PowerStore: Sicherheitsänderung für LDAP-Benutzeranmeldung in Version 3.5
Samenvatting: In diesem Artikel wird ein LDAP-Problem beschrieben, nachdem ein Upgrade des Arraycodes auf Version 3.5 durchgeführt wurde.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
Der Kunde kann sich nicht mit einem LDAP-Benutzer auf dem Array der Version 3.5 anmelden. Derselbe LDAP-Benutzer arbeitet weiterhin auf anderen Arrays, auf denen Version 3.2 ausgeführt wird.
Ldap ist mit Standardport 389 auf allen Arrays konfiguriert, Bind DN wurde erfolgreich eingerichtet und die Überprüfung ist gut.
Ldap ist mit Standardport 389 auf allen Arrays konfiguriert, Bind DN wurde erfolgreich eingerichtet und die Überprüfung ist gut.
Oorzaak
Es gibt Änderungen in Version 3.5. Ein Kurzname funktioniert nicht, für die Anmeldung ist ein vollständiger FQDN erforderlich.
Zum Beispiel:
Melden Sie sich mit dem Kurznamen weiterhin an, dass nach der Aktivierung des Ports 3268 "Account is not found" (Konto nicht gefunden wurde):
Zum Beispiel:
- Der Benutzer erhält eine AD-Gesamtstruktur, einen untergeordneten Domainnamen aisa.nsroot.com und americ.nsroot.com
- Ldap-Domain wird als "nsroot.com" konfiguriert und BindDN wird bind_user@aisa.nsroot.com
- Der Benutzer meldet sich mit admin_pst@aisa (Kurzname) für die PowerStore Manager-Anmeldung an. (Vollständige FQDN=admin_pst@aisa.nsroot.com)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]In Version 3.5 meldet das Array "LDAP domain name mismatch".
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com Wenn der Benutzer den Benutzernamen für die Anmeldung so ändert, dass er den vollständigen FQDN verwendet, schlägt die Anmeldung weiterhin fehl, da die Domainnamen input=adomain.nsroot.com und LDAP config=nsroot.com nicht übereinstimmen.
Melden Sie sich mit dem Kurznamen weiterhin an, dass nach der Aktivierung des Ports 3268 "Account is not found" (Konto nicht gefunden wurde):
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
Wenn der Benutzer AD auf Gesamtstrukturebene ausgeführt wird, müssen wir den globalen Katalogport 3268 aktivieren, damit das System die LDAP-Suche in verschiedenen Domainnamen ausführen kann.
Der Benutzer kann weiterhin dieselbe BindDN- und LDAP-Domain verwenden.
Die LDAP-Domain ist als "nsroot.com" konfiguriert und BindDN wird bind_user@aisa.nsroot.com.
Der globale Katalog muss in der LDAP-Konfiguration geprüft werden.
LDAP-Benutzer zum Anmelden von PST Manager muss unter Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
hinzugefügt werden. Der Benutzername im Format Full FQDN kann für die Anmeldung von PST Manager verwendet werden.
Der Benutzer kann weiterhin dieselbe BindDN- und LDAP-Domain verwenden.
Die LDAP-Domain ist als "nsroot.com" konfiguriert und BindDN wird bind_user@aisa.nsroot.com.
Der globale Katalog muss in der LDAP-Konfiguration geprüft werden.
LDAP-Benutzer zum Anmelden von PST Manager muss unter Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
hinzugefügt werden. Der Benutzername im Format Full FQDN kann für die Anmeldung von PST Manager verwendet werden.
HINWEIS: Der Kontoname muss der Wert des ID-Attributs sein, das in erweiterten Einstellungen unter Domäneneinstellungen im Auszugsbereich "Verzeichnisdienste" definiert ist.
Zum Beispiel:
Wenn das Kunden-AD nicht als Gesamtstruktur ausgeführt wird, verwenden Sie den Standardport 389 und melden Sie sich mit vollständigem FQDN-Namen an.Zum Beispiel:
- Wenn für die Konfiguration des PowerStore LDAP-Servers der globale Katalog (Forest-Level-Authentifizierung) ausgewählt ist, lautet der Standardwert für "User ID Attribute" unter "Advanced Settings" UserPrincipalName. Der Kontoname muss ein eindeutiger UserPrincipalName sein und das Format ist username@DomainName.com
- Wenn der globale Katalog nicht ausgewählt ist, lautet der Standardwert für das Benutzer-ID-Attribut unter Erweiterte Einstellungen sAMAccountName. Der Kontoname muss ein sAMAccountName sein.
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.