IDPA: ACM nemohl změnit heslo v uživatelském rozhraní po zakázání anonymního vyhledávání ACM LDAP
Summary: Před verzí IDPA 2.7.3 po provedení článku Dell 196092 za účelem zakázání anonymního vyhledávání ACM LDAP hlásí ACM při změně hesla z uživatelského rozhraní chybu "ACM Secure openLDAP-Failed to validate connection for idpauser user". ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Po dodržení článku společnosti Dell 196092, zařízení PowerProtect řady DP a IDPA: Přístup k anonymnímu adresáři LDAP je povolen v nástroji Appliance Configuration Manager a za účelem zakázání anonymního vyhledávání ACM LDAP hlásí ACM při pokusu o změnu hesla zařízení z uživatelského rozhraní chybu "ACM Secure openLDAP-Failed to validate connection for idpauser user":
Obrázek 1: Snímek obrazovky s chybovou zprávou řady DP "Nepodařilo se ověřit připojení k uživateli idpauser"
Cause
ACM server.log zobrazí během ověřování hesla následující chybu:
2023-05-01 06:59:28,768 INFO [https-openssl-apr-8543-exec-1]-util.SSHUtil: Remote command using SSH execution status: Host : [ACM IP] User : [root] Password : [**********] Command : [ldapsearch -x -b "dc=idpa,dc=local" -h <ACM FQDN> "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"] STATUS : [48] 2023-05-01 06:59:28,768 INFO [https-openssl-apr-8543-exec-1]-util.SSHUtil: STDOUT : [ldap_bind: Inappropriate authentication (48)^M additional info: anonymous bind disallowed^M] 2023-05-01 06:59:28,769 INFO [https-openssl-apr-8543-exec-1]-util.SSHUtil: STDERR : [] 2023-05-01 06:59:28,769 ERROR [https-openssl-apr-8543-exec-1]-util.SSHUtil: Failed to executed remote command using SSH. 2023-05-01 06:59:28,769 ERROR [https-openssl-apr-8543-exec-1]-ldapintegration.LDAPIntegrationService: validatePosixGroup --> Failed to execute command - ldapsearch -x -b "dc=idpa,dc=local" -h <ACM FQDN> "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))" 2023-05-01 06:59:28,769 INFO [https-openssl-apr-8543-exec-1]-ldapintegration.LDAPIntegrationService: validatePosixGroup --> Failed to validate posix group name. com.emc.vcedpa.common.exception.ApplianceException: Failed to validate posix group.
2023-05-01 06:59:58,298 INFO [https-openssl-apr-8543-exec-1]-appliancecredentialsmanager.ApplianceCredentialsManager: ACM test connection is successful for root 2023-05-01 06:59:58,298 INFO [https-openssl-apr-8543-exec-1]-appliancecredentialsmanager.ApplianceCredentialsManager: Change password validation status: ApplianceCredentialsConnectionStatus [productCredentialsStatusList=[ProductCredentialsStatus [productName=ACM Secure OpenLDAP, failedCredentialsStatusList=[ACM Secure OpenLDAP - Failed to validate connection for idpauser user.], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Protection Storage, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Protection Software, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Data Protection Central, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Reporting & Analytics, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Search, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Hypervisor Manager, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Hypervisor, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Appliance Configuration Manager, failedCredentialsStatusList=[], sameCredentialsStatusList=[]]], resultStatus=false, sameCredentialStatus=false]
server.log ukazuje, že anonymní vyhledávání LDAP bylo při pokusu o spuštění příkazu zakázáno:
acm-:/ # ldapsearch -x -b "dc=idpa,dc=local" -h <ACM FQDN> "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowed
acm-: #
V aktuálním pracovním postupu ACM pro změnu hesla zařízení se k ověření hesla používá anonymní vyhledávání LDAP před IDPA verze 2.7.3. Pokud je anonymní vyhledávání LDAP v ACM zakázané, ověření hesla se nezdaří.
Byla odeslána technická eskalace a trvalé řešení se očekává v nadcházející verzi softwaru. Postupujte podle níže uvedeného zástupného řešení a změňte heslo zařízení, dokud nebude k dispozici trvalé řešení.
Resolution
Alternativní řešení:
Chcete-li povolit anonymní vyhledávání LDAP v ACM, postupujte takto:
- SSH do ACM pomocí uživatele root
- Přejděte do složky "/etc/openldap".
cd /etc/openldap
- Pomocí následujícího příkazu vytvořte soubor "ldif":
vi ldap_enable_bind_anon.ldif
Pomocí "i" přejděte do režimu vkládání vi a poté do souboru vložte následující obsah:
dn: cn=config
changetype: modify
delete: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
delete: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
delete: olcRequires
olcRequires: authc
- Soubor uložte . Stisknutím klávesy "Esc" na klávesnici se vrátíte do příkazového režimu vi. Stisknutím ":wq!" soubor uložte.
- Ověřte obsah souboru pomocí příkazu:
cat ldap_enable_bind_anon.ldif
Příklad výstupu:
acm:/etc/openldap # cat ldap_enable_bind_anon.ldif
dn: cn=config
changetype: modify
delete: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
delete: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
delete: olcRequires
olcRequires: authc
acm:/etc/openldap #
- Povolte anonymní vyhledávání LDAP pomocí následujícího příkazu:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_enable_bind_anon.ldif
Příklad výstupu:
acm:/etc/openldap # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_enable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
acm-:/etc/openldap #
- Restartujte server LDPA:
systemctl restart slapd
- Spuštěním následujícího příkazu ověřte, zda je povoleno anonymní vyhledávání LDAP:
ldapsearch -x -b "dc=idpa,dc=local" -h <ACM FQDN> "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))" or ldapsearch -x -b "dc=idpa,dc=local" -h `hostname -f` "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"
Příklad výstupu:
acm:/etc/openldap # ldapsearch -x -b "dc=idpa,dc=local" -h `hostname -f` "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))" # extended LDIF # # LDAPv3 # base <dc=idpa,dc=local> with scope subtree # filter: (&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000)) # requesting: ALL # # idpagroup, Group, idpa.local dn: cn=idpagroup,ou=Group,dc=idpa,dc=local objectClass: top objectClass: posixGroup cn: idpagroup memberUid: idpauser gidNumber: 1000 # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 acm:/etc/openldap #
- Přihlaste se k rozhraní ACM a znovu změňte heslo zařízení. Mělo by se dokončit bez problémů:
Obrázek 2: Snímek obrazovky probíhající změny hesla řady DP
- Zkontrolujte, jestli musí být anonymní vyhledávání LDAP ACM zakázané nebo ne. Pokud ano, postupujte podle článku společnosti Dell č. 196092 Zařízení PowerProtect řady DP a IDPA: Přístup k anonymnímu adresáři LDAP je povolený v nástroji Appliance Configuration Manager, aby se anonymní vyhledávání znovu zakázalo.
Affected Products
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software
, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000212941
Article Type: Solution
Last Modified: 01 Aug 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.