XtremIO: 보안 채널 ldaps 사용 시 LDAP 구성 오류

배경

경우에 따라 고객이 외부 사용자에 대해 LDAP 인증을 구성할 때 인증 오류가 발생할 수 있습니다.

이 문제의 영향을 받을 수 있는 XtremIO 환경은 다음과 같습니다.

• Dell EMC 소프트웨어: XtremIO 6.3.2 이상

문제

고객이 외부 사용자에 대해 LDAP 인증을 구성할 때 다음 조건이 모두 충족될 경우 인증 오류가 발생할 수 있습니다.

1. LDAP 서버는 ldap 대신 보안 채널 ldaps를 통해 제공됩니다.
2. /etc/openldap/ldap.conf에 TLS_CIPHER_SUITE ALL:!ECDHE 구성 항목이 있습니다.
3. 기존 서버 측 인증은 암호화 ECDHE를 통해 생성됩니다.

위의 조건을 고려하면 서버 측에서 다음과 같은 오류를 반환합니다.

[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never  ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

 (tech)> show-user-accounts
Name             Index Role          External-Account Inactivity-Timeout
tech              1    technician      False            10
sara              2    admin           True             10

• ECDHE 이상의 암호화를 사용하여 인증 파일을 다시 생성합니다.  openssl 툴을 사용하여 ECDHE 암호 그룹을 사용하지 않고 새 인증서를 생성한 다음 xmcli 콘솔에서 modify-ldap-config 명령을 실행합니다. 예:

xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]

• /etc/openldap/ldap.conf에서 구성 항목 TLS_CIPHER_SUITE ALL:!ECDHE를 주석 처리합니다.