PowerStore: Zmiana zabezpieczeń logowania użytkownika LDAP w wersji 3.5
Samenvatting: W tym artykule opisano problem LDAP po uaktualnieniu kodu macierzy do wersji 3.5.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
Klient nie może zalogować się przy użyciu użytkownika LDAP w macierzy w wersji 3.5. Ten sam użytkownik LDAP nadal pracuje na innych macierzach pracujących w wersji 3.2.
Protokół LDAP jest skonfigurowany z domyślnym portem 389 we wszystkich macierzach, funkcja Bind DN została pomyślnie skonfigurowana, a weryfikacja jest dobra.
Protokół LDAP jest skonfigurowany z domyślnym portem 389 we wszystkich macierzach, funkcja Bind DN została pomyślnie skonfigurowana, a weryfikacja jest dobra.
Oorzaak
W wersji 3.5 zaszła zmiana. Krótka nazwa nie działa, do zalogowania się wymagana jest pełna nazwa FQDN.
Na przykład:
Logowanie przy użyciu krótkiej nazwy nadal skarży się na to, że "nie znaleziono konta" po włączeniu portu 3268:
Na przykład:
- Użytkownik otrzymuje las AD, nazwę domeny podrzędnej aisa.nsroot.com i americ.nsroot.com
- Domena LDAP jest skonfigurowana jako "nsroot.com", a BindDN jest bind_user@aisa.nsroot.com
- Użytkownik loguje się przy użyciu admin_pst@aisa (skróconej nazwy) w celu zalogowania się do programu PowerStore Manager. (Pełny FQDN=admin_pst@aisa.nsroot.com)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]W wersji 3.5 macierz zgłasza "niezgodność nazw domen LDAP".
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com Jeśli użytkownik zmieni nazwę użytkownika logowania, aby użyć pełnej nazwy FQDN, logowanie nadal nie powiodło się, ponieważ nazwy domen są niezgodne.
Logowanie przy użyciu krótkiej nazwy nadal skarży się na to, że "nie znaleziono konta" po włączeniu portu 3268:
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
Ponieważ usługa AD użytkownika działa na poziomie lasu, musimy włączyć port wykazu globalnego 3268, aby umożliwić systemowi uruchamianie wyszukiwania LDAP w różnych nazwach domen.
Użytkownik może nadal korzystać z tej samej domeny BindDN i LDAP.
Domena LDAP jest skonfigurowana jako "nsroot.com", a binddn jest bind_user@aisa.nsroot.com.
W konfiguracji LDAP należy sprawdzić katalog globalny.
Użytkownik LDAP, aby zalogować się do menedżera PST, musi zostać dodany w sekcji Ustawienia > Użytkownicy > LDAP (pełny format FQDN admin_pst@aisa.nsroot.com)
Nazwę użytkownika w pełnym formacie FQDN można używać do logowania menedżera PST.
Użytkownik może nadal korzystać z tej samej domeny BindDN i LDAP.
Domena LDAP jest skonfigurowana jako "nsroot.com", a binddn jest bind_user@aisa.nsroot.com.
W konfiguracji LDAP należy sprawdzić katalog globalny.
Użytkownik LDAP, aby zalogować się do menedżera PST, musi zostać dodany w sekcji Ustawienia > Użytkownicy > LDAP (pełny format FQDN admin_pst@aisa.nsroot.com)
Nazwę użytkownika w pełnym formacie FQDN można używać do logowania menedżera PST.
UWAGA: Nazwa konta musi być wartością atrybutu identyfikatora zdefiniowanego w ustawieniach zaawansowanych w sekcji Ustawienia domeny w panelu wysuwanym Usług katalogowych.
Na przykład:
Jeśli usługa AD klienta nie jest uruchomiona jako las, użyj domyślnego portu 389 i zaloguj się przy użyciu pełnej nazwy FQDN.Na przykład:
- Po wybraniu katalogu globalnego (uwierzytelnianie na poziomie lasu) do konfigurowania serwera PowerStore LDAP domyślną wartością atrybutu identyfikatora użytkownika w ustawieniach zaawansowanych jest Nazwa użytkownika. Nazwa konta musi być nazwą UserPrincipalName unikatową, a format username@DomainName.com
- Jeśli nie wybrano katalogu globalnego, wartością domyślną atrybutu identyfikatora użytkownika w sekcji Ustawienia zaawansowane jest sAMAccountName. Nazwa konta musi być nazwą sAMAccountName.
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.