Dell Unity: I en miljö med flera protokoll med LDAP misslyckas delad åtkomst från Windows-klienter på grund av att ingen mappningsanvändare kan korrigeras
Summary: I den här artikeln beskrivs stegen för att separera och kringgå problemet med felaktig mappning vid användning av LDAP där krypteringsmetoden som används påverkar LDAP-mappning.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Unity LDAP har konfigurerats korrekt, men användare mappas inte.
Om du använder LDAP-sökkommandot för att söka efter användare mot LDAP-servern visas de som de ska.
Obs! Sökkommandot kräver inloggning till rotgränssnittet. Kontakta support om du behöver hjälp. De kan hjälpa till med att aktivera rotgränssnittet och använda kommandot.
Kommando:
ldapsearch -h <ldapserver ip> -D "<BindDN>" -w <Password> -b "<BaseDN>" -s <scope(base,one,sub)> "cn=<username>"
Exempel på ett lyckat kommando:
--------------------- root@solaris11:~# ldapsearch -h 5.6.7.xxx -D "cn=admin,dc=peeps,dc=lab" -w Password123# -b "ou=people,dc=peeps,dc=lab" -s sub "cn=user1" version: 1 dn: uid=user1,ou=People,dc=peeps,dc=lab uid: user1 uidNumber: 1 gidNumber: 1 cn: user1 sn: user1 objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount loginShell: /bin/bash homeDirectory: /home/user1 You have new mail in /var/mail/root ---------------------
Men om du använder kommandot SVC NAS för att söka efter användare misslyckas det med följande meddelande:
Kommando:
svc_nas <server name> -ldap -lookup -user <user name>
Exempel på ett misslyckat kommando:
--------------------- service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user2 nas_multi : commands processed: 1 command(s) succeeded output is complete 1659693343: LDAP: 6: LdapService::connect: Connection to Ldap server ***.***.***.*** SUCCEEDED IP[0/1]=***.***.***.*** port=389 1659693343: LDAP: 3: User user2t: User name + password + uid + gid are too large to fit into buffer. 1659693343: LDAP: 6: Unable to get information for user user2 --------------------- ---------------------
Dessutom kan det felaktiga användarnamnet innehålla onödiga tecken efter användarnamnet.
Exempel på ett lyckat kommando:
--------------------- service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user1 nas_multi : commands processed: 1 command(s) succeeded output is complete 1659694219: LDAP: 6: user: user1, uid: 12333, gid: 12333, homeDir: /home/user1 Command succeeded --------------------- ---------------------
Cause
Kunden har ställt in LDAP-krypteringsmetoden på "PBKDF2_SHA256".
Unity stöder "PBKDF2_SHA256", men det finns en begränsning. Summan av [användarnamn + lösenord + uid + gid] måste vara inom 452 byte.
Om många byte används för lösenordet med PBKDF2_SHA256 kryptering kan gränsen på 452 byte överskridas när uidNumber, gidNumber och uid läggs till totalt.
Om gränsen på 452 byte överskrids misslyckas delad åtkomst från Windows-klienter på grund av ingen mappning i en miljö med LDAP med flera protokoll.
Om kundens lösenord till exempel använder 447 byte används det återstående antalet byte för uidNumber, gidNumber och uid endast 5 byte.
Exempel som passar gränsen på 452 byte:
userPassword= 404 Byte
uidNumber = 16 Byte
gidNumber = 16 Byte
uid = 16 Byte
Total = 452 Byte
Unity stöder "PBKDF2_SHA256", men det finns en begränsning. Summan av [användarnamn + lösenord + uid + gid] måste vara inom 452 byte.
Om många byte används för lösenordet med PBKDF2_SHA256 kryptering kan gränsen på 452 byte överskridas när uidNumber, gidNumber och uid läggs till totalt.
Om gränsen på 452 byte överskrids misslyckas delad åtkomst från Windows-klienter på grund av ingen mappning i en miljö med LDAP med flera protokoll.
Om kundens lösenord till exempel använder 447 byte används det återstående antalet byte för uidNumber, gidNumber och uid endast 5 byte.
Exempel som passar gränsen på 452 byte:
userPassword= 404 Byte
uidNumber = 16 Byte
gidNumber = 16 Byte
uid = 16 Byte
Total = 452 Byte
Resolution
Överväg att använda ett annat krypteringsschema än PBKDF2_SHA256 till exempel använda SSHA-512.
LDAP-krypteringsscheman som stöds av Unity:
Från och med augusti 2022 är följande chiffer tillgängliga i OE 5.2:
SHA, SHA-256, SHA-384, SHA-512, SSHA, SSHA-256, SSHA-384, SSHA-512, MD5, SMD5, PKCS5S2, CRYPT, CRYPT-MD5, CRYPT-SHA-256, CRYPT-SHA-512, PBKDF2_SHA256**
** När du använder PBKDF2_SHA256 är summan av [användarnamn + lösenord + uid + gid] begränsad till 452 byte.
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000204586
Article Type: Solution
Last Modified: 14 Dec 2023
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.