PowerScale: Errore "The authentication request could not be handled" con Centrify LDAP

Esempi:

# isi auth groups members list dellgroup --zone dellzone --provider="lsa-ldap-provider:Centrify LDAP Proxies"
Failed to get members for group GROUP:dellgroup: The authentication request could not be handled

OPPURE

isi auth groups members list --gid 30118 
Failed to get members for group GID:30118: The authentication request could not be handled

Nelle acquisizioni dei pacchetti, Dell Technologies rileva i seguenti errori:
 

errorMessage: cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter

Esempio completo di acquisizione di pacchetti:

# tshark -r file.cap

1060 736.218674 10.193.45.68 â 10.193.3.52  LDAP 1194 searchRequest(4) "ou=North America,dc=acf,dc=dell,dc=com" wholeSubtree
1061 736.218828  10.193.3.52 â 10.193.45.68 TCP 66 389 â 15206 [ACK] Seq=3557 Ack=1413 Win=261656 Len=0 TSval=1645667785 TSecr=662636581
1062 736.258022  10.193.3.52 â 10.193.45.68 LDAP 175 searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter)  [2 results]
1063 736.258142  10.193.3.52 â 10.193.45.68 LDAP 175 searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter)  [2 results]
1064 736.258150 10.193.45.68 â 10.193.3.52  TCP 66 15206 â 389 [ACK] Seq=1413 Ack=3775 Win=131648 Len=0 TSval=662641755 TSecr=1645667785
1065 736.261570 10.193.45.68 â 10.193.3.52  LDAP 73 unbindRequest(5)

All'interno del frame, Support può vedere quanto segue:
 

Lightweight Directory Access Protocol
    LDAPMessage searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter) [2 results]
        messageID: 4
        protocolOp: searchResDone (5)
            searchResDone
                resultCode: other (80)
                matchedDN:
                errorMessage: cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter
        [Response To: 1060]
        [Time: 0.039348000 seconds]

A partire da OneFS versione 8.2.2.0, le richieste di enumerazione dei membri LDAP raggruppano intenzionalmente le query per migliorare i tempi di risposta. Per motivi di prestazioni, OneFS è passato da una query UID iterativa, utente per utente, a una query in batch. 
L'errore nei paps suggerisce che il proxy non supporta più voci "uid" in un filtro di ricerca. Se il proxy non supporta più voci uid, il supporto richiede il fornitore del proxy (ovvero. Centrify) per risolvere questo problema.

Il proxy sembra non gradire ciò che OneFS invia in rete, ovvero sotto forma di (&(objectClass=posixAccount)(|( uid=user1)(uid=user2)(uid=user3))) per risolvere i membri dell'utente dalla query memberUid affinché il gruppo risolva completamente il nome dell'offerta>e i membri, denominano>uid.

Inoltre, Centrify ha riconosciuto che il nostro comportamento è cambiato a un certo punto, passando da una query uid iterativa, utente per utente, a una query in batch, come sopra. Secondo gli articoli e la documentazione della knowledge base di Centrify, l'errore suggerisce che il proxy non supporta più voci "uid" in un filtro di ricerca.

Centrify ha riconosciuto che la sintassi utilizzata da PowerScale non è supportata. È stata presentata una richiesta di miglioramento (RFE) per aggiungere questa richiesta a Centrify e il nostro nome è stato aggiunto a tale RFE.

Poiché non c'è nulla di sbagliato nel filtro di ricerca e il nostro codice software non torna a un nonbatched query (per motivi di prestazioni), Centrify deve supportare il nostro filtro di query di ricerca valido che esegue query su più utenti per uidNumber.

Contattare il fornitore (Centrify) per la risoluzione. 

Per verificare se un cliente sta riscontrando il problema, il supporto Dell Technologies può anche raccogliere le acquisizioni dei pacchetti durante la replica dell'errore:

Di seguito sono riportati i passaggi per le acquisizioni dei pacchetti:


1. Generare un elenco di server LDAP configurati nel cluster PowerScale:
 

# isi auth ldap ls
Name  Base DN       Server Uris         Status
-----------------------------------------------
LDAP  DC=amd,DC=com ldap://isilon02 online
                    ldap://isilon0404

2. Risolvere gli indirizzi IP di ciascuno dei server LDAP, riportati sopra.
 

#nslookup <ldap host>

Prendere nota degli indirizzi IP LDAP per il supporto.

Per esempio:
 

powerscale-2-1# nslookup isilon02
Server:         127.42.0.1
Address:        127.42.0.1#53

Non-authoritative answer:
Name:   isilon02.dell.com
Address: 10.178.35.1

3.  Creare una directory che contenga i dati di acquisizione dei pacchetti: 
 

# mkdir -p /ifs/data/Isilon_Support/<SR number>

Sostituire il numero della Service Request di supporto PowerScale riportato sopra con il numero della Service Request corretta per PowerScale, ad esempio il numero della Service Request 1234567:
 

# mkdir -p /ifs/data/Isilon_Support/1234567

4. Eseguire l'SSH su un nodo come utente root.

5. Avviare le acquisizioni di pacchetti del nodo:

ad esempio, per la Service Request # 1234567, il comando sarà il seguente:
 

# for i in $(ifconfig | grep flags= | cut -f1 -d':'|egrep -v "ib0|ib1|lo0"); do tcpdump -i ${i} -s0 -C 200 -W 3 -w /ifs/data/Isilon_Support/1234567/${HOST}_${i}.pcap port 389 &; done

Digita Ctrl-C per scomporre e lasciare tcpdump Esecuzione in background.

6. Successivamente, ricreare il problema/errore sul nodo.
7. Una volta replicato il problema/errore, arrestare il pcap:
 

# pkill -9 tcpdump

Assicurarsi che il pcaket L'acquisizione non è più in esecuzione:
 

# ps -auxwww|grep tcpdump

Non dovrebbe essere visualizzata alcuna immagine tcpdump processi in esecuzione.

8. Carica il file pcaps a Supporto per la revisione.