PowerScale: Centrify LDAP ile ilgili 'Kimlik doğrulama isteği işlenemedi' hatası

Örnekler:

# isi auth groups members list dellgroup --zone dellzone --provider="lsa-ldap-provider:Centrify LDAP Proxies"
Failed to get members for group GROUP:dellgroup: The authentication request could not be handled

VEYA

isi auth groups members list --gid 30118 
Failed to get members for group GID:30118: The authentication request could not be handled

Dell Technologies, paket yakalamalarında aşağıdaki hataları görür:
 

errorMessage: cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter

Paket yakalamanın tam örneği:

# tshark -r file.cap

1060 736.218674 10.193.45.68 â 10.193.3.52  LDAP 1194 searchRequest(4) "ou=North America,dc=acf,dc=dell,dc=com" wholeSubtree
1061 736.218828  10.193.3.52 â 10.193.45.68 TCP 66 389 â 15206 [ACK] Seq=3557 Ack=1413 Win=261656 Len=0 TSval=1645667785 TSecr=662636581
1062 736.258022  10.193.3.52 â 10.193.45.68 LDAP 175 searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter)  [2 results]
1063 736.258142  10.193.3.52 â 10.193.45.68 LDAP 175 searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter)  [2 results]
1064 736.258150 10.193.45.68 â 10.193.3.52  TCP 66 15206 â 389 [ACK] Seq=1413 Ack=3775 Win=131648 Len=0 TSval=662641755 TSecr=1645667785
1065 736.261570 10.193.45.68 â 10.193.3.52  LDAP 73 unbindRequest(5)

Çerçeve içinde, Destek ekibi aşağıdakileri görebilir:
 

Lightweight Directory Access Protocol
    LDAPMessage searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter) [2 results]
        messageID: 4
        protocolOp: searchResDone (5)
            searchResDone
                resultCode: other (80)
                matchedDN:
                errorMessage: cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter
        [Response To: 1060]
        [Time: 0.039348000 seconds]

OneFS sürüm 8.2.2.0'dan başlayarak, LDAP üye numaralandırma istekleri yanıt sürelerini iyileştirmek için sorguları kasıtlı olarak gruplandırır. OneFS, performans nedenleriyle kullanıcı bazında yinelemeli UID sorgusundan toplu sorguya değiştirildi. 
Pap'lardaki hata, proxy'nin bir arama filtresinde birden çok 'uid' girişini desteklemediğini gösteriyor. Proxy birden fazla "uid" girişini desteklemezse Destek ekibinin proxy satıcısına (ör. Centrify) öğesini seçin.

Proxy, OneFS'nin kablo üzerinden gönderdiği (&(objectClass=posixAccount)(|( uid=user1)(uid=user2)(uid=user3))) teklif adını ve üyeleri, adları>UID'sini>tam olarak çözümlemek için grup için memberUid sorgusundan kullanıcı üyelerini çözümlemek için.

Buna ek olarak, Centrify, davranışımızın bir noktada, kullanıcı bazında yinelemeli bir uid sorgusundan yukarıdaki gibi toplu bir sorguya dönüştüğünü kabul etti. Centrify Knowledge Base makalelerine ve belgelerine göre hata, proxy'nin bir arama filtresinde birden fazla 'uid' girişini desteklemediğini gösteriyor.

Centrify, PowerScale'in şu anda kullandığı söz diziminin desteklenmediğini kabul etti. Bunu Centrify'a eklemek için bir Geliştirme Talebi (RFE) var ve adımız bu RFE'ye eklendi.

Arama filtresinde bir sorun olmadığından ve yazılım kodumuz bir nonbatched sorgusu (performans nedenleriyle), Centrify, birden fazla kullanıcıyı sorgulayan geçerli arama sorgusu filtremizi barındırmalıdır. uidNumber'dir.

Çözüm için satıcıyla (Centrify) iletişime geçin. 

Müşterinin sorunla karşılaşıp karşılaşmadığını doğrulamak için Dell Technologies Destek, hatayı çoğaltırken paket yakalamalarını da toplayabilir:Paket yakalama adımları şunlardır:




1. PowerScale kümesinde yapılandırılan LDAP sunucularının bir listesini oluşturun:
 

# isi auth ldap ls
Name  Base DN       Server Uris         Status
-----------------------------------------------
LDAP  DC=amd,DC=com ldap://isilon02 online
                    ldap://isilon0404

2. Yukarıdaki LDAP sunucularının her birinin IP adreslerini çözümleyin.
 

#nslookup <ldap host>

Destek için LDAP IP adreslerini not alın.

Örneğin:
 

powerscale-2-1# nslookup isilon02
Server:         127.42.0.1
Address:        127.42.0.1#53

Non-authoritative answer:
Name:   isilon02.dell.com
Address: 10.178.35.1

3.  Paket yakalama verilerini içerecek bir dizin oluşturun: 
 

# mkdir -p /ifs/data/Isilon_Support/<SR number>

Örneğin, servis isteği numarası 1234567 için yukarıdaki SR numarasını uygun PowerScale Destek servis isteği numarasıyla değiştirin:
 

# mkdir -p /ifs/data/Isilon_Support/1234567

4. Bir düğüme "kök" kullanıcı olarak SSH yazın.

5. Düğüm paketi yakalamalarını başlatın:

diğer bir deyişle, # 1234567 numaralı servis isteği için komut aşağıdaki gibi olacaktır:
 

# for i in $(ifconfig | grep flags= | cut -f1 -d':'|egrep -v "ib0|ib1|lo0"); do tcpdump -i ${i} -s0 -C 200 -W 3 -w /ifs/data/Isilon_Support/1234567/${HOST}_${i}.pcap port 389 &; done

Ayırmak ve izin vermek için Ctrl-C yazın tcpdump arka planda çalıştırın.

6. Ardından düğümde sorunu/hatayı yeniden oluşturun.
7. Sorunu/hatayı çoğalttıktan sonra durun. pcap:
 

# pkill -9 tcpdump

Emin olun pcaket Capture is not running:
 

# ps -auxwww|grep tcpdump

Hayır görmelisin tcpdump Çalışan işlemler.

8. Yükle pcaps İnceleme için Destek'e.