PowerStore: Sürüm 3.5'te LDAP Kullanıcı Oturumu Açma İçin Güvenlik Değişikliği
Samenvatting: Bu makalede, dizi kodu sürüm 3.5'e yükseltildikten sonra bir LDAP sorunu açıklanmaktadır.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
Müşteri, sürüm 3.5 dizide LDAP kullanıcısı ile oturum açamıyor. Aynı LDAP kullanıcısı, sürüm 3.2'de çalışan diğer diziler üzerinde çalışmaya devam eder.
LDAP, tüm dizilerde varsayılan bağlantı noktası 389 ile yapılandırılmıştır, Bağlama DN başarıyla ayarlanmıştır ve doğrulama iyi durumdadır.
LDAP, tüm dizilerde varsayılan bağlantı noktası 389 ile yapılandırılmıştır, Bağlama DN başarıyla ayarlanmıştır ve doğrulama iyi durumdadır.
Oorzaak
Sürüm 3.5'te değişiklikler var. Kısa ad çalışmıyor, oturum açma için tam FQDN gereklidir.
Örneğin:
Kısa adla oturum açma işlemi, bağlantı noktası 3268'i etkinleştirdikten sonra "hesap bulunamadı" mesajından şikayetçi olmaya devam ediyor:
Örneğin:
- Kullanıcı AD ormanı, alt etki alanı adı aisa.nsroot.com ve americ.nsroot.com
- LDAP etki alanı "nsroot.com" olarak yapılandırılmış ve BindDN bind_user@aisa.nsroot.com
- Kullanıcı, PowerStore Manager admin_pst@aisa (kısa ad) ile oturum açar. (Tam FQDN=admin_pst@aisa.nsroot.com)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]3.5 sürümünde, dizi "LDAP etki alanı adı uyumsuzluğu" bildirer.
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com Kullanıcı, tam FQDN'yi kullanmak için oturum açma kullanıcı adını değiştirirse input=aisa.nsroot.com ve LDAP config=nsroot.com olarak oturum açma işlemi başarısız olmaya devam eder. Etki alanı adları uyumsuzdur.
Kısa adla oturum açma işlemi, bağlantı noktası 3268'i etkinleştirdikten sonra "hesap bulunamadı" mesajından şikayetçi olmaya devam ediyor:
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
Kullanıcı AD'si orman düzeyinde çalışırken sistemin farklı etki alanı adlarında LDAP araması çalıştırması için Genel Katalog bağlantı noktası 3268'i etkinleştirmemiz gerekir.
Kullanıcı aynı BindDN ve LDAP etki alanının kullanımına devam eder.
LDAP etki alanı "nsroot.com" olarak yapılandırılmış ve BindDN bind_user@aisa.nsroot.com.
Genel Katalog LDAP yapılandırmasında kontrol edilmelidir.
PST yöneticisinde oturum açmak için LDAP kullanıcısı, Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com) (Tam FQDN biçimi admin_pst@aisa.nsroot.com)
altına eklenmiştir. Pst yöneticisi oturum açmak için Kullanıcı adı Tam FQDN biçiminde kullanılabilir.
Kullanıcı aynı BindDN ve LDAP etki alanının kullanımına devam eder.
LDAP etki alanı "nsroot.com" olarak yapılandırılmış ve BindDN bind_user@aisa.nsroot.com.
Genel Katalog LDAP yapılandırmasında kontrol edilmelidir.
PST yöneticisinde oturum açmak için LDAP kullanıcısı, Settings > Users > LDAP (Full FQDN format admin_pst@aisa.nsroot.com) (Tam FQDN biçimi admin_pst@aisa.nsroot.com)
altına eklenmiştir. Pst yöneticisi oturum açmak için Kullanıcı adı Tam FQDN biçiminde kullanılabilir.
NOT: Hesap adı, Dizin Hizmetleri açılır panelindeki Etki Alanı Ayarları altındaki Gelişmiş Ayarlar'da tanımlanan Kimlik Özniteliğinin değeri olmalıdır.
Örneğin:
Müşteri AD'si orman olarak çalışmıyorsa varsayılan bağlantı noktası 389'u kullanın ve Tam FQDN adı ile oturum açın.Örneğin:
- PowerStore LDAP sunucusunu yapılandırmak için Genel Katalog (orman düzeyinde kimlik doğrulaması) seçildiğinde, Advanced Settings (Gelişmiş Ayarlar) altında UserPrincipalName (Kullanıcı Kimliği Özniteliği) için varsayılan değer UserPrincipalName'dir. Hesap Adı benzersiz olan bir UserPrincipalName olmalıdır ve biçim username@DomainName.com
- Genel Katalog seçili değilse Gelişmiş Ayarlar altındaki Kullanıcı Kimliği Özniteliği için varsayılan değer sAMAccountName