PowerStore: Sikkerhetsendring for LDAP-brukerpålogging i versjon 3.5
Samenvatting: Denne artikkelen beskriver et LDAP-problem etter at arraykoden er oppgradert til versjon 3.5.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
Kunden kan ikke logge på med LDAP-bruker på versjon 3.5-arrayet. Den samme LDAP-brukeren fortsetter å arbeide på andre matriser som kjører på versjon 3.2.
LDAP er konfigurert med standardport 389 på alle matriser, Bind DN er konfigurert og verifiseringen fungerer.
LDAP er konfigurert med standardport 389 på alle matriser, Bind DN er konfigurert og verifiseringen fungerer.
Oorzaak
Det er endringer i versjon 3.5. Et kort navn fungerer ikke, full FQDN er nødvendig for å logge på.
For eksempel:
Pålogging med det korte navnet fortsetter å klager over at "account is not found" etter aktivering av port 3268:
For eksempel:
- Brukeren får AD-skog, underordnet domenenavn aisa.nsroot.com og americ.nsroot.com
- LDAP-domenet er konfigurert som «nsroot.com», og BindDN er bind_user@aisa.nsroot.com
- Brukeren logger på med admin_pst@aisa (kort navn) for PowerStore Manager-pålogging. (Full FQDN=admin_pst@aisa.nsroot.com)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]I versjon 3.5 rapporterer arrayet «manglende samsvar i LDAP-domenenavn».
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com Hvis brukeren endrer påloggingsbrukernavnet for å bruke full FQDN, fortsetter påloggingen å mislykkes som input=aisa.nsroot.com og LDAP config=nsroot.com, domenenavn er ikke samsvarende.
Pålogging med det korte navnet fortsetter å klager over at "account is not found" etter aktivering av port 3268:
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
Siden bruker-AD kjører på skogsnivå, må vi aktivere global katalogport 3268 for at systemet skal kunne kjøre LDAP-søk i forskjellige domenenavn.
Brukeren kan fortsette å bruke samme BindDN- og LDAP-domene.
LDAP-domenet er konfigurert som «nsroot.com», og BindDN er bind_user@aisa.nsroot.com.
Den globale katalogen må kontrolleres på LDAP-konfigurasjonen.
LDAP-brukeren for å logge på PST Manager må legges til under Settings (Innstillinger ) > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
User name in Full FQDN format can be used for login PST manager (Brukernavn i full FQDN-format kan brukes til påloggings-PST-behandling).
Brukeren kan fortsette å bruke samme BindDN- og LDAP-domene.
LDAP-domenet er konfigurert som «nsroot.com», og BindDN er bind_user@aisa.nsroot.com.
Den globale katalogen må kontrolleres på LDAP-konfigurasjonen.
LDAP-brukeren for å logge på PST Manager må legges til under Settings (Innstillinger ) > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
User name in Full FQDN format can be used for login PST manager (Brukernavn i full FQDN-format kan brukes til påloggings-PST-behandling).
MERK: Kontonavnet må være verdien av ID-attributtet som er definert i Advanced Settings (Avanserte innstillinger) under Domain Settings (Domeneinnstillinger) på panelet Directory Services (Katalogtjenester
).For eksempel:
Hvis kundens AD ikke kjører som skog, bruker du standardport 389 og logger på med fullstendig FQDN-navn.).For eksempel:
- Når global katalog (godkjenning på skogsnivå) er valgt for konfigurering av PowerStore LDAP-serveren, er standardverdien for bruker-ID-attributtet under Advanced Settings (Avanserte innstillinger) UserPrincipalName. Kontonavnet må være et UserPrincipalName som er unikt, og formatet er username@DomainName.com
- Når global katalog ikke er valgt, er standardverdien for bruker-ID-attributtet under Advanced Settings (Avanserte innstillinger) sAMAccountName. Kontonavnet må være et sAMAccountName.
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.