IDPA: ACM LDAP 익명 조회를 비활성화한 후 ACM이 UI에서 암호를 변경할 수 없음

Summary: IDPA 버전 2.7.3 또는 이전 버전에서 Dell 문서 196092 따라 ACM LDAP 익명 조회를 비활성화한 후 UI에서 암호를 변경할 때 ACM이 "ACM Secure openLDAP-idpauser 사용자에 대한 연결을 검증하지 못함" 오류를 보고합니다.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Dell 문서 196092, PowerProtect DP Series 어플라이언스 및 IDPA: Appliance Configuration Manager에서 LDAP 익명 디렉토리 액세스 허용, ACM LDAP 익명 조회를 비활성화하기 위해 UI에서 어플라이언스 암호를 변경하려고 하면 ACM에서 "ACM Secure openLDAP-idpauser 사용자에 대한 연결을 확인하지 못함" 오류가 보고됩니다.
 

DP Series 오류 메시지 스크린샷, idpauser 사용자에 대한 연결을 유효성 검사하지 못했습니다.
그림 1: DP Series 오류 메시지 스크린샷, idpauser 사용자에 대한 연결을 유효성 검사하지 못했습니다.

 

Cause

암호 검증 중에 ACM server.log에 다음 오류가 표시됩니다.

2023-05-01 06:59:28,768 INFO  [https-openssl-apr-8543-exec-1]-util.SSHUtil: Remote command using SSH execution status:  Host     : [ACM IP] User     : [root]       Password : [**********] Command  : [ldapsearch -x -b "dc=idpa,dc=local" -h <ACM FQDN> "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"]   STATUS   : [48]
2023-05-01 06:59:28,768 INFO  [https-openssl-apr-8543-exec-1]-util.SSHUtil:     STDOUT   : [ldap_bind: Inappropriate authentication (48)^M
                        additional info: anonymous bind disallowed^M]
2023-05-01 06:59:28,769 INFO  [https-openssl-apr-8543-exec-1]-util.SSHUtil:     STDERR   : []
2023-05-01 06:59:28,769 ERROR [https-openssl-apr-8543-exec-1]-util.SSHUtil: Failed to executed remote command using SSH.
2023-05-01 06:59:28,769 ERROR [https-openssl-apr-8543-exec-1]-ldapintegration.LDAPIntegrationService: validatePosixGroup --> Failed to execute command - ldapsearch -x -b "dc=idpa,dc=local" -h <ACM FQDN> "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"
2023-05-01 06:59:28,769 INFO  [https-openssl-apr-8543-exec-1]-ldapintegration.LDAPIntegrationService: validatePosixGroup --> Failed to validate posix group name.
com.emc.vcedpa.common.exception.ApplianceException: Failed to validate posix group.

2023-05-01 06:59:58,298 INFO  [https-openssl-apr-8543-exec-1]-appliancecredentialsmanager.ApplianceCredentialsManager: ACM test connection is successful for root
2023-05-01 06:59:58,298 INFO  [https-openssl-apr-8543-exec-1]-appliancecredentialsmanager.ApplianceCredentialsManager: Change password validation status: ApplianceCredentialsConnectionStatus [productCredentialsStatusList=[ProductCredentialsStatus [productName=ACM Secure OpenLDAP, failedCredentialsStatusList=[ACM Secure OpenLDAP - Failed to validate connection for idpauser user.], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Protection Storage, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Protection Software, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Data Protection Central, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Reporting & Analytics, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Search, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Hypervisor Manager, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Hypervisor, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Appliance Configuration Manager, failedCredentialsStatusList=[], sameCredentialsStatusList=[]]], resultStatus=false, sameCredentialStatus=false]


이 server.log은 다음 명령을 실행하려고 할 때 LDAP 익명 조회가 비활성화되었음을 보여줍니다.

acm-:/ # ldapsearch -x -b "dc=idpa,dc=local" -h <ACM FQDN> "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"
ldap_bind: Inappropriate authentication (48)
        additional info: anonymous bind disallowed
acm-: #


IDPA 버전 2.7.3 또는 이전 버전의 현재 ACM 어플라이언스 비밀번호 변경 워크플로에서 비밀번호 확인에 익명 LDAP 조회가 사용됩니다. ACM에서 LDAP 익명 조회가 비활성화된 경우 암호 확인이 실패합니다. 

