PowerStore. Изменение безопасности для входа пользователя LDAP в версии 3.5
Samenvatting: В этой статье описывается проблема LDAP после обновления кода массива до версии 3.5.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
Заказчик не может войти в систему с пользователем LDAP в массиве версии 3.5. Тот же пользователь LDAP продолжает работать на других массивах, работающих под управлением версии 3.2.
LDAP настроен с портом 389 по умолчанию на всех массивах, bind DN настроен успешно и проверка исправна.
LDAP настроен с портом 389 по умолчанию на всех массивах, bind DN настроен успешно и проверка исправна.
Oorzaak
Изменения внесены в выпуск 3.5. Короткое имя не работает, для входа требуется полное доменное имя.
Например:
Войдите с коротким именем и продолжает жаловаться на то, что «учетная запись не найдена» после включения порта 3268:
Например:
- Пользователь получает лес AD, имя дочерного домена aisa.nsroot.com и americ.nsroot.com
- Домен LDAP настроен как «nsroot.com», а bindDN bind_user@aisa.nsroot.com
- Пользователь войдите в систему с admin_pst@aisa (короткое имя) для входа в PowerStore Manager. (Полный FQDN=admin_pst@aisa.nsroot.com)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]В версии 3.5 массив сообщает о несоответствии доменного имени LDAP.
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com Если пользователь изменяет имя пользователя для использования полного FQDN, вход в систему продолжает завершать сбоем, так как input=aisa.nsroot.com и LDAP config=nsroot.com, доменные имена несовпадения.
Войдите с коротким именем и продолжает жаловаться на то, что «учетная запись не найдена» после включения порта 3268:
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
Поскольку AD пользователя работает на уровне леса, необходимо включить порт глобального каталога 3268, чтобы система запускала поиск LDAP в разных доменных именах.
Пользователь может продолжать использовать те же домены BindDN и LDAP.
Домен LDAP настроен как «nsroot.com», а bindDN bind_user@aisa.nsroot.com.
В конфигурации LDAP необходимо проверить глобальный каталог.
Для входа в диспетчер PST необходимо добавить пользователя LDAP в разделе Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
Имя пользователя в формате Full FQDN можно использовать для входа в PST Manager.
Пользователь может продолжать использовать те же домены BindDN и LDAP.
Домен LDAP настроен как «nsroot.com», а bindDN bind_user@aisa.nsroot.com.
В конфигурации LDAP необходимо проверить глобальный каталог.
Для входа в диспетчер PST необходимо добавить пользователя LDAP в разделе Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
Имя пользователя в формате Full FQDN можно использовать для входа в PST Manager.
ПРИМЕЧАНИЕ. Имя учетной записи должно быть значением атрибута идентификатора, определенного в разделе Дополнительные параметры в разделе Параметры домена на выдвижной панели Службы каталогов.
Например:
Если AD заказчика не работает в лесу, используйте порт 389 по умолчанию и войдите с полным именем FQDN.Например:
- Если для настройки сервера PowerStore LDAP выбран глобальный каталог (аутентификация на уровне леса), значение по умолчанию для атрибута идентификатора пользователя в разделе Дополнительные параметры — UserPrincipalName. Имя учетной записи должно быть userPrincipalName, уникальным, а формат должен быть username@DomainName.com
- Если параметр «Глобальный каталог» не выбран, значение по умолчанию для атрибута идентификатора пользователя в разделе «Дополнительные параметры» — sAMAccountName. Имя учетной записи должно быть sAMAccountName.
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.