XtremIO: Güvenli kanal ldaps kullanırken LDAP yapılandırma hatası
Summary: LDAP kimlik doğrulaması, harici kullanıcılar için LDAPS kullanılarak yapılandırıldığında kimlik doğrulama hataları oluşabilir.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Arka plan
Bazı durumlarda, müşteri harici kullanıcılar için LDAP kimlik doğrulaması yapılandırıldığında kimlik doğrulama hataları oluşabilir.
Aşağıdaki XtremIO ortamları bu sorundan etkilenebilir:
- Dell EMC Yazılımı: XtremIO 6.3.2 ve sonraki sürümler.
Sorun
Müşteri, harici kullanıcılar için LDAP kimlik doğrulamasını yapılandırırsa aşağıdaki koşulların tümü mevcut olduğunda kimlik doğrulama hataları oluşabilir:
- LDAP sunucusu, ldap yerine güvenli kanal ldaps üzerinden hizmet sağlar
- /etc/openldap/ldap.conf içinde bir TLS_CIPHER_SUITE ALL:!ECDHE yapılandırma öğesi bulunur
- Mevcut sunucu tarafı sertifikası, ECDHE şifresiyle oluşturuluyor.
Yukarıdaki koşullar altında sunucu tarafı aşağıdaki gibi bir hatayla geri döner:
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Sunucu tarafı sertifikanın ECDHE şifresiyle oluşturulduğunda TLS_CIPHER_SUITE ALL:!ECDHE uyumsuzluğu sebebiyle yazılım sorunu
Resolution
LDAP'nin kullanılıp kullanılmadığını belirlemek için show-user-accounts xmcli komutunu çalıştırın. LDAP kullanılırken Harici Hesap özelliği True (Doğru) olur:
Bu hatanın gerçekleşmesini önlemek için aşağıdaki seçeneklerden birini uygulayın:
XMS, XMS 6.3.2 veya sonraki bir sürüme yükseltiliyorsa bu işlem, yükseltmeden sonra gerçekleştirilmelidir.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Bu hatanın gerçekleşmesini önlemek için aşağıdaki seçeneklerden birini uygulayın:
- Sertifika dosyasını ECDHE dışında bir şifreyle birlikte yeniden oluşturun. ECDHE şifreleme paketi olmadan yeni bir sertifika oluşturmak için openssl aracını kullanın ve ardından xmcli konsolunda modify-ldap-config komutunu çalıştırın, örneğin:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
veya
- /etc/openldap/ldap.conf içine TLS_CIPHER_SUITE ALL:!ECDHE yapılandırma öğesini açıklama olarak ekleyin.
XMS, XMS 6.3.2 veya sonraki bir sürüme yükseltiliyorsa bu işlem, yükseltmeden sonra gerçekleştirilmelidir.
Affected Products
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Article Properties
Article Number: 000185589
Article Type: Solution
Last Modified: 19 Sep 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.