PowerStore: Suojausmuutos LDAP-käyttäjien kirjautumisversiossa 3.5
Samenvatting: Artikkelissa käsitellään LDAP-ongelmaa, kun levyjärjestelmäkoodi on päivitetty versioon 3.5.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
Asiakas ei voi kirjautua LDAP-käyttäjällä versioon 3.5. Sama LDAP-käyttäjä jatkaa työskentelyä muissa laitteissa, joiden versio on 3.2.
LDAP:n oletusportti on 389 kaikissa levyjärjestelmissä, Bind DN on määritetty ja tarkistus toimii.
LDAP:n oletusportti on 389 kaikissa levyjärjestelmissä, Bind DN on määritetty ja tarkistus toimii.
Oorzaak
Versiossa 3.5 on muutoksia. Lyhyt nimi ei toimi, sisäänkirjautuminen edellyttää täydellistä täydellistä toimialuenimeä.
Esimerkki:
Kirjautuminen lyhyellä nimellä valittaa edelleen, että tiliä ei löydy, kun portti 3268 on otettu käyttöön:
Esimerkki:
- Käyttäjä saa AD-toimialuepuuryhmän, alitoimialuenimen aisa.nsroot.com ja americ.nsroot.com
- LDAP-toimialue on nsroot.com ja BindDN on bind_user@aisa.nsroot.com
- Käyttäjä kirjautuu sisään powerStore Manager -kirjautumiseen admin_pst@aisa (lyhyt nimi). (Täysi FQDN=admin_pst@aisa.nsroot.com)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]Versiossa 3.5 järjestelmä ilmoittaa LDAP-toimialuenimen ristiriidasta.
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com Jos käyttäjä muuttaa kirjautumiskäyttäjätunnuksen täydeksi täydelliseksi toimialuenimeksi, kirjautuminen epäonnistuu edelleen, koska komennot input=aisa.nsroot.com ja LDAP config=nsroot.com epäonnistuvat, toimialuenimet eivät täsmää.
Kirjautuminen lyhyellä nimellä valittaa edelleen, että tiliä ei löydy, kun portti 3268 on otettu käyttöön:
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
Koska käyttäjän AD:tä käytetään toimialuepuuryhmätasolla, yleinen luetteloportti 3268 on otettava käyttöön, jotta järjestelmä voi suorittaa LDAP-haun eri toimialuenimillä.
Käyttäjä voi jatkaa saman BindDN- ja LDAP-toimialueen käyttöä.
LDAP-toimialue on nsroot.com ja BindDN bind_user@aisa.nsroot.com.
Yleisen luettelon on oltava valittuna LDAP-määrityksissä.
LDAP-käyttäjä voi kirjautua PST-hallintatyökaluun valitsemalla Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
User name in Full FQDN format can be login PST manager (täydellinen FQDN-muoto admin_pst@aisa.nsroot.com).
Käyttäjä voi jatkaa saman BindDN- ja LDAP-toimialueen käyttöä.
LDAP-toimialue on nsroot.com ja BindDN bind_user@aisa.nsroot.com.
Yleisen luettelon on oltava valittuna LDAP-määrityksissä.
LDAP-käyttäjä voi kirjautua PST-hallintatyökaluun valitsemalla Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
User name in Full FQDN format can be login PST manager (täydellinen FQDN-muoto admin_pst@aisa.nsroot.com).
HUOMAUTUS: Tilin nimen on oltava hakemistopalvelujen liukuvan paneelin Advanced Settings -kohdassa määritetyn Advanced Settings -kohdan tunnusmääritteen arvo.
Esimerkki:
Jos asiakkaan AD ei toimi toimialuepuuryhmänä, käytä oletusporttia 389 ja kirjaudu sisään täydellisellä FQDN-nimellä.Esimerkki:
- Kun PowerStore LDAP -palvelimen määritystä varten on valittu yleinen luettelo (toimialuetason todennus), Advanced Settings -kohdan User ID Attribute -oletusarvo on UserPrincipalName. Tilin nimen on oltava yksilöllinen UserPrincipalName, ja sen muoto on username@DomainName.com
- Jos yleistä luetteloa ei ole valittu, Advanced Settings -kohdan User ID Attribute -ominaisuuden oletusarvo on sAMAccountName. Tilin nimen on oltava sAMAccountName.
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.