Dell Unity:在使用 LDAP 的多重通訊協定環境中,無法從 Windows 用戶端進行共用存取,因為無法由對應使用者更正
Summary: 本文說明在使用 LDAP 時,使用加密方法會影響 LDAP 對應時,分隔和解決不正確對應問題的步驟。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Unity LDAP 已正確設定,但使用者並未對應。
如果使用 LDAP 搜尋命令針對 LDAP 伺服器搜尋使用者,則會正確顯示。
注意:搜尋命令需要登入 root Shell。如果您需要協助,請聯絡支援部門。他們可以協助啟用 root Shell 和使用命令。
命令:
ldapsearch -h <ldapserver ip> -D "<BindDN>" -w <Password> -b "<BaseDN>" -s <scope(base,one,sub)> "cn=<username>"
成功命令的範例:
--------------------- root@solaris11:~# ldapsearch -h 5.6.7.xxx -D "cn=admin,dc=peeps,dc=lab" -w Password123# -b "ou=people,dc=peeps,dc=lab" -s sub "cn=user1" version: 1 dn: uid=user1,ou=People,dc=peeps,dc=lab uid: user1 uidNumber: 1 gidNumber: 1 cn: user1 sn: user1 objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount loginShell: /bin/bash homeDirectory: /home/user1 You have new mail in /var/mail/root ---------------------
但是,如果使用 SVC NAS 命令搜尋使用者,則失敗並顯示下列訊息:
命令:
svc_nas <server name> -ldap -lookup -user <user name>
命令失敗範例:
--------------------- service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user2 nas_multi : commands processed: 1 command(s) succeeded output is complete 1659693343: LDAP: 6: LdapService::connect: Connection to Ldap server ***.***.***.*** SUCCEEDED IP[0/1]=***.***.***.*** port=389 1659693343: LDAP: 3: User user2t: User name + password + uid + gid are too large to fit into buffer. 1659693343: LDAP: 6: Unable to get information for user user2 --------------------- ---------------------
此外,故障的使用者名稱可能包含使用者名稱之後不必要的字元。
成功命令的範例:
--------------------- service@********* spb:~/user# svc_nas nas_multi -ldap -lookup -user user1 nas_multi : commands processed: 1 command(s) succeeded output is complete 1659694219: LDAP: 6: user: user1, uid: 12333, gid: 12333, homeDir: /home/user1 Command succeeded --------------------- ---------------------
Cause
客戶已將 LDAP 加密方法設為「PBKDF2_SHA256」。
Unity 支援「PBKDF2_SHA256」,但有限制,[username + password + uid + gid] 的總和必須在452 位元組內。
透過PBKDF2_SHA256加密,如果密碼使用多個位元組,則當 uidNumber、gidNumber 和 uid 新增至總數時,可能會超過 452 位元組的限制。
超過 452 位元組的限制,會導致 LDAP 多重通訊協定環境中沒有對應,導致來自 Windows 用戶端的共用存取失敗。
例如,如果客戶密碼使用 447 位元組,則剩餘用於 uidNumber、GidNumber 和 uid 的位元組數目僅為 5 位元組。
符合 452 位元組限制的範例:
userPassword = 404 Byte
uidNumber = 16 位元組
gidNumber = 16 位元組
uid = 16 位元組
總計 = 452 位元組
Unity 支援「PBKDF2_SHA256」,但有限制,[username + password + uid + gid] 的總和必須在452 位元組內。
透過PBKDF2_SHA256加密,如果密碼使用多個位元組,則當 uidNumber、gidNumber 和 uid 新增至總數時,可能會超過 452 位元組的限制。
超過 452 位元組的限制,會導致 LDAP 多重通訊協定環境中沒有對應,導致來自 Windows 用戶端的共用存取失敗。
例如,如果客戶密碼使用 447 位元組,則剩餘用於 uidNumber、GidNumber 和 uid 的位元組數目僅為 5 位元組。
符合 452 位元組限制的範例:
userPassword = 404 Byte
uidNumber = 16 位元組
gidNumber = 16 位元組
uid = 16 位元組
總計 = 452 位元組
Resolution
請考慮使用PBKDF2_SHA256以外的加密配置,例如使用 SSHA-512。
Unity 支援的 LDAP 加密方案:
自 2022 年 8 月起,OE 5.2:
SHA、SHA-256、SHA-384、SHA-512 提供下列加密。 SSHA、SSHA-256、SSHA-384、SSHA-512、MD5、SMD5、PKCS5S2、密碼、CRYPT-MD5、CRYPT-SHA-256、CRYPT-SHA-512、PBKDF2_SHA256**
**使用PBKDF2_SHA256時,[username + password + uid + gid] 的總和上限為 452 位元組。
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000204586
Article Type: Solution
Last Modified: 14 Dec 2023
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.