XtremIO: Erro de configuração LDAP ao usar ldaps de canal seguro
Summary: Erros de autenticação podem ocorrer quando a autenticação LDAP, usando ldaps, é configurada para usuários externos.
Ez a cikk a következő(k)re vonatkozik:
Ez a cikk nem vonatkozik a következő(k)re:
Ez a cikk nem kapcsolódik egyetlen konkrét termékhez sem.
Ez a cikk nem azonosítja az összes termékverziót.
Symptoms
Informações gerais
Em alguns casos, quando o cliente configura a autenticação LDAP para usuários externos, podem ocorrer erros de autenticação.
Os seguintes ambientes XtremIO podem ser afetados por esse problema:
- Software Dell EMC: XtremIO 6.3.2 e posterior.
Problema
Quando o cliente configura a autenticação LDAP para usuários externos, os erros de autenticação podem ocorrer quando todas as condições a seguir existirem:
- O servidor LDAP faz a distribuição por ldaps de canal seguro, em vez de ldap
- Existe um item de configuração TLS_CIPHER_SUITE ALL:!ECDHE em /etc/openldap/ldap.conf
- A certificação existente no servidor é gerada por meio da codificação ECDHE.
Nas condições acima, o lado do servidor retornará um erro como,
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Problema de software devido à incompatibilidade de TLS_CIPHER_SUITE ALL:!ECDHE com a certificação no servidor sendo gerada via codificação ECDHE
Resolution
Para determinar se o LDAP está sendo usado, execute o comando xmcli show-user-accounts. A propriedade External-Account é True quando o LDAP está sendo usado:
Para impedir que esse erro ocorra, realize uma das seguintes opções:
Se o XMS estiver sendo atualizado para XMS 6.3.2 ou posterior, isso deve ser realizado após o upgrade.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Para impedir que esse erro ocorra, realize uma das seguintes opções:
- Gere novamente o arquivo de certificação junto com codificações além de ECDHE. Use a ferramenta openssl para gerar um novo certificado sem usar o pacote de codificações ECDHE e, em seguida, execute o comando modify-ldap-config no console xmcli, por exemplo:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
ou
- Comente o item de configuração TLS_CIPHER_SUITE ALL:!ECDHE em /etc/openldap/ldap.conf.
Se o XMS estiver sendo atualizado para XMS 6.3.2 ou posterior, isso deve ser realizado após o upgrade.
Érintett termékek
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Termék tulajdonságai
Article Number: 000185589
Article Type: Solution
Utoljára módosítva: 19 szept. 2025
Version: 11
Választ kaphat kérdéseire más Dell-felhasználóktól
Támogatási szolgáltatások
Ellenőrizze, hogy a készüléke rendelkezik-e támogatási szolgáltatással.