엔지니어링 에스컬레이션이 제출되었으며 향후 소프트웨어 릴리스에서 영구적으로 해결될 것으로 예상됩니다. 영구 해결책을 사용할 수 있을 때까지 아래 해결 방법을 따라 어플라이언스 암호를 변경하십시오.

Resolution

해결 방법:
다음 단계에 따라 ACM에서 익명 LDAP 조회를 활성화합니다.

  1. 루트 사용자를 사용하여 ACM에 SSH 연결
  2. "/etc/openldap" 폴더로 이동합니다.
cd /etc/openldap
  1. 다음 명령을 사용하여 "ldif" 파일을 생성합니다. 
vi ldap_enable_bind_anon.ldif
"i"를 사용하여 vi 삽입 모드로 들어간 다음 내용을 파일에 붙여넣습니다. 
dn: cn=config
changetype: modify
delete: olcDisallows
olcDisallows: bind_anon

dn: cn=config
changetype: modify
delete: olcRequires
olcRequires: authc

dn: olcDatabase={-1}frontend,cn=config
changetype: modify
delete: olcRequires
olcRequires: authc
  1. 파일을 저장합니다. 키보드에서 "Esc"를 눌러 vi 명령 모드로 돌아갑니다. ":wq!"를 눌러 파일을 저장합니다.
  2. 다음 명령을 사용하여 파일 내용을 확인합니다.
cat ldap_enable_bind_anon.ldif
예시 출력: 
acm:/etc/openldap # cat ldap_enable_bind_anon.ldif
dn: cn=config
changetype: modify
delete: olcDisallows
olcDisallows: bind_anon

dn: cn=config
changetype: modify
delete: olcRequires
olcRequires: authc

dn: olcDatabase={-1}frontend,cn=config
changetype: modify
delete: olcRequires
olcRequires: authc
acm:/etc/openldap #
  1. 다음 명령을 사용하여 익명 LDAP 조회를 활성화합니다.
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_enable_bind_anon.ldif
예시 출력: 
acm:/etc/openldap # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_enable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"

modifying entry "cn=config"

modifying entry "olcDatabase={-1}frontend,cn=config"

acm-:/etc/openldap #
  1. LDPA 서버 재시작:
systemctl restart slapd
  1. 다음 명령을 실행하여 익명 LDAP 조회가 활성화되었는지 확인합니다.
ldapsearch -x -b "dc=idpa,dc=local" -h <ACM FQDN> "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"
or
ldapsearch -x -b "dc=idpa,dc=local" -h `hostname -f` "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"
예시 출력: 
acm:/etc/openldap # ldapsearch -x -b "dc=idpa,dc=local" -h `hostname -f` "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"
# extended LDIF
#
# LDAPv3
# base <dc=idpa,dc=local> with scope subtree
# filter: (&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))
# requesting: ALL
#

# idpagroup, Group, idpa.local
dn: cn=idpagroup,ou=Group,dc=idpa,dc=local
objectClass: top
objectClass: posixGroup
cn: idpagroup
memberUid: idpauser
gidNumber: 1000

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
acm:/etc/openldap #
  1. ACM UI에 로그인하고 어플라이언스 암호를 다시 변경합니다. 문제없이 완료되어야 합니다.
DP Series 비밀번호 변경 진행 중 스크린샷
그림 2: DP Series 비밀번호 변경 진행 중 스크린샷
  1. ACM 익명 LDAP 조회를 비활성화해야 하는지 여부를 검토합니다. 그렇다면 Dell 문서 196092, PowerProtect DP Series Appliance 및 IDPA: 익명 조회를 다시 비활성화하려면 Appliance Configuration Manager에서 LDAP 익명 디렉토리 액세스 허용을 선택합니다. 

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000212941
Article Type: Solution
Last Modified: 01 Aug 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.