IDPA: ACM kunde inte ändra lösenordet i användargränssnittet efter att den anonyma ACM LDAP-sökningen hade inaktiverats
Summary: På eller före IDPA version 2.7.3, efter att ha följt Dell-artikeln 196092 att inaktivera den anonyma ACM LDAP-sökningen, rapporterar ACM felet "ACM Secure openLDAP-Failed to validate connection for idpauser user" när lösenordet ändras från användargränssnittet. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Efter att ha följt Dell-artikeln 196092, PowerProtect DP Series Appliance och IDPA: LDAP-anonym katalogåtkomst tillåten i Appliance Configuration Manager, för att inaktivera ACM LDAP anonym sökning, rapporterar ACM felet "ACM Secure openLDAP-Failed to validate connection for idpauser user" när du försöker ändra enhetens lösenord från användargränssnittet:
Bild 1: Skärmbild av felmeddelande i DP-serien, det gick inte att validera anslutningen till idpauser-användaren
Cause
ACM-server.log visar följande fel under lösenordsverifieringen:
2023-05-01 06:59:28,768 INFO [https-openssl-apr-8543-exec-1]-util.SSHUtil: Remote command using SSH execution status: Host : [ACM IP] User : [root] Password : [**********] Command : [ldapsearch -x -b "dc=idpa,dc=local" -h <ACM FQDN> "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"] STATUS : [48] 2023-05-01 06:59:28,768 INFO [https-openssl-apr-8543-exec-1]-util.SSHUtil: STDOUT : [ldap_bind: Inappropriate authentication (48)^M additional info: anonymous bind disallowed^M] 2023-05-01 06:59:28,769 INFO [https-openssl-apr-8543-exec-1]-util.SSHUtil: STDERR : [] 2023-05-01 06:59:28,769 ERROR [https-openssl-apr-8543-exec-1]-util.SSHUtil: Failed to executed remote command using SSH. 2023-05-01 06:59:28,769 ERROR [https-openssl-apr-8543-exec-1]-ldapintegration.LDAPIntegrationService: validatePosixGroup --> Failed to execute command - ldapsearch -x -b "dc=idpa,dc=local" -h <ACM FQDN> "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))" 2023-05-01 06:59:28,769 INFO [https-openssl-apr-8543-exec-1]-ldapintegration.LDAPIntegrationService: validatePosixGroup --> Failed to validate posix group name. com.emc.vcedpa.common.exception.ApplianceException: Failed to validate posix group.
2023-05-01 06:59:58,298 INFO [https-openssl-apr-8543-exec-1]-appliancecredentialsmanager.ApplianceCredentialsManager: ACM test connection is successful for root 2023-05-01 06:59:58,298 INFO [https-openssl-apr-8543-exec-1]-appliancecredentialsmanager.ApplianceCredentialsManager: Change password validation status: ApplianceCredentialsConnectionStatus [productCredentialsStatusList=[ProductCredentialsStatus [productName=ACM Secure OpenLDAP, failedCredentialsStatusList=[ACM Secure OpenLDAP - Failed to validate connection for idpauser user.], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Protection Storage, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Protection Software, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Data Protection Central, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Reporting & Analytics, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Search, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Hypervisor Manager, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Hypervisor, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Appliance Configuration Manager, failedCredentialsStatusList=[], sameCredentialsStatusList=[]]], resultStatus=false, sameCredentialStatus=false]
server.log visar att den anonyma LDAP-sökningen inaktiverades när du försökte köra kommandot:
acm-:/ # ldapsearch -x -b "dc=idpa,dc=local" -h <ACM FQDN> "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"
ldap_bind: Inappropriate authentication (48)
additional info: anonymous bind disallowed
acm-: #
I det aktuella arbetsflödet för ändring av enhetslösenord för ACM, på eller före IDPA version 2.7.3, används en anonym LDAP-sökning för lösenordsverifiering. När den anonyma LDAP-sökningen är inaktiverad i ACM misslyckas lösenordsverifieringen.
En teknikeskalering har skickats och en permanent lösning förväntas i en kommande mjukvaruversion. Följ lösningen nedan för att ändra enhetens lösenord tills en permanent lösning är tillgänglig.
Resolution
Lösning:
Följ stegen för att aktivera anonym LDAP-sökning i ACM:
- SSH till ACM med rotanvändare
- Gå till mappen "/etc/openldap".
cd /etc/openldap
- Skapa en "ldif"-fil med följande kommando:
vi ldap_enable_bind_anon.ldif
Använd "i" för att gå in i vi-infogningsläget och klistra sedan in följande innehåll i filen:
dn: cn=config
changetype: modify
delete: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
delete: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
delete: olcRequires
olcRequires: authc
- Spara filen. Tryck på ESC på tangentbordet för att återgå till vi-kommandoläge. Tryck på ":wq!" för att spara filen.
- Kontrollera filinnehållet med kommandot:
cat ldap_enable_bind_anon.ldif
Exempel på utdata:
acm:/etc/openldap # cat ldap_enable_bind_anon.ldif
dn: cn=config
changetype: modify
delete: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
delete: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
delete: olcRequires
olcRequires: authc
acm:/etc/openldap #
- Aktivera anonym LDAP-sökning med följande kommando:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_enable_bind_anon.ldif
Exempel på utdata:
acm:/etc/openldap # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_enable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
acm-:/etc/openldap #
- Starta om LDPA-servern:
systemctl restart slapd
- Kör följande kommando för att kontrollera att anonym LDAP-sökning är aktiverad:
ldapsearch -x -b "dc=idpa,dc=local" -h <ACM FQDN> "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))" or ldapsearch -x -b "dc=idpa,dc=local" -h `hostname -f` "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"
Exempel på utdata:
acm:/etc/openldap # ldapsearch -x -b "dc=idpa,dc=local" -h `hostname -f` "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))" # extended LDIF # # LDAPv3 # base <dc=idpa,dc=local> with scope subtree # filter: (&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000)) # requesting: ALL # # idpagroup, Group, idpa.local dn: cn=idpagroup,ou=Group,dc=idpa,dc=local objectClass: top objectClass: posixGroup cn: idpagroup memberUid: idpauser gidNumber: 1000 # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 acm:/etc/openldap #
- Logga in på ACM-användargränssnittet och ändra enhetens lösenord igen. Det bör slutföras utan problem:
Bild 2: Skärmbild av DP-seriens pågående lösenordsändring
- Granska om anonym ACM LDAP-sökning måste inaktiveras eller inte. Om ja, följ Dell-artikeln 196092, PowerProtect DP Series Appliance och IDPA: LDAP-anonym katalogåtkomst tillåts i Appliance Configuration Manager för att inaktivera den anonyma sökningen igen.
Affected Products
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software
, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000212941
Article Type: Solution
Last Modified: 01 Aug 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.