XtremIO: Chyba konfigurace LDAP při použití zabezpečeného kanálu ldaps
Summary: Při konfiguraci ověřování LDAP pomocí protokolu ldaps pro externí uživatele může dojít k chybám ověření.
Ez a cikk a következő(k)re vonatkozik:
Ez a cikk nem vonatkozik a következő(k)re:
Ez a cikk nem kapcsolódik egyetlen konkrét termékhez sem.
Ez a cikk nem azonosítja az összes termékverziót.
Symptoms
Pozadí
V některých případech, kdy zákazník konfiguruje ověřování LDAP pro externí uživatele, může dojít k chybám ověření.
Tento problém může mít vliv na následující prostředí XtremIO:
- Software Dell EMC: XtremIO 6.3.2 a novější.
Problém
Pokud zákazník konfiguruje ověřování LDAP pro externí uživatele, mohou se chyby ověření vyskytnout za všech následujících podmínek:
- Server LDAP slouží prostřednictvím zabezpečeného kanálu ldaps namísto ldap.
- V souboru /etc/openldap/ldap.conf existuje položka konfigurace TLS_CIPHER_SUITE ALL:!ECDHE.
- Stávající certifikace na straně serveru je generována prostřednictvím šifry ECDHE.
Za výše uvedených podmínek se na straně serveru zobrazí chyba, jako například:
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Problém se softwarem kvůli nekompatibilitě TLS_CIPHER_SUITE ALL:!ECDHE s certifikací na straně serveru je generován prostřednictvím šifry ECDHE
Resolution
Chcete-li zjistit, zda se používá protokol LDAP, spusťte příkaz xmcli show-user-accounts. Při použití protokolu LDAP je vlastnost External-Account nastavena na hodnotu True:
Chcete-li zabránit výskytu této chyby, proveďte jednu z následujících možností:
Pokud systém XMS upgradujete na verzi XMS 6.3.2 nebo novější, je třeba tento postup provést po upgradu.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Chcete-li zabránit výskytu této chyby, proveďte jednu z následujících možností:
- Znovu vygenerujte soubor certifikace spolu s šifrou mimo ECDHE. Pomocí nástroje openssl vygenerujte nový certifikát bez použití šifrovací sady ECDHE a poté spusťte příkaz modify-ldap-config v konzoli xmcli, například:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
nebo
- Okomentujte položku konfigurace TLS_CIPHER_SUITE ALL:!ECDHE v souboru /etc/openldap/ldap.conf.
Pokud systém XMS upgradujete na verzi XMS 6.3.2 nebo novější, je třeba tento postup provést po upgradu.
Érintett termékek
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Termék tulajdonságai
Article Number: 000185589
Article Type: Solution
Utoljára módosítva: 19 szept. 2025
Version: 11
Választ kaphat kérdéseire más Dell-felhasználóktól
Támogatási szolgáltatások
Ellenőrizze, hogy a készüléke rendelkezik-e támogatási szolgáltatással.