PowerStore: Säkerhetsändring för LDAP-användarinloggning i version 3.5
Samenvatting: I den här artikeln beskrivs ett LDAP-problem efter att disksystemkoden har uppgraderats till version 3.5.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
Kunden kan inte logga in med LDAP-användare på version 3.5-disksystemet. Samma LDAP-användare fortsätter att fungera på andra disksystem som körs på version 3.2.
LDAP har konfigurerats med standardport 389 på alla disksystem, Bind DN har konfigurerats och verifieringen är bra.
LDAP har konfigurerats med standardport 389 på alla disksystem, Bind DN har konfigurerats och verifieringen är bra.
Oorzaak
Det finns ändringar i version 3.5. Ett kortnamn fungerar inte. Fullständig FQDN krävs för inloggning.
Exempel:
Logga in med kortnamnet och klagar fortfarande på att "account is not found" efter aktivering av port 3268:
Exempel:
- Användaren hämtar AD-skog, underordnat domännamn aisa.nsroot.com och americ.nsroot.com
- LDAP-domänen är konfigurerad som "nsroot.com" och BindDN är bind_user@aisa.nsroot.com
- Användaren loggar in med admin_pst@aisa (kortnamn) för PowerStore Manager-inloggning. (Full FQDN=admin_pst@aisa.nsroot.com)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]I version 3.5 rapporterar disksystemet "LDAP-domännamnsfel".
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com Om användaren ändrar användarnamnet för inloggning för att använda fullständig FQDN fortsätter inloggningen att misslyckas eftersom input=aisa.nsroot.com och LDAP config=nsroot.com, domännamnen inte matchar.
Logga in med kortnamnet och klagar fortfarande på att "account is not found" efter aktivering av port 3268:
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
Eftersom användar-AD körs på forest level måste vi aktivera Global Catalog port 3268 för att systemet ska kunna köra LDAP-sökning i olika domännamn.
Användaren kan fortsätta att använda samma BindDN- och LDAP-domän.
LDAP-domänen har konfigurerats som "nsroot.com" och BindDN är bind_user@aisa.nsroot.com.
Den globala katalogen måste kontrolleras i LDAP-konfigurationen.
LDAP-användare för att logga in på PST Manager måste läggas till under Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
User name in Full FQDN format can be used for login PST Manager.
Användaren kan fortsätta att använda samma BindDN- och LDAP-domän.
LDAP-domänen har konfigurerats som "nsroot.com" och BindDN är bind_user@aisa.nsroot.com.
Den globala katalogen måste kontrolleras i LDAP-konfigurationen.
LDAP-användare för att logga in på PST Manager måste läggas till under Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com)
User name in Full FQDN format can be used for login PST Manager.
Obs! Kontonamnet måste vara värdet på det ID-attribut som definierats i Avancerade inställningar under Domäninställningar på panelen Katalogtjänster.
Exempel:
Om kundens AD inte körs som skog använder du standardport 389 och loggar in med det fullständiga FQDN-namnet.Exempel:
- När Global Catalog (autentisering på forest-nivå) väljs för att konfigurera PowerStore LDAP-servern är standardvärdet för User ID Attribute under Advanced Settings UserPrincipalName. Kontonamnet måste vara ett UserPrincipalName som är unikt och formatet är username@DomainName.com
- När Global Catalog inte är markerat är standardvärdet för användar-ID-attributet under Advanced Settings sAMAccountName. Kontonamnet måste vara ett sAMAccountName.
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.