PowerStore: Cambio de seguridad para el inicio de sesión del usuario de LDAP en la versión 3.5
Samenvatting: En este artículo, se describe un problema de LDAP después de actualizar el código del arreglo a la versión 3.5.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
El cliente no puede iniciar sesión con el usuario de LDAP en el arreglo de la versión 3.5. El mismo usuario de LDAP continúa trabajando en otros arreglos que se ejecutan en la versión 3.2.
El LDAP se configura con el puerto predeterminado 389 en todos los arreglos, el DN de vinculación se configura correctamente y la verificación es correcta.
El LDAP se configura con el puerto predeterminado 389 en todos los arreglos, el DN de vinculación se configura correctamente y la verificación es correcta.
Oorzaak
Hay cambios en la versión 3.5. Un nombre corto no funciona; se requiere un FQDN completo para iniciar sesión.
Por ejemplo:
El inicio de sesión con el nombre corto sigue quejándose de que "no se encuentra la cuenta" después de habilitar el puerto 3268:
Por ejemplo:
- El usuario obtiene el bosque de AD, el nombre de dominio secundario aisa.nsroot.com y americ.nsroot.com
- El dominio LDAP se configura como "nsroot.com" y BindDN se bind_user@aisa.nsroot.com
- El usuario inicia sesión con admin_pst@aisa (nombre corto) para el inicio de sesión de PowerStore Manager. ( FQDN=admin_pst@aisa.nsroot.com completo)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]En la versión 3.5, el arreglo informa "ldap domain name mismatch".
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com Si el usuario cambia el nombre de usuario de inicio de sesión para utilizar el FQDN completo, el inicio de sesión continúa fallando, ya que input=aisa.nsroot.com y LDAP config=nsroot.com, los nombres de dominio no coinciden.
El inicio de sesión con el nombre corto sigue quejándose de que "no se encuentra la cuenta" después de habilitar el puerto 3268:
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
A medida que el ad del usuario se ejecuta en el nivel del bosque, debemos habilitar el puerto 3268 del catálogo global para permitir que el sistema ejecute la búsqueda de LDAP en diferentes nombres de dominio.
El usuario puede seguir utilizando el mismo dominio BindDN y LDAP.
El dominio LDAP se configura como "nsroot.com" y BindDN se bind_user@aisa.nsroot.com.
El Catálogo global se debe comprobar en la configuración de LDAP.
El usuario de LDAP para iniciar sesión en el administrador de PST se debe agregar en Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
User name in Full FQDN format se puede utilizar para iniciar sesión en el administrador de PST.
El usuario puede seguir utilizando el mismo dominio BindDN y LDAP.
El dominio LDAP se configura como "nsroot.com" y BindDN se bind_user@aisa.nsroot.com.
El Catálogo global se debe comprobar en la configuración de LDAP.
El usuario de LDAP para iniciar sesión en el administrador de PST se debe agregar en Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
User name in Full FQDN format se puede utilizar para iniciar sesión en el administrador de PST.
NOTA: El nombre de la cuenta debe ser el valor del atributo de ID definido en Configuración avanzada en Configuración de dominio en el panel deslizable Servicios de directorio.
Por ejemplo:
Si el AD del cliente no se está ejecutando como bosque, utilice el puerto predeterminado 389 e inicie sesión con el nombre completo del FQDN.Por ejemplo:
- Cuando se selecciona Catálogo global (autenticación a nivel de bosque) para configurar el servidor LDAP de PowerStore, el valor predeterminado para Atributo de ID de usuario en Configuración avanzada es UserPrincipalName. El nombre de la cuenta debe ser userPrincipalName que sea único y el formato esté username@DomainName.com
- Cuando el Catálogo global no está seleccionado, el valor predeterminado para el Atributo de ID de usuario en Configuración avanzada es sAMAccountName. El nombre de la cuenta debe ser sAMAccountName.
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.