La connexion à la scli PowerFlex échoue avec le message « error : Échec de la connexion au MDM 127.0.0.1:8611 »

 - Cluster PowerFlex 4.x

 - La connexion à l’interface utilisateur de PowerFlex Manager fonctionne très bien.

 - L’exécution d’une commande de connexion scli basée sur un certificat échoue :

[root@svm41 ~]# scli --login --username admin --password Scaleio123! --management_system_ip 192.168.1.121 --p12_password password
Successfully generated login certificate at /root/.scli/cli_cert.p12
Error: Failed to connect to MDM 127.0.0.1:8611

- Les dates du certificat de connexion temporaire généré (/root/.scli/cli_cert.p12) peuvent être vérifiées à l’aide d’OpenSSL pour extraire les informations du certificat, puis en regardant les dates :

[root@svm41 ~]# openssl pkcs12 -in ~/.scli/cli_cert.p12 -passin pass:password -info -nokeys 2> /dev/null > /tmp/cli_cert.pem
[root@svm41 ~]# openssl x509 -noout -in /tmp/cli_cert.pem -dates
notBefore=Aug 25 23:45:19 2022 GMT
notAfter=Aug 25 23:50:49 2022 GMT

Des informations supplémentaires sur l’échec lui-même peuvent être consultées à l’aide d’OpenSSL pour valider le certificat par rapport à l’heure de l’hôte et au fichier d’autorité de certification qui a signé le certificat de connexion temporaire.

- Pour l’heure de l’hôte antérieure aux dates du certificat :

[root@svm41 bin]# openssl verify -CAfile /opt/emc/scaleio/mdm/cfg/mgmt_ca.pem /tmp/cli_cert.pem
OU = superuser, O = 111, CN = admin
error 9 at 0 depth lookup: certificate is not yet valid
error /tmp/cli_cert.pem: verification failed

- Pour l’heure de l’hôte postérieure aux dates du certificat :

[root@svm41 bin]# openssl verify -CAfile /opt/emc/scaleio/mdm/cfg/mgmt_ca.pem /tmp/cli_cert.pem
OU = superuser, O = 111, CN = admin
error 10 at 0 depth lookup: certificate has expired
error /tmp/cli_cert.pem: verification failed

- Une connexion sans informations d’identification transmises sur la ligne de commande après peut réussir :

[root@svm41 ~]# scli --login --username admin --password Scaleio123! --management_system_ip 192.168.1.121 --p12_password password
Successfully generated login certificate at /root/.scli/cli_cert.p12
Error: Failed to connect to MDM 127.0.0.1:8611
[root@svm41 ~]#
[root@svm41 ~]#
[root@svm41 ~]# scli --login
Enter p12 password:
Logged in. User role is SuperUser. System ID is ae50bef47b22480f

Impact

Impossibilité d’exécuter des commandes scli à partir du MDM.

Le certificat de connexion temporaire (/root/.scli/cli_cert.p12) n’est valable qu’un peu plus de 5 minutes. Si l’heure du MDM est désynchronisée avec les nœuds PowerFlex Manager Platform (PFMP) de plus de 5 minutes, la connexion échoue. 

Solution

Assurez-vous que la date et l’heure des nœuds PowerFlex sont synchronisées avec les nœuds PFMP. Il est recommandé d’utiliser une source NTP.

Versions affectées

PowerFlex 4.0

Problème résolu dans la version

N/A, fonctionnement conforme à la conception