XtremIO: LDAP-konfigurasjonsfeil ved bruk av sikre kanal-LDAP-er
Summary: Godkjenningsfeil kan oppstå når LDAP-godkjenning ved hjelp av ldaps er konfigurert for eksterne brukere.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Bakgrunn
Når kunden konfigurerer LDAP-godkjenning for eksterne brukere, kan det i enkelte tilfeller oppstå godkjenningsfeil.
Følgende XtremIO-miljøer kan påvirkes av dette problemet:
- Dell EMC-programvare: XtremIO 6.3.2 og nyere.
Problem
Når kunden konfigurerer LDAP-godkjenning for eksterne brukere, kan det oppstå godkjenningsfeil når alle følgende betingelser finnes:
- LDAP-tjeneren betjener via en sikker LDAP-kanal i stedet for ldap
- Det finnes en konfigurasjonsartikkel TLS_CIPHER_SUITE ALLE:! ECDHE i /etc/openldap/ldap.conf
- Den eksisterende sertifiseringen på serversiden genereres via cipher ECDHE.
Gitt de ovennevnte forholdene, vil serversiden returnere feil som,
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Programvareproblem på grunn av inkompatibilitet TLS_CIPHER_SUITE ALLE:! ECDHE med sertifisering på serversiden generert via cipher ECDHE
Resolution
Hvis du vil finne ut om LDAP brukes, kjører du xmcli-kommandoen show-user-accounts. Egenskapen External-Account er Sann når LDAP brukes:
Hvis du vil forhindre at denne feilen oppstår, utfører du ett av følgende alternativer:
Hvis XMS oppgraderes til XMS 6.3.2 eller nyere, bør dette utføres etter oppgraderingen.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Hvis du vil forhindre at denne feilen oppstår, utfører du ett av følgende alternativer:
- Regenerer sertifiseringsfilen sammen med kryptering utenfor ECDHE. Bruk openssl-verktøyet til å generere et nytt sertifikat uten å bruke ECDHE cipher suite, og kjør deretter kommandoen modify-ldap-config i xmcli-konsollen, for eksempel:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
eller
- Kommenter konfigurasjonselementet TLS_CIPHER_SUITE ALLE:! ECDHE i /etc/openldap/ldap.conf.
Hvis XMS oppgraderes til XMS 6.3.2 eller nyere, bør dette utføres etter oppgraderingen.
Affected Products
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Article Properties
Article Number: 000185589
Article Type: Solution
Last Modified: 19 Sep 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.