PowerStore : Modification de la sécurité pour la connexion utilisateur LDAP dans la version 3.5
Samenvatting: Cet article décrit un problème LDAP après la mise à niveau du code de baie vers la version 3.5.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
Le client ne peut pas se connecter avec l’utilisateur LDAP sur la baie version 3.5. Le même utilisateur LDAP continue de travailler sur d’autres baies s’exécutant sur la version 3.2.
Le LDAP est configuré avec le port 389 par défaut sur toutes les baies, le nom unique de liaison est configuré avec succès et la vérification est correcte.
Le LDAP est configuré avec le port 389 par défaut sur toutes les baies, le nom unique de liaison est configuré avec succès et la vérification est correcte.
Oorzaak
Des modifications ont été apportées à la version 3.5. Un nom abrégé ne fonctionne pas, un FQDN complet est requis pour se connecter.
Par exemple:
La connexion avec le nom abrégé continue de se plaindre que le « compte est introuvable » après l’activation du port 3268:
Par exemple:
- L’utilisateur obtient une forêt AD, un aisa.nsroot.com de nom de domaine enfant et un americ.nsroot.com
- Le domaine LDAP est configuré en tant que « nsroot.com » et BindDN est bind_user@aisa.nsroot.com
- L’utilisateur se connecte avec admin_pst@aisa (nom abrégé) pour la connexion à PowerStore Manager. ( FQDN=admin_pst@aisa.nsroot.com complètes)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]Dans la version 3.5, la baie signale une non-correspondance du nom de domaine LDAP.
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com Si l’utilisateur modifie le nom d’utilisateur de connexion pour utiliser le FQDN complet, la connexion continue d’échouer, car les noms de domaine sont incompatibles avec input=a oem.nsroot.com et LDAP config=nsroot.com.
La connexion avec le nom abrégé continue de se plaindre que le « compte est introuvable » après l’activation du port 3268:
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
Étant donné que l’utilisateur AD s’exécute au niveau de la forêt, nous devons activer le port de catalogue global 3268 pour permettre au système d’exécuter la recherche LDAP dans différents noms de domaine.
L’utilisateur peut continuer à utiliser le même domaine BindDN et LDAP.
Le domaine LDAP est configuré en tant que « nsroot.com » et BindDN est bind_user@aisa.nsroot.com.
Le catalogue global doit être vérifié sur la configuration LDAP.
L’utilisateur LDAP pour se connecter au gestionnaire PST doit être ajouté sous Paramètres > Les utilisateurs > LDAP (full FQDN format admin_pst@aisa.nsroot.com)
Le nom d’utilisateur au format FQDN complet peut être utilisé pour la connexion au gestionnaire PST.
L’utilisateur peut continuer à utiliser le même domaine BindDN et LDAP.
Le domaine LDAP est configuré en tant que « nsroot.com » et BindDN est bind_user@aisa.nsroot.com.
Le catalogue global doit être vérifié sur la configuration LDAP.
L’utilisateur LDAP pour se connecter au gestionnaire PST doit être ajouté sous Paramètres > Les utilisateurs > LDAP (full FQDN format admin_pst@aisa.nsroot.com)
Le nom d’utilisateur au format FQDN complet peut être utilisé pour la connexion au gestionnaire PST.
Remarque : Le nom du compte doit être la valeur de l’attribut iD défini dans Paramètres avancés sous Paramètres de domaine dans le panneau coulissant Services d’annuaire.
Par exemple:
Si le service AD du client n’est pas en cours d’exécution en tant que forêt, utilisez le port 389 par défaut et connectez-vous avec le nom FQDN complet.Par exemple:
- Lorsque le catalogue global (authentification au niveau de la forêt) est sélectionné pour configurer le serveur PowerStore LDAP, la valeur par défaut de l’attribut ID utilisateur sous Paramètres avancés est UserPrincipalName. Le nom du compte doit être un UserPrincipalName qui est unique et le format est username@DomainName.com
- Lorsque le catalogue global n’est pas sélectionné, la valeur par défaut de l’attribut ID utilisateur sous Paramètres avancés est sAMAccountName. Le nom du compte doit être un nom sAMAccountName.
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.