PowerStore: Alteração de segurança para login do usuário LDAP na versão 3.5
Samenvatting: Este artigo descreve um problema de LDAP após o upgrade do código do array para a versão 3.5.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
O cliente não consegue fazer log-in com o usuário LDAP no array da versão 3.5. O mesmo usuário LDAP continua trabalhando em outros arrays em execução na versão 3.2.
O LDAP é configurado com a porta padrão 389 em todos os arrays, Bind DN é configurado com sucesso e a verificação é boa.
O LDAP é configurado com a porta padrão 389 em todos os arrays, Bind DN é configurado com sucesso e a verificação é boa.
Oorzaak
Há alterações na versão 3.5. Um nome curto não funciona, o FQDN completo é necessário para fazer log-in.
Por exemplo:
O login com o nome curto continua reclamando que "a conta não foi encontrada" após ativar a porta 3268:
Por exemplo:
- O usuário obtém floresta do AD, nome de domínio filho aisa.nsroot.com e americ.nsroot.com
- O domínio LDAP é configurado como "nsroot.com", e BindDN é bind_user@aisa.nsroot.com
- O usuário faz log-in com admin_pst@aisa (nome abreviado) para o log-in do PowerStore Manager. (Full FQDN=admin_pst@aisa.nsroot.com)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]Na versão 3.5, o array relata "incompatibilidade do nome de domínio LDAP".
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com Se o usuário alterar o nome de usuário de log-in para usar o FQDN completo, o log-in continuará falhando, pois os nomes de domínio são incompatíveis com input=aisa.nsroot.com e LDAP config=nsroot.com.
O login com o nome curto continua reclamando que "a conta não foi encontrada" após ativar a porta 3268:
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
Como o AD do usuário está sendo executado no nível da floresta, devemos habilitar a porta 3268 do Catálogo global para permitir que o sistema execute a pesquisa LDAP em nomes de domínio diferentes.
O usuário pode continuar usando o mesmo domínio BindDN e LDAP.
O domínio LDAP é configurado como "nsroot.com", e BindDN é bind_user@aisa.nsroot.com.
O catálogo global deve ser verificado na configuração LDAP.
O usuário LDAP para fazer log-in no PST Manager deve ser adicionado em Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
O nome de usuário no formato FQDN completo pode ser usado para fazer log-in no PST Manager.
O usuário pode continuar usando o mesmo domínio BindDN e LDAP.
O domínio LDAP é configurado como "nsroot.com", e BindDN é bind_user@aisa.nsroot.com.
O catálogo global deve ser verificado na configuração LDAP.
O usuário LDAP para fazer log-in no PST Manager deve ser adicionado em Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
O nome de usuário no formato FQDN completo pode ser usado para fazer log-in no PST Manager.
Nota: O nome da conta deve ser o valor do atributo de ID definido em Configurações avançadas em Configurações de domínio no painel deslizante Serviços de diretório.
Por exemplo:
Se o AD do cliente não estiver sendo executado como floresta, use a porta padrão 389 e faça log-in com o nome FQDN completo.Por exemplo:
- Quando o Catálogo global (autenticação em nível de floresta) é selecionado para configurar o servidor LDAP do PowerStore, o valor padrão para Atributo de ID do usuário em Configurações avançadas é UserPrincipalName. O nome da conta deve ser um UserPrincipalName exclusivo e o formato é username@DomainName.com
- Quando o catálogo global não está selecionado, o valor padrão para o atributo de ID do usuário em Configurações avançadas é sAMAccountName. O nome da conta deve ser um sAMAccountName.
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.