/bash homeDirectory: /home/user1 You have new mail in /var/mail/root ---------------------
Однако при использовании команды SVC NAS для поиска пользователей происходит сбой со следующим сообщением:
Команда:
svc_nas <server name> -ldap -lookup -user <user name>
Пример неудачной команды:
--------------------- service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user2 nas_multi : commands processed: 1 command(s) succeeded output is complete 1659693343: LDAP: 6: LdapService::connect: Connection to Ldap server ***.***.***.*** SUCCEEDED IP[0/1]=***.***.***.*** port=389 1659693343: LDAP: 3: User user2t: User name + password + uid + gid are too large to fit into buffer. 1659693343: LDAP: 6: Unable to get information for user user2 --------------------- ---------------------
Кроме того, после имени пользователя имя пользователя может содержать ненужные символы.
Пример успешного выполнения команды:
--------------------- service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user1 nas_multi : commands processed: 1 command(s) succeeded output is complete 1659694219: LDAP: 6: user: user1, uid: 12333, gid: 12333, homeDir: /home/user1 Command succeeded --------------------- ---------------------
Cause
Заказчик напростил метод шифрования LDAP на «PBKDF2_SHA256».
Unity поддерживает «PBKDF2_SHA256», но существует ограничение, сумма [имя пользователя + пароль + uid + gid] должна быть не более 452 байт.
При PBKDF2_SHA256 , если для пароля используется много байтов, лимит в 452 байта может быть превышен при добавлении uidNumber, gidNumber и uid в общее количество.
Превышение лимита в 452 байта приводит к сбою общего доступа от клиентов Windows из-за отсутствия сопоставления в среде с несколькими протоколами LDAP.
Например, если пароль заказчика использует 447 байт, оставшееся количество байтов, используемых для uidNumber, gidNumber и uid, составляет всего 5 байт.
Пример, который соответствует пределу в 452 байта:
userPassword= 404 байта
uidNumber = 16 байт
gidNumber = 16 байт
uid = 16 байт
Всего = 452 байта
Unity поддерживает «PBKDF2_SHA256», но существует ограничение, сумма [имя пользователя + пароль + uid + gid] должна быть не более 452 байт.
При PBKDF2_SHA256 , если для пароля используется много байтов, лимит в 452 байта может быть превышен при добавлении uidNumber, gidNumber и uid в общее количество.
Превышение лимита в 452 байта приводит к сбою общего доступа от клиентов Windows из-за отсутствия сопоставления в среде с несколькими протоколами LDAP.
Например, если пароль заказчика использует 447 байт, оставшееся количество байтов, используемых для uidNumber, gidNumber и uid, составляет всего 5 байт.
Пример, который соответствует пределу в 452 байта:
userPassword= 404 байта
uidNumber = 16 байт
gidNumber = 16 байт
uid = 16 байт
Всего = 452 байта
Resolution
Рассмотрите возможность использования схемы шифрования, отличной от PBKDF2_SHA256, например использовать SSHA-512.
Поддерживаемые Unity схемы шифрования LDAP:
По данным на август 2022 года следующие шифры доступны в OE 5.2:
SHA, SHA-256, SHA-384, SHA-512, SSHA, SSHA-256, SSHA-384, SSHA-512, MD5, SMD5, PKCS5S2, CRYPT, CRYPT-MD5, CRYPT-SHA-256, CRYPT-SHA-512, PBKDF2_SHA256****
*При использовании PBKDF2_SHA256 сумма [имя пользователя + пароль + uid + gid] ограничена 452 байтами.
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000204586
Article Type: Solution
Last Modified: 14 Dec 2023
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.