PowerStore: Sikkerhedsændring for LDAP-brugerlogin i version 3.5
Samenvatting: Denne artikel beskriver et LDAP-problem, efter at systemkoden er opgraderet til version 3.5.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
Kunden kan ikke logge på med LDAP-bruger på version 3.5-systemet. Den samme LDAP-bruger fortsætter med at arbejde på andre systemer, der kører på version 3.2.
LDAP er konfigureret med standardport 389 på alle systemer, Bind DN er konfigureret korrekt, og verifikation er god.
LDAP er konfigureret med standardport 389 på alle systemer, Bind DN er konfigureret korrekt, og verifikation er god.
Oorzaak
Der er ændringer i version 3.5. Et kort navn virker ikke, fuld FQDN er påkrævet for at logge på.
For eksempel:
Log på med det korte navn fortsætter med at fortæller, at "kontoen ikke blev fundet" efter aktivering af port 3268:
For eksempel:
- Brugeren får vist AD-området, det underordnede domænenavn aisa.nsroot.com og americ.nsroot.com
- LDAP-domænet er konfigureret som "nsroot.com", og BindDN er bind_user@aisa.nsroot.com
- Brugeren logger på med admin_pst@aisa (kort navn) til PowerStore Manager-login. (Fuld FQDN=admin_pst@aisa.nsroot.com)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]I version 3.5 rapporterer systemet "uoverensstemmelse i LDAP-domænenavn".
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com Hvis brugeren ændrer loginbrugernavnet til at bruge full FQDN, fortsætter login med at mislykkes, da input=a watt.nsroot.com og LDAP config=nsroot.com ikke stemmer overens.
Log på med det korte navn fortsætter med at fortæller, at "kontoen ikke blev fundet" efter aktivering af port 3268:
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
Da brugeren AD kører på områdeniveau, skal vi aktivere Global Catalog-port 3268 for at tillade, at systemet kører LDAP-søgning i forskellige domænenavne.
Brugeren kan fortsætte med at bruge det samme BindDN- og LDAP-domæne.
LDAP-domænet er konfigureret som "nsroot.com", og BindDN er bind_user@aisa.nsroot.com.
Det globale katalog skal kontrolleres på LDAP-konfigurationen.
LDAP-brugere til login-PST Manager skal tilføjes under Indstillinger > Brugere > LDAP (Fuld FQDN-format admin_pst@aisa.nsroot.com)
Brugernavn i fuldt FQDN-format kan bruges til login-PST Manager.
Brugeren kan fortsætte med at bruge det samme BindDN- og LDAP-domæne.
LDAP-domænet er konfigureret som "nsroot.com", og BindDN er bind_user@aisa.nsroot.com.
Det globale katalog skal kontrolleres på LDAP-konfigurationen.
LDAP-brugere til login-PST Manager skal tilføjes under Indstillinger > Brugere > LDAP (Fuld FQDN-format admin_pst@aisa.nsroot.com)
Brugernavn i fuldt FQDN-format kan bruges til login-PST Manager.
BEMÆRK: Kontonavnet skal være værdien af den ID-attribut, der er defineret i Avancerede indstillinger under Domæneindstillinger på skydepanelet katalogtjenester.
For eksempel:
Hvis kundens AD ikke kører som forest, skal du bruge standardport 389 og logge på med fuldt FQDN-navn.For eksempel:
- Når Global Catalog (godkendelse på forest-niveau) vælges til konfiguration af PowerStore LDAP-serveren, er standardværdien for User ID-attribut under Avancerede indstillinger UserPrincipalName. Kontonavnet skal være et UserPrincipalName, som er entydigt, og formatet er username@DomainName.com
- Hvis det globale katalog ikke er valgt, er standardværdien for attributten User ID under Advanced Settings (Avancerede indstillinger) sAMAccountName. Kontonavnet skal være et sAMAccountName.
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.