XTremIO : Erreur de configuration LDAP lors de l’utilisation de canaux sécurisés ldaps
Summary: Des erreurs d’authentification peuvent se produire lorsque l’authentification LDAP, à l’aide de ldaps, est configurée pour les utilisateurs externes.
Ez a cikk a következő(k)re vonatkozik:
Ez a cikk nem vonatkozik a következő(k)re:
Ez a cikk nem kapcsolódik egyetlen konkrét termékhez sem.
Ez a cikk nem azonosítja az összes termékverziót.
Symptoms
Informations
Dans certains cas, lorsque le client configure l’authentification LDAP pour les utilisateurs externes, des erreurs d’authentification peuvent se produire.
Les environnements XtremIO suivants peuvent être affectés par ce problème :
- Logiciel Dell EMC : XtremIO 6.3.2 et versions ultérieures.
Problème
Lorsque le client configure l’authentification LDAP pour les utilisateurs externes, des erreurs d’authentification peuvent se produire lorsque toutes les conditions suivantes existent :
- Le serveur LDAP est utilisé via un canal sécurisé ldaps au lieu de ldap
- Il existe un élément de configuration TLS_CIPHER_SUITE ALL:!ECDHE dans /etc/openldap/ldap.conf
- La certification côté serveur existante est générée via le chiffrement ECDHE.
Compte tenu des conditions ci-dessus, le côté serveur renvoie une erreur telle que :
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Problème logiciel dû à une incompatibilité de TLS_CIPHER_SUITE ALL:!ECDHE avec certification côté serveur générée via le chiffrement ECDHE
Resolution
Pour déterminer si LDAP est utilisé, exécutez la commande xmcli show-user-accounts. La propriété Compte externe est vraie lorsque LDAP est utilisé :
Pour éviter que cette erreur ne se produise, exécutez l’une des options suivantes :
Si le XMS est mis à niveau vers XMS 6.3.2 ou une version ultérieure, cette opération doit être effectuée après la mise à niveau.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Pour éviter que cette erreur ne se produise, exécutez l’une des options suivantes :
- Régénérez le fichier de certification avec le chiffrement au-delà d’ECDHE. Utilisez l’outil openssl pour générer un nouveau certificat sans utiliser la suite de chiffrement ECDHE, puis exécutez la commande modify-ldap-config dans la console xmcli, par exemple :
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
ou
- Mettez en commentaire l’élément de configuration TLS_CIPHER_SUITE ALL:!ECDHE dans /etc/openldap/ldap.conf.
Si le XMS est mis à niveau vers XMS 6.3.2 ou une version ultérieure, cette opération doit être effectuée après la mise à niveau.
Érintett termékek
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Termék tulajdonságai
Article Number: 000185589
Article Type: Solution
Utoljára módosítva: 19 szept. 2025
Version: 11
Választ kaphat kérdéseire más Dell-felhasználóktól
Támogatási szolgáltatások
Ellenőrizze, hogy a készüléke rendelkezik-e támogatási szolgáltatással.