PowerStore: 버전 3.5에서 LDAP 사용자 로그인에 대한 보안 변경
Samenvatting: 이 문서에서는 어레이 코드를 버전 3.5로 업그레이드한 후 발생하는 LDAP 문제에 대해 설명합니다.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
고객이 버전 3.5 어레이에서 LDAP 사용자로 로그인할 수 없습니다. 동일한 LDAP 사용자가 버전 3.2에서 실행되는 다른 스토리지에서 계속 작업합니다.
LDAP는 모든 어레이에서 기본 포트 389로 구성되고, Bind DN이 성공적으로 설정되었으며, 검증이 양호합니다.
LDAP는 모든 어레이에서 기본 포트 389로 구성되고, Bind DN이 성공적으로 설정되었으며, 검증이 양호합니다.
Oorzaak
릴리스 3.5에는 변경 사항이 있습니다. 짧은 이름이 작동하지 않고 전체 FQDN이 로그인해야 합니다.
예를 들어:
포트 3268을 활성화한 후에도 짧은 이름으로 로그인하여 "계정을 찾을 수 없습니다"라는 불만을 계속 제기합니다.
예를 들어:
- 사용자가 AD 포리스트, 하위 도메인 이름 aisa.nsroot.com 및 americ.nsroot.com 가져옵니다.
- LDAP 도메인이 "nsroot.com"로 구성되고 BindDN이 bind_user@aisa.nsroot.com
- 사용자는 PowerStore Manager 로그인에 대한 admin_pst@aisa(짧은 이름)로 로그인합니다. ( 전체 FQDN=admin_pst@aisa.nsroot.com)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]버전 3.5에서 어레이는 "LDAP 도메인 이름 불일치"를 보고합니다.
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com 사용자가 전체 FQDN을 사용하도록 로그인 사용자 이름을 변경하면 input=aisa.nsroot.com 및 LDAP config=nsroot.com으로 로그인이 계속 실패합니다. 도메인 이름이 일치하지 않습니다.
포트 3268을 활성화한 후에도 짧은 이름으로 로그인하여 "계정을 찾을 수 없습니다"라는 불만을 계속 제기합니다.
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
사용자 AD가 포리스트 레벨에서 실행 중이므로 글로벌 카탈로그 포트 3268을 활성화하여 시스템이 다른 도메인 이름으로 LDAP 검색을 실행할 수 있도록 해야 합니다.
사용자는 동일한 BindDN 및 LDAP 도메인을 계속 사용할 수 있습니다.
LDAP 도메인이 "nsroot.com"로 구성되고 BindDN이 bind_user@aisa.nsroot.com.
글로벌 카탈로그는 LDAP 구성에서 확인해야 합니다.
로그인할 LDAP 사용자가 Settings > Users > LDAP(Full FQDN format admin_pst@aisa.nsroot.com)
아래에 추가되어야 합니다. 전체 FQDN 형식의 사용자 이름은 로그인 PST 관리자에 사용할 수 있습니다.
사용자는 동일한 BindDN 및 LDAP 도메인을 계속 사용할 수 있습니다.
LDAP 도메인이 "nsroot.com"로 구성되고 BindDN이 bind_user@aisa.nsroot.com.
글로벌 카탈로그는 LDAP 구성에서 확인해야 합니다.
로그인할 LDAP 사용자가 Settings > Users > LDAP(Full FQDN format admin_pst@aisa.nsroot.com)
아래에 추가되어야 합니다. 전체 FQDN 형식의 사용자 이름은 로그인 PST 관리자에 사용할 수 있습니다.
참고: 계정 이름은 디렉토리 서비스 슬라이드 아웃 패널의 도메인 설정 아래 고급 설정에 정의된 ID 속성의 값이어야 합니다.
예를 들어:
고객 AD가 포리스트로 실행되지 않는 경우 기본 포트 389를 사용하고 전체 FQDN 이름으로 로그인합니다.예를 들어:
- PowerStore LDAP 서버를 구성하기 위해 Global Catalog(포리스트 레벨 인증)를 선택한 경우 Advanced Settings에서 사용자 ID 속성의 기본값은 UserPrincipalName입니다. 계정 이름은 고유한 UserPrincipalName이어야 하며 형식은 username@DomainName.com
- 글로벌 카탈로그를 선택하지 않으면 고급 설정에서 사용자 ID 속성의 기본값은 sAMAccountName입니다. 계정 이름은 sAMAccountName이어야 합니다.
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.