PowerScale:Centrify LDAP 出現「無法處理驗證要求」錯誤

Riepilogo: 在 OneFS 中執行的「isi auth group」命令失敗,並顯示下列錯誤:“無法處理身份驗證請求”。使用 Centrify 輕量級目錄存取通訊協定 (LDAP) 代理伺服器時,就會發生此錯誤。

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.
Scopri le altre risorse

Sintomi

範例:

# isi auth groups members list dellgroup --zone dellzone --provider="lsa-ldap-provider:Centrify LDAP Proxies"
Failed to get members for group GROUP:dellgroup: The authentication request could not be handled


isi auth groups members list --gid 30118 
Failed to get members for group GID:30118: The authentication request could not be handled


在封包擷取中,Dell Technologies 看到下列錯誤:
  

errorMessage: cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter


封包捕獲的完整範例: 

# tshark -r file.cap

1060 736.218674 10.193.45.68 â 10.193.3.52  LDAP 1194 searchRequest(4) "ou=North America,dc=acf,dc=dell,dc=com" wholeSubtree
1061 736.218828  10.193.3.52 â 10.193.45.68 TCP 66 389 â 15206 [ACK] Seq=3557 Ack=1413 Win=261656 Len=0 TSval=1645667785 TSecr=662636581
1062 736.258022  10.193.3.52 â 10.193.45.68 LDAP 175 searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter)  [2 results]
1063 736.258142  10.193.3.52 â 10.193.45.68 LDAP 175 searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter)  [2 results]
1064 736.258150 10.193.45.68 â 10.193.3.52  TCP 66 15206 â 389 [ACK] Seq=1413 Ack=3775 Win=131648 Len=0 TSval=662641755 TSecr=1645667785
1065 736.261570 10.193.45.68 â 10.193.3.52  LDAP 73 unbindRequest(5)

在框架內,支援可以看到以下內容:
 

Lightweight Directory Access Protocol
    LDAPMessage searchResDone(4) other (cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter) [2 results]
        messageID: 4
        protocolOp: searchResDone (5)
            searchResDone
                resultCode: other (80)
                matchedDN:
                errorMessage: cdcLdapSearch :Bad parameter (cdcRC=4), errSystem=Ldap, errCode=-7, errString=Bad search filter
        [Response To: 1060]
        [Time: 0.039348000 seconds]

Causa

從 OneFS 版本 8.2.2.0 開始,LDAP 成員列舉要求會刻意將查詢分組,以改善回應時間。出於效能因素,OneFS 已從逐個使用者的反覆運算 UID 查詢變更為批次查詢。
paps 中的錯誤表明代理不支援搜索篩檢程式中的多個“uid”條目。如果代理不支援多個「uid」項目,則支援部門需要代理廠商 (即Centrify) 來解決此問題。

代理似乎與 OneFS 透過網路傳送的方式不同,其格式為 (&(objectClass=posixAccount)(|(uid=user1)(uid=user2)(uid=user3)))從成員UID查詢解析用戶成員,為組完全解析投標>名稱和成員名稱>uid。

此外,Centrify 也承認我們的行為在某些時候發生了變化,從逐個使用者的反覆運算 uid 查詢轉變為批處理查詢,如上所述。根據 Centrify 知識庫文章和文檔,該錯誤表明代理不支援搜索篩檢程式中的多個“uid”條目。

Risoluzione

Centrify 已確認不支援 PowerScale 目前使用的語法。有一個增強請求 (RFE) 將其添加到 Centrify,我們的名字已添加到該 RFE 中。

由於搜尋篩選器沒有任何問題,而且我們的軟體代碼不會恢復到 nonbatched 查詢(出於性能原因),Centrify 必須適應我們的有效搜尋查詢過濾器查詢多個使用者 uidNumber

請聯絡廠商 (Centrify) 以取得解決方案。

為了確認客戶是否遇到此問題,Dell Technologies 支援也可以在複製錯誤

時收集封包擷取:以下是封包擷取的步驟:


1.產生已在 PowerScale 叢集上設定的 LDAP 伺服器清單:
 

# isi auth ldap ls
Name  Base DN       Server Uris         Status
-----------------------------------------------
LDAP  DC=amd,DC=com ldap://isilon02 online
                    ldap://isilon0404


2.解析上述每個 LDAP 伺服器的 IP 位址。
  

#nslookup <ldap host>

請記下 LDAP IP 位址以取得支援。

例如:
 

powerscale-2-1# nslookup isilon02
Server:         127.42.0.1
Address:        127.42.0.1#53

Non-authoritative answer:
Name:   isilon02.dell.com
Address: 10.178.35.1

3.  建立目錄以包含資料包擷取資料: 
 

# mkdir -p /ifs/data/Isilon_Support/<SR number>


將上方的 SR 編號替換為適當的 PowerScale 支援服務要求編號,例如,代表服務要求編號 1234567:
  

# mkdir -p /ifs/data/Isilon_Support/1234567


4.以「root」使用者身分 Ssh 至節點。

5.開始節點資料包擷取:

即,對於服務要求 # 1234567,命令如下:
  

# for i in $(ifconfig | grep flags= | cut -f1 -d':'|egrep -v "ib0|ib1|lo0"); do tcpdump -i ${i} -s0 -C 200 -W 3 -w /ifs/data/Isilon_Support/1234567/${HOST}_${i}.pcap port 389 &; done


輸入 Ctrl-C 以突開並讓 tcpdump 在後台運行。

6.接下來,在節點上重新建立問題/錯誤。
7.複製問題/錯誤後,請停止 pcap
  

# pkill -9 tcpdump


請確定 pcaket 擷取不再執行:
  

# ps -auxwww|grep tcpdump


你不應該看到 tcpdump 進程正在運行。

8.上傳 pcaps 以支持審查。
 

Prodotti interessati

Isilon F810
Proprietà dell'articolo
Numero articolo: 000197168
Tipo di articolo: Solution
Ultima modifica: 26 mag 2026
Versione:  2
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.