PowerScale: Fejlen 'Godkendelsesanmodningen kunne ikke håndteres' med Centrify LDAP
Riepilogo: 'isi auth group'-kommandoer, der køres i OneFS, mislykkes med følgende fejl: »Autentificeringsanmodningen kunne ikke behandles«. Fejlen opstår, når du bruger LDAP-proxyserveren (Centrify Lightweight Directory Access Protocol). ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Eksempler:
# isi auth groups members list dellgroup --zone dellzone --provider="lsa-ldap-provider:Centrify LDAP Proxies" Failed to get members for group GROUP:dellgroup: The authentication request could not be handled
ELLER
isi auth groups members list --gid 30118 Failed to get members for group GID:30118: The authentication request could not be handled
I pakkehentninger ser Dell Technologies følgende fejl:
errorMessage: cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter
Fuldt eksempel på pakkeoptagelse:
# tshark -r file.cap 1060 736.218674 10.193.45.68 â 10.193.3.52 LDAP 1194 searchRequest(4) "ou=North America,dc=acf,dc=dell,dc=com" wholeSubtree 1061 736.218828 10.193.3.52 â 10.193.45.68 TCP 66 389 â 15206 [ACK] Seq=3557 Ack=1413 Win=261656 Len=0 TSval=1645667785 TSecr=662636581 1062 736.258022 10.193.3.52 â 10.193.45.68 LDAP 175 searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter) [2 results] 1063 736.258142 10.193.3.52 â 10.193.45.68 LDAP 175 searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter) [2 results] 1064 736.258150 10.193.45.68 â 10.193.3.52 TCP 66 15206 â 389 [ACK] Seq=1413 Ack=3775 Win=131648 Len=0 TSval=662641755 TSecr=1645667785 1065 736.261570 10.193.45.68 â 10.193.3.52 LDAP 73 unbindRequest(5)
Inden for rammen kan Support se følgende:
Lightweight Directory Access Protocol LDAPMessage searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter) [2 results] messageID: 4 protocolOp: searchResDone (5) searchResDone resultCode: other (80) matchedDN: errorMessage: cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter [Response To: 1060] [Time: 0.039348000 seconds]
Causa
Fra og med OneFS version 8.2.2.0 grupperer LDAP-medlemsoptællingsanmodninger bevidst forespørgslerne for at forbedre svartiderne. OneFS er ændret fra en iterativ UID-forespørgsel bruger for bruger til en batchforespørgsel af hensyn til ydeevnen.
Fejlen i paps antyder, at proxyen ikke understøtter flere 'uid'-poster i et søgefilter. Hvis proxyen ikke understøtter flere 'uid'-poster, skal Support bruge proxyleverandøren (dvs. Centrify) for at løse dette problem.
Proxyen synes ikke at kunne lide, hvad OneFS sender over ledningen, som er i form af (&(objectClass=posixAccount)(|( uid=user1)(uid=user2)(uid=user3))) for at løse brugermedlemmerne fra memberUid-forespørgslen for gruppen for fuldt ud at fortolke budnavnet>og medlemmerne, navne>uid.
Derudover har Centrify erkendt, at vores adfærd ændrede sig på et tidspunkt fra en iterativ uid-forespørgsel, bruger for bruger, til en batchet forespørgsel, som ovenfor. Ifølge Centrify-vidensbaseartikler og dokumentation antyder fejlen, at proxyen ikke understøtter flere 'uid'-poster i et søgefilter.
Risoluzione
Centrify har erkendt, at den syntaks, PowerScale bruger nu, ikke understøttes. Der er en anmodning om forbedring (RFE) for at tilføje dette til Centrify, og vores navn er blevet føjet til den RFE.
Da der ikke er noget galt med søgefilteret, og vores softwarekode ikke vender tilbage til en nonbatched forespørgsel (af hensyn til ydeevnen), skal Centrify imødekomme vores gyldige søgeforespørgselsfilter, der forespørger flere brugere for uidNumber.
Kontakt leverandøren (Centrify) for løsning.
For at bekræfte, om en kunde oplever problemet, kan Dell Technologies Support også indsamle pakkeregistreringer, mens fejlen replikeres:
Her er trinene til pakkeregistreringer:
1. Generer en liste over LDAP-servere, der er konfigureret på PowerScale-klyngen:
# isi auth ldap ls Name Base DN Server Uris Status ----------------------------------------------- LDAP DC=amd,DC=com ldap://isilon02 online ldap://isilon0404
2. Løs IP-adresserne på hver af LDAP-serverne ovenfor.
#nslookup <ldap host>
Notér LDAP IP-adresserne til Support.
For eksempel:
powerscale-2-1# nslookup isilon02 Server: 127.42.0.1 Address: 127.42.0.1#53 Non-authoritative answer: Name: isilon02.dell.com Address: 10.178.35.1
3. Opret en mappe, der indeholder pakkehentningsdataene:
# mkdir -p /ifs/data/Isilon_Support/<SR number>
Erstat SR-nummeret ovenfor med det korrekte PowerScale Support-serviceanmodningsnummer, f.eks. for serviceanmodningsnummer 1234567:
# mkdir -p /ifs/data/Isilon_Support/1234567
4. Ssh til en node som 'root' bruger.
5. Start node packet captures:
dvs. for serviceanmodning # 1234567, ville kommandoen være som følger:
# for i in $(ifconfig | grep flags= | cut -f1 -d':'|egrep -v "ib0|ib1|lo0"); do tcpdump -i ${i} -s0 -C 200 -W 3 -w /ifs/data/Isilon_Support/1234567/${HOST}_${i}.pcap port 389 &; done
Skriv Ctrl-C for at bryde ud og lade tcpdump Kør i baggrunden.
6. Derefter skal du genskabe problemet/fejlen på noden.
7. Når du replikerer problemet/fejlen, skal du stoppe pcap:
# pkill -9 tcpdump
Sørg for, at pcaket Capture kører ikke længere:
# ps -auxwww|grep tcpdump
Du bør se nej tcpdump processer, der kører.
8. Upload pcaps til Support til gennemgang.
Prodotti interessati
Isilon F810Proprietà dell'articolo
Numero articolo: 000197168
Tipo di articolo: Solution
Ultima modifica: 26 mag 2026
Versione: 2
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.