XtremIO: Błąd konfiguracji LDAP podczas korzystania z bezpiecznego kanału ldaps
Summary: Błędy uwierzytelniania mogą wystąpić, gdy uwierzytelnianie LDAP, przy użyciu ldaps, jest skonfigurowane dla użytkowników zewnętrznych.
Ez a cikk a következő(k)re vonatkozik:
Ez a cikk nem vonatkozik a következő(k)re:
Ez a cikk nem kapcsolódik egyetlen konkrét termékhez sem.
Ez a cikk nem azonosítja az összes termékverziót.
Symptoms
Tło
W niektórych przypadkach, gdy klient skonfiguruje uwierzytelnianie LDAP dla użytkowników zewnętrznych, wystąpić mogą błędy uwierzytelniania.
Ten problem może mieć wpływ na następujące środowiska XtremIO:
- Oprogramowanie Dell EMC: XtremIO w wersji 6.3.2 i nowszej.
Problem
Gdy klient skonfiguruje uwierzytelnianie LDAP dla użytkowników zewnętrznych, mogą wystąpić błędy uwierzytelniania, gdy spełnione są wszystkie poniższe warunki:
- Serwer LDAP obsługuje bezpieczny kanał ldaps zamiast ldap
- Istnieje element konfiguracji TLS_CIPHER_SUITE ALL:!ECDHE w /etc/openldap/ldap.conf
- Istniejący certyfikat po stronie serwera jest generowany za pomocą szyfru ECDHE.
Biorąc pod uwagę powyższe warunki, po stronie serwera zwrócony zostanie błąd, np:
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Problem z oprogramowaniem ze względu na niezgodność TLS_CIPHER_SUITE ALL:!ECDHE z certyfikatem po stronie serwera generowanym za pomocą szyfru ECDHE
Resolution
Aby ustalić, czy używany jest protokół LDAP, uruchom polecenie xmcli show-user-accounts. Właściwość External-Account jest prawdziwa, gdy używany jest protokół LDAP:
Aby zapobiec wystąpieniu tego błędu, wykonaj jedną z następujących opcji:
Jeśli XMS jest aktualizowany do wersji XMS 6.3.2 lub nowszej, należy zrobić to po aktualizacji.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Aby zapobiec wystąpieniu tego błędu, wykonaj jedną z następujących opcji:
- Ponownie wygeneruj plik z certyfikatem razem z szyfrem poza ECDHE. Użyj narzędzia openssl, aby wygenerować nowy certyfikat bez użycia pakietu szyfrowania ECDHE, a następnie uruchom polecenie modify-ldap-config w konsoli xmcli, na przykład:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
lub
- Dodaj komentarz do elementu konfiguracyjnego TLS_CIPHER_SUITE ALL:!ECDHE w /etc/openldap/ldap.conf.
Jeśli XMS jest aktualizowany do wersji XMS 6.3.2 lub nowszej, należy zrobić to po aktualizacji.
Érintett termékek
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Termék tulajdonságai
Article Number: 000185589
Article Type: Solution
Utoljára módosítva: 19 szept. 2025
Version: 11
Választ kaphat kérdéseire más Dell-felhasználóktól
Támogatási szolgáltatások
Ellenőrizze, hogy a készüléke rendelkezik-e támogatási szolgáltatással.