PowerStore:バージョン3.5でのLDAPユーザー ログインのセキュリティ変更
Samenvatting: この記事では、アレイ コードをバージョン3.5にアップグレードした後のLDAPの問題について説明します。
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
お客様は、バージョン3.5アレイでLDAPユーザーを使用してログインできません。同じLDAPユーザーは、バージョン3.2で実行されている他のアレイでも引き続き動作します。
LDAPはすべてのアレイでデフォルト ポート389で構成され、バインドDNは正常にセットアップされ、検証は正常です。
LDAPはすべてのアレイでデフォルト ポート389で構成され、バインドDNは正常にセットアップされ、検証は正常です。
Oorzaak
リリース3.5には変更があります。短い名前は機能しません。ログインするには完全なFQDNが必要です。
例えば:
短い名前でログインすると、ポート3268を有効にした後も「account is not found」という苦情が続きます。
例えば:
- ユーザーは、ADフォレスト、子ドメイン名 aisa.nsroot.com、americ.nsroot.com を取得します。
- LDAPドメインは「nsroot.com」として構成され、BindDNは bind_user@aisa.nsroot.com
- ユーザーは、PowerStore Managerにログインするためにadmin_pst@aisa(短い名前)でログインします。(フル FQDN=admin_pst@aisa.nsroot.com)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]バージョン3.5では、アレイは「LDAPドメイン名の不一致」を報告します。
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com ユーザーがフルFQDNを使用するようにログイン ユーザー名を変更した場合、input=aisa.nsroot.com とLDAP config=nsroot.com のドメイン名が一致しなくなります。ログインは失敗し続けます。
短い名前でログインすると、ポート3268を有効にした後も「account is not found」という苦情が続きます。
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
ユーザーADがフォレスト レベルで実行されているため、グローバル カタログ ポート3268を有効にして、システムが異なるドメイン名でLDAP検索を実行できるようにする必要があります。
ユーザーは引き続き同じバインドDNとLDAPドメインを使用できます。
LDAPドメインは「nsroot.com」として構成され、BindDNは bind_user@aisa.nsroot.com。
グローバル カタログは、LDAP構成でチェックする必要があります。
PSTマネージャーにログインするためのLDAPユーザーは、 Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
の下に追加する必要があります。フルFQDN形式のユーザー名は、ログインPSTマネージャーに使用できます。
ユーザーは引き続き同じバインドDNとLDAPドメインを使用できます。
LDAPドメインは「nsroot.com」として構成され、BindDNは bind_user@aisa.nsroot.com。
グローバル カタログは、LDAP構成でチェックする必要があります。
PSTマネージャーにログインするためのLDAPユーザーは、 Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
の下に追加する必要があります。フルFQDN形式のユーザー名は、ログインPSTマネージャーに使用できます。
メモ: アカウント名は、ディレクトリ サービスのスライド アウト パネルの[ドメイン設定]の[詳細設定]で定義されているID属性の値である必要があります。
例えば:
お客様のADがフォレストとして実行されていない場合は、デフォルトのポート389を使用してフルFQDN名でログインします。例えば:
- PowerStore LDAPサーバーを構成するためにグローバル カタログ(フォレスト レベル認証)が選択されている場合、[ 詳細設定 ]の[ ユーザーID属性 ]のデフォルト値はUserPrincipalNameです。アカウント名は一意のUserPrincipalNameである必要があり、形式は username@DomainName.com
- グローバルカタログ が選択されていない場合、 詳細設定 のユーザー ID 属性 のデフォルト値は sAMAccountName です。アカウント名はsAMAccountNameである必要があります。
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.