PowerStore: Změna zabezpečení pro přihlášení uživatele LDAP ve verzi 3.5
Samenvatting: Tento článek popisuje problém LDAP po upgradu kódu pole na verzi 3.5.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
Zákazník se nemůže přihlásit pomocí uživatele LDAP v poli verze 3.5. Stejný uživatel LDAP nadále pracuje na jiných polích, která používají verzi 3.2.
Protokol LDAP je konfigurován s výchozím portem 389 na všech polích, položka Bind DN se úspěšně nastaví a ověření je v pořádku.
Protokol LDAP je konfigurován s výchozím portem 389 na všech polích, položka Bind DN se úspěšně nastaví a ověření je v pořádku.
Oorzaak
Ve verzi 3.5 došlo ke změnám. Krátký název nefunguje, k přihlášení je nutný úplný název FQDN.
Například:
Po povolení portu 3268 se přihlaste krátkým názvem a nadále se můžete přihlásit, že "account is not found":
Například:
- Uživatel získá doménovou strukturu AD, název podřízené domény aisa.nsroot.com a americ.nsroot.com
- Doména LDAP je nakonfigurována jako "nsroot.com" a protokol BindDN je bind_user@aisa.nsroot.com
- Uživatel se přihlásí pomocí admin_pst@aisa (krátký název) pro přihlášení do nástroje PowerStore Manager. (Úplný FQDN=admin_pst@aisa.nsroot.com)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]Ve verzi 3.5 pole hlásí neshodu názvu domény LDAP.
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com Pokud uživatel změní přihlašovací uživatelské jméno, aby používal celý název FQDN, přihlášení se nezdaří, jelikož soubory input=adap.nsroot.com a LDAP config=nsroot.com, názvy domén se neshodují.
Po povolení portu 3268 se přihlaste krátkým názvem a nadále se můžete přihlásit, že "account is not found":
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
Jelikož je uživatelská služba AD spuštěna na úrovni doménové struktury, je nutné povolit port globálního katalogu 3268, aby systém mohl vyhledávání LDAP spouštět v různých názvech domén.
Uživatel může nadále používat stejnou doménu BindDN a LDAP.
Doména LDAP je nakonfigurována jako "nsroot.com" a protokol BindDN je bind_user@aisa.nsroot.com.
Globální katalog je nutné zkontrolovat v konfiguraci LDAP.
Uživatel LDAP pro přihlášení do správce PST musí být přidán do části Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
Uživatelské jméno ve formátu Full FQDN lze použít pro přihlášení do správce PST.
Uživatel může nadále používat stejnou doménu BindDN a LDAP.
Doména LDAP je nakonfigurována jako "nsroot.com" a protokol BindDN je bind_user@aisa.nsroot.com.
Globální katalog je nutné zkontrolovat v konfiguraci LDAP.
Uživatel LDAP pro přihlášení do správce PST musí být přidán do části Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
Uživatelské jméno ve formátu Full FQDN lze použít pro přihlášení do správce PST.
POZNÁMKA: Název účtu musí být hodnota atributu ID definované v části Advanced Settings v části Domain Settings na vysouvacím panelu Adresářové služby.
Například:
Pokud není služba AD zákazníka spuštěna jako doménové struktury, použijte výchozí port 389 a přihlaste se pod celým názvem FQDN.Například:
- Když je pro konfiguraci serveru PowerStore LDAP vybrán globální katalog (ověřování na úrovni doménové struktury), výchozí hodnota atributu User ID v části Advanced Settings je UserPrincipalName. Název účtu musí být UserPrincipalName, který je jedinečný a formát je username@DomainName.com
- Když není zvolen globální katalog, výchozí hodnota atributu USER ID v nabídce Advanced Settings je sAMAccountName. Název účtu musí být sAMAccountName.
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.