PowerScale: Centrify LDAP에서 '인증 요청을 처리할 수 없습니다' 오류 발생

Riepilogo: OneFS에서 실행되는 'isi auth group' 명령이 실패하고 다음 오류가 표시됩니다. '인증 요청을 처리할 수 없습니다'. 이 오류는 Centrify LDAP(Lightweight Directory Access Protocol) 프록시 서버를 사용할 때 발생합니다.

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.
Scopri le altre risorse

Sintomi

예:

# isi auth groups members list dellgroup --zone dellzone --provider="lsa-ldap-provider:Centrify LDAP Proxies"
Failed to get members for group GROUP:dellgroup: The authentication request could not be handled


또는 

isi auth groups members list --gid 30118 
Failed to get members for group GID:30118: The authentication request could not be handled


패킷 캡처에서 Dell Technologies는 다음과 같은 오류를 확인합니다.
  

errorMessage: cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter


패킷 캡처의 전체 예: 

# tshark -r file.cap

1060 736.218674 10.193.45.68 â 10.193.3.52  LDAP 1194 searchRequest(4) "ou=North America,dc=acf,dc=dell,dc=com" wholeSubtree
1061 736.218828  10.193.3.52 â 10.193.45.68 TCP 66 389 â 15206 [ACK] Seq=3557 Ack=1413 Win=261656 Len=0 TSval=1645667785 TSecr=662636581
1062 736.258022  10.193.3.52 â 10.193.45.68 LDAP 175 searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter)  [2 results]
1063 736.258142  10.193.3.52 â 10.193.45.68 LDAP 175 searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter)  [2 results]
1064 736.258150 10.193.45.68 â 10.193.3.52  TCP 66 15206 â 389 [ACK] Seq=1413 Ack=3775 Win=131648 Len=0 TSval=662641755 TSecr=1645667785
1065 736.261570 10.193.45.68 â 10.193.3.52  LDAP 73 unbindRequest(5)

프레임 내에서 Support는 다음을 볼 수 있습니다.
 

Lightweight Directory Access Protocol
    LDAPMessage searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter) [2 results]
        messageID: 4
        protocolOp: searchResDone (5)
            searchResDone
                resultCode: other (80)
                matchedDN:
                errorMessage: cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter
        [Response To: 1060]
        [Time: 0.039348000 seconds]

Causa

OneFS 버전 8.2.2.0부터 LDAP 구성원 열거 요청은 응답 시간을 개선하기 위해 의도적으로 쿼리를 그룹화합니다. OneFS는 성능상의 이유로 사용자별 반복 UID 쿼리에서 일괄 처리 쿼리로 변경되었습니다. 
paps의 오류는 프록시가 검색 필터에서 여러 개의 'uid' 항목을 지원하지 않음을 나타냅니다. 프록시가 여러 'uid' 항목을 지원하지 않는 경우 Support에는 프록시 공급업체(즉, Centrify)를 사용하여 이 문제를 해결할 수 있습니다.

프록시는 OneFS가 유선을 통해 보내는 내용을 좋아하지 않는 것으로 보이며, 형식은 (&(objectClass=posixAccount)(|( uid=user1)(uid=user2)(uid=user3)))을 사용하여 그룹에 대한 memberUid 쿼리에서 사용자 구성원을 확인하여 입찰>이름과 구성원, 이름>uid를 완전히 확인합니다.

또한 Centrify는 위와 같이 사용자별로 반복적인 uid 쿼리에서 일괄 처리 쿼리로 어느 시점에서 동작이 변경되었음을 인정했습니다. Centrify 기술 자료 문서 및 설명서에 따르면 이 오류는 프록시가 검색 필터에서 여러 'uid' 항목을 지원하지 않음을 나타냅니다.

Risoluzione

Centrify는 PowerScale이 현재 사용 중인 구문이 지원되지 않음을 확인했습니다. 이를 Centrify에 추가하기 위한 RFE(Request for Enhancement)가 있으며 해당 RFE에 당사의 이름이 추가되었습니다.

검색 필터에는 아무런 문제가 없으며 소프트웨어 코드가 다시 nonbatched query(성능상의 이유로), Centrify는 여러 사용자를 쿼리하는 유효한 검색 쿼리 필터를 수용해야 합니다. uidNumber을 클릭합니다.

공급업체(Centrify)에 문의하여 해결하십시오. 

고객에게 문제가 있는지 확인하기 위해 Dell Technologies 지원 부서는 오류를 복제하는 동안 패킷 캡처를 수집할 수도 있습니다.

패킷 캡처 단계는 다음과 같습니다.


1. PowerScale Cluster에 구성된 LDAP 서버 목록을 생성합니다.
 

# isi auth ldap ls
Name  Base DN       Server Uris         Status
-----------------------------------------------
LDAP  DC=amd,DC=com ldap://isilon02 online
                    ldap://isilon0404


2. 위의 각 LDAP 서버의 IP 주소를 확인합니다.
  

#nslookup <ldap host>

지원을 위해 LDAP IP 주소를 기록합니다.

예를 들어:
 

powerscale-2-1# nslookup isilon02
Server:         127.42.0.1
Address:        127.42.0.1#53

Non-authoritative answer:
Name:   isilon02.dell.com
Address: 10.178.35.1

3.  패킷 캡처 데이터를 포함할 디렉토리를 생성합니다. 
 

# mkdir -p /ifs/data/Isilon_Support/<SR number>


위의 SR 번호를 적절한 PowerScale 지원 서비스 요청 번호로 대체하십시오. 예: 서비스 요청 번호 1234567:
  

# mkdir -p /ifs/data/Isilon_Support/1234567


4. 노드에 'root' 사용자로 SSH를 실행합니다.

5. 노드 패킷 캡처 시작:

즉, 서비스 요청 # 1234567의 경우 명령은 다음과 같습니다.
  

# for i in $(ifconfig | grep flags= | cut -f1 -d':'|egrep -v "ib0|ib1|lo0"); do tcpdump -i ${i} -s0 -C 200 -W 3 -w /ifs/data/Isilon_Support/1234567/${HOST}_${i}.pcap port 389 &; done


Ctrl-C를 입력하여 중단하고 tcpdump 백그라운드에서 실행합니다.

6. 그런 다음 노드에서 문제/오류를 다시 생성합니다.
7. 문제/오류를 복제한 후에는 pcap파일로 교체합니다.
  

# pkill -9 tcpdump


다음 사항을 확인합니다. pcaket 캡처가 더 이상 실행되지 않습니다.
  

# ps -auxwww|grep tcpdump


No가 표시되어야 합니다. tcpdump 실행 중인 프로세스입니다.

8. 업로드 pcaps 지원으로 이동하여 검토합니다.
 

Prodotti interessati

Isilon F810
Proprietà dell'articolo
Numero articolo: 000197168
Tipo di articolo: Solution
Ultima modifica: 26 mag 2026
Versione:  2
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.