PowerScale: Chyba "Požadavek na ověření nelze zpracovat" s protokolem Centrify LDAP

Příklady:

# isi auth groups members list dellgroup --zone dellzone --provider="lsa-ldap-provider:Centrify LDAP Proxies"
Failed to get members for group GROUP:dellgroup: The authentication request could not be handled

NEBO

isi auth groups members list --gid 30118 
Failed to get members for group GID:30118: The authentication request could not be handled

Při zachytávání paketů se společnosti Dell Technologies zobrazují následující chyby:
 

errorMessage: cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter

Úplný příklad zachytávání paketů:

# tshark -r file.cap

1060 736.218674 10.193.45.68 â 10.193.3.52  LDAP 1194 searchRequest(4) "ou=North America,dc=acf,dc=dell,dc=com" wholeSubtree
1061 736.218828  10.193.3.52 â 10.193.45.68 TCP 66 389 â 15206 [ACK] Seq=3557 Ack=1413 Win=261656 Len=0 TSval=1645667785 TSecr=662636581
1062 736.258022  10.193.3.52 â 10.193.45.68 LDAP 175 searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter)  [2 results]
1063 736.258142  10.193.3.52 â 10.193.45.68 LDAP 175 searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter)  [2 results]
1064 736.258150 10.193.45.68 â 10.193.3.52  TCP 66 15206 â 389 [ACK] Seq=1413 Ack=3775 Win=131648 Len=0 TSval=662641755 TSecr=1645667785
1065 736.261570 10.193.45.68 â 10.193.3.52  LDAP 73 unbindRequest(5)

V rámci může podpora zobrazit následující položky:
 

Lightweight Directory Access Protocol
    LDAPMessage searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter) [2 results]
        messageID: 4
        protocolOp: searchResDone (5)
            searchResDone
                resultCode: other (80)
                matchedDN:
                errorMessage: cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter
        [Response To: 1060]
        [Time: 0.039348000 seconds]

Od verze OneFS 8.2.2.0 požadavky na výčet členů LDAP záměrně seskupují dotazy, aby se zlepšila doba odezvy. Systém OneFS se z důvodu výkonu změnil z iterativního dotazu UID pro jednotlivé uživatele na dávkový dotaz. 
Chyba v paps naznačuje, že proxy server nepodporuje více položek 'uid' ve vyhledávacím filtru. Pokud proxy server nepodporuje více položek "uid", pak podpora potřebuje dodavatele serveru proxy (tj. Centrify), abyste tento problém vyřešili.

Zdá se, že serveru proxy se nelíbí, co systém OneFS odesílá po drátě, což je ve formě (&(objectClass=posixAccount)(|( uid=user1)(uid=user2)(uid=user3))) k překladu členů uživatelů z dotazu memberUid pro skupinu, aby se plně přeložil název nabídky>a uid

členů, jmen.>Kromě toho společnost Centrify potvrdila, že se naše chování v určitém okamžiku změnilo z iterativního dotazu uid, uživatel po uživateli, na dávkový dotaz, jak je uvedeno výše. Podle článků a dokumentace znalostní báze Centrify chyba naznačuje, že proxy server nepodporuje více položek "uid" ve vyhledávacím filtru.

Společnost Centrify potvrdila, že syntaxe, kterou nyní PowerScale používá, není podporována. Existuje žádost o vylepšení (RFE) o přidání do Centrify a naše jméno bylo přidáno do této RFE.

Jelikož s vyhledávacím filtrem není nic v nepořádku a náš softwarový kód se nevrací zpět do stavu nonbatched dotaz (z důvodů výkonu), Centrify musí vyhovět našemu platnému filtru vyhledávacích dotazů, který se dotazuje více uživatelů na uidNumber.

Pro vyřešení problému kontaktujte výrobce (Centrify). 

Aby bylo možné ověřit, zda se zákazník potýká s problémem, může podpora společnosti Dell Technologies při replikaci chyby také shromažďovat sběry paketů:

Zde jsou uvedeny kroky pro zachytávání paketů:


1. Vygenerujte seznam serverů LDAP nakonfigurovaných v clusteru PowerScale:
 

# isi auth ldap ls
Name  Base DN       Server Uris         Status
-----------------------------------------------
LDAP  DC=amd,DC=com ldap://isilon02 online
                    ldap://isilon0404

2. Vyřešte výše uvedené IP adresy jednotlivých serverů LDAP.
 

#nslookup <ldap host>

Poznamenejte si IP adresy LDAP pro podporu.

Například:
 

powerscale-2-1# nslookup isilon02
Server:         127.42.0.1
Address:        127.42.0.1#53

Non-authoritative answer:
Name:   isilon02.dell.com
Address: 10.178.35.1

3.  Vytvořte adresář, který bude obsahovat data zachytávání paketů: 
 

# mkdir -p /ifs/data/Isilon_Support/<SR number>

Nahraďte výše uvedené číslo servisního požadavku správným číslem servisního požadavku podpory PowerScale, například číslo servisního požadavku 1234567:
 

# mkdir -p /ifs/data/Isilon_Support/1234567

4. Přihlaste se k uzlu pomocí SSH jako uživatel "root".

5. Spusťte zachytávání paketů uzlu:

tj. pro servisní požadavek # 1234567 by příkaz vypadal takto:
 

# for i in $(ifconfig | grep flags= | cut -f1 -d':'|egrep -v "ib0|ib1|lo0"); do tcpdump -i ${i} -s0 -C 200 -W 3 -w /ifs/data/Isilon_Support/1234567/${HOST}_${i}.pcap port 389 &; done

Stisknutím kláves Ctrl-C uvolněte a nechte tcpdump Běží na pozadí.

6. Dále znovu vytvořte problém/chybu na uzlu.
7. Jakmile problém/chybu replikujete, zastavte pcap:
 

# pkill -9 tcpdump

Ujistěte se, že pcaket Záznam již není spuštěn:
 

# ps -auxwww|grep tcpdump

Nemělo by se zobrazit žádné tcpdump běžící procesy.

8. Nahrajte soubor pcaps na podporu ke kontrole.