PowerStore: Modifica della sicurezza per l'accesso utente LDAP alla versione 3.5
Samenvatting: Questo articolo descrive un problema LDAP dopo l'aggiornamento del codice dell'array alla versione 3.5.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
Il cliente non è in grado di effettuare l'accesso con l'utente LDAP sull'array versione 3.5. Lo stesso utente LDAP continua a lavorare su altri array in esecuzione nella versione 3.2.
LDAP è configurato con la porta predefinita 389 su tutti gli array, Bind DN è impostato correttamente e la verifica è buona.
LDAP è configurato con la porta predefinita 389 su tutti gli array, Bind DN è impostato correttamente e la verifica è buona.
Oorzaak
Sono presenti modifiche nella release 3.5. Un nome breve non funziona, è necessario l'FQDN completo per accedere.
Per esempio:
L'accesso con il nome breve continua a lamentarsi del fatto che "account is not found" dopo l'abilitazione della porta 3268:
Per esempio:
- L'utente ottiene una foresta AD, un nome di dominio figlio aisa.nsroot.com e americ.nsroot.com
- Il dominio LDAP è configurato come "nsroot.com" e bindDN è bind_user@aisa.nsroot.com
- L'utente effettua l'accesso con admin_pst@aisa (nome breve) per l'accesso a PowerStore Manager. ( FQDN=admin_pst@aisa.nsroot.com completa)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]Nella versione 3.5, l'array riporta "LDAP domain name mismatch".
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com Se l'utente modifica il nome utente di accesso per utilizzare l'FQDN completo, l'accesso continua a non riuscire poiché input=aisa.nsroot.com e LDAP config=nsroot.com, i nomi di dominio non corrispondono.
L'accesso con il nome breve continua a lamentarsi del fatto che "account is not found" dopo l'abilitazione della porta 3268:
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
Poiché AD dell'utente è in esecuzione a livello di foresta, è necessario abilitare la porta 3268 del catalogo globale per consentire al sistema di eseguire la ricerca LDAP in nomi di dominio diversi.
L'utente può continuare a utilizzare lo stesso dominio BindDN e LDAP.
Il dominio LDAP è configurato come "nsroot.com" e bindDN è bind_user@aisa.nsroot.com.
Il catalogo globale deve essere controllato nella configurazione LDAP.
L'utente LDAP per accedere a Pst Manager deve essere aggiunto in Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
È possibile utilizzare il nome utente nel formato FQDN completo per accedere alla gestione PST.
L'utente può continuare a utilizzare lo stesso dominio BindDN e LDAP.
Il dominio LDAP è configurato come "nsroot.com" e bindDN è bind_user@aisa.nsroot.com.
Il catalogo globale deve essere controllato nella configurazione LDAP.
L'utente LDAP per accedere a Pst Manager deve essere aggiunto in Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
È possibile utilizzare il nome utente nel formato FQDN completo per accedere alla gestione PST.
NOTA: Il nome dell'account deve essere il valore dell'attributo ID definito in Impostazioni avanzate in Impostazioni dominio nel pannello a scorrimento Servizi directory.
Per esempio:
Se AD del cliente non è in esecuzione come foresta, utilizzare la porta predefinita 389 ed effettuare l'accesso con il nome di dominio completo.Per esempio:
- Quando è selezionato Global Catalog (autenticazione a livello di foresta) per la configurazione del server LDAP PowerStore, il valore predefinito per User ID Attribute in Advanced Settings è UserPrincipalName. Il nome account deve essere un UserPrincipalName univoco e il formato è username@DomainName.com
- Se Global Catalog non è selezionato, il valore predefinito per User ID Attribute in Advanced Settings è sAMAccountName. Il nome dell'account deve essere un sAMAccountName.
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.