XtremIO: Güvenli kanal ldaps kullanırken LDAP yapılandırma hatası
Summary: LDAP kimlik doğrulaması, harici kullanıcılar için LDAPS kullanılarak yapılandırıldığında kimlik doğrulama hataları oluşabilir.
Ez a cikk a következő(k)re vonatkozik:
Ez a cikk nem vonatkozik a következő(k)re:
Ez a cikk nem kapcsolódik egyetlen konkrét termékhez sem.
Ez a cikk nem azonosítja az összes termékverziót.
Symptoms
Arka plan
Bazı durumlarda, müşteri harici kullanıcılar için LDAP kimlik doğrulaması yapılandırıldığında kimlik doğrulama hataları oluşabilir.
Aşağıdaki XtremIO ortamları bu sorundan etkilenebilir:
- Dell EMC Yazılımı: XtremIO 6.3.2 ve sonraki sürümler.
Sorun
Müşteri, harici kullanıcılar için LDAP kimlik doğrulamasını yapılandırırsa aşağıdaki koşulların tümü mevcut olduğunda kimlik doğrulama hataları oluşabilir:
- LDAP sunucusu, ldap yerine güvenli kanal ldaps üzerinden hizmet sağlar
- /etc/openldap/ldap.conf içinde bir TLS_CIPHER_SUITE ALL:!ECDHE yapılandırma öğesi bulunur
- Mevcut sunucu tarafı sertifikası, ECDHE şifresiyle oluşturuluyor.
Yukarıdaki koşullar altında sunucu tarafı aşağıdaki gibi bir hatayla geri döner:
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Sunucu tarafı sertifikanın ECDHE şifresiyle oluşturulduğunda TLS_CIPHER_SUITE ALL:!ECDHE uyumsuzluğu sebebiyle yazılım sorunu
Resolution
LDAP'nin kullanılıp kullanılmadığını belirlemek için show-user-accounts xmcli komutunu çalıştırın. LDAP kullanılırken Harici Hesap özelliği True (Doğru) olur:
Bu hatanın gerçekleşmesini önlemek için aşağıdaki seçeneklerden birini uygulayın:
XMS, XMS 6.3.2 veya sonraki bir sürüme yükseltiliyorsa bu işlem, yükseltmeden sonra gerçekleştirilmelidir.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Bu hatanın gerçekleşmesini önlemek için aşağıdaki seçeneklerden birini uygulayın:
- Sertifika dosyasını ECDHE dışında bir şifreyle birlikte yeniden oluşturun. ECDHE şifreleme paketi olmadan yeni bir sertifika oluşturmak için openssl aracını kullanın ve ardından xmcli konsolunda modify-ldap-config komutunu çalıştırın, örneğin:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
veya
- /etc/openldap/ldap.conf içine TLS_CIPHER_SUITE ALL:!ECDHE yapılandırma öğesini açıklama olarak ekleyin.
XMS, XMS 6.3.2 veya sonraki bir sürüme yükseltiliyorsa bu işlem, yükseltmeden sonra gerçekleştirilmelidir.
Érintett termékek
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Termék tulajdonságai
Article Number: 000185589
Article Type: Solution
Utoljára módosítva: 19 szept. 2025
Version: 11
Választ kaphat kérdéseire más Dell-felhasználóktól
Támogatási szolgáltatások
Ellenőrizze, hogy a készüléke rendelkezik-e támogatási szolgáltatással.