PowerScale：Centrify LDAPの「認証リクエストを処理できませんでした」エラー

例:

# isi auth groups members list dellgroup --zone dellzone --provider="lsa-ldap-provider:Centrify LDAP Proxies"
Failed to get members for group GROUP:dellgroup: The authentication request could not be handled

または

isi auth groups members list --gid 30118 
Failed to get members for group GID:30118: The authentication request could not be handled

パケット キャプチャで、デル・テクノロジーズは次のエラーを確認します。
 

errorMessage: cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter

パケットキャプチャの完全な例:

# tshark -r file.cap

1060 736.218674 10.193.45.68 â 10.193.3.52  LDAP 1194 searchRequest(4) "ou=North America,dc=acf,dc=dell,dc=com" wholeSubtree
1061 736.218828  10.193.3.52 â 10.193.45.68 TCP 66 389 â 15206 [ACK] Seq=3557 Ack=1413 Win=261656 Len=0 TSval=1645667785 TSecr=662636581
1062 736.258022  10.193.3.52 â 10.193.45.68 LDAP 175 searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter)  [2 results]
1063 736.258142  10.193.3.52 â 10.193.45.68 LDAP 175 searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter)  [2 results]
1064 736.258150 10.193.45.68 â 10.193.3.52  TCP 66 15206 â 389 [ACK] Seq=1413 Ack=3775 Win=131648 Len=0 TSval=662641755 TSecr=1645667785
1065 736.261570 10.193.45.68 â 10.193.3.52  LDAP 73 unbindRequest(5)

フレーム内では、サポートは次の情報を確認できます。
 

Lightweight Directory Access Protocol
    LDAPMessage searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter) [2 results]
        messageID: 4
        protocolOp: searchResDone (5)
            searchResDone
                resultCode: other (80)
                matchedDN:
                errorMessage: cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter
        [Response To: 1060]
        [Time: 0.039348000 seconds]

OneFSバージョン8.2.2.0以降では、LDAPメンバー列挙リクエストは、レスポンス タイムを改善するためにクエリーを意図的にグループ化します。OneFSは、パフォーマンス上の理由から、ユーザー単位の反復的なUIDクエリーからバッチ クエリーに変更しました。
papsのエラーは、プロキシが検索フィルターで複数の「uid」エントリーをサポートしていないことを示唆しています。プロキシが複数の「uid」エントリーをサポートしていない場合、サポートにはプロキシ ベンダー(つまり、Centrify)を使用してこの問題を解決します。

プロキシは、OneFSがネットワークを介して送信する(&(objectClass=posixAccount)(|(uid=user1)(uid=user2)(uid=user3))))を使用して、グループのmemberUidクエリーからユーザー メンバーを解決し、bid>nameとメンバーnames>uidを完全に解決します

さらに、Centrifyは、ある時点で、ユーザーごとの反復的なuidクエリから、上記のようなバッチクエリに動作が変更されたことを認めています。Centrifyのナレッジベース記事とドキュメントによると、このエラーは、プロキシが検索フィルターで複数の「uid」エントリーをサポートしていないことを示唆しています。

Centrifyは、PowerScaleで現在使用されている構文がサポートされていないことを確認しました。これをCentrifyに追加するための機能拡張リクエスト(RFE)があり、そのRFEに当社の名前が追加されています

検索フィルターに問題はなく、ソフトウェアコードが nonbatched クエリ (パフォーマンス上の理由から)、Centrify は、複数のユーザーに対してクエリを実行する有効な検索クエリ フィルターに対応する必要があります。 uidNumber.

解決策については、ベンダー(Centrify)に問い合わせてください。

お客様に問題が発生しているかどうかを確認するために、デル・テクノロジーズ サポートは、エラーのレプリケート中にパケット キャプチャを収集することもできます:

パケット キャプチャの手順は次のとおりです:


1.PowerScaleクラスターで構成されているLDAPサーバーのリストを生成します。
 

# isi auth ldap ls
Name  Base DN       Server Uris         Status
-----------------------------------------------
LDAP  DC=amd,DC=com ldap://isilon02 online
                    ldap://isilon0404

2.上記の各LDAPサーバーのIPアドレスを解決します。
 

#nslookup <ldap host>

Support.

のLDAP IPアドレスをメモします例えば：
 

powerscale-2-1# nslookup isilon02
Server:         127.42.0.1
Address:        127.42.0.1#53

Non-authoritative answer:
Name:   isilon02.dell.com
Address: 10.178.35.1

3.  パケット キャプチャ データを格納するディレクトリを作成します。 
 

# mkdir -p /ifs/data/Isilon_Support/<SR number>

上記のSR番号を、適切なPowerScaleサポート サービス リクエスト番号に置き換えます(たとえば、サービス リクエスト番号1234567)。
 

# mkdir -p /ifs/data/Isilon_Support/1234567

4.「root」ユーザーとしてノードにSSHで接続します。

5.ノード パケット キャプチャの開始:

つまり、サービス リクエスト#1234567の場合、コマンドは次のようになります。
 

# for i in $(ifconfig | grep flags= | cut -f1 -d':'|egrep -v "ib0|ib1|lo0"); do tcpdump -i ${i} -s0 -C 200 -W 3 -w /ifs/data/Isilon_Support/1234567/${HOST}_${i}.pcap port 389 &; done

Ctrl-Cを押してブレイクアウトし、 tcpdump バックグラウンドで実行します。

6.次に、ノードで問題/エラーを再作成します。
7.問題/エラーを再現したら、 pcapファイルに置き換えます。
 

# pkill -9 tcpdump

次のことを確認します。 pcaket キャプチャはもう実行されていません。
 

# ps -auxwww|grep tcpdump

[いいえ]と表示されるはずです tcpdump processes running.

8.[Updates]を pcaps をレビューのためにサポートします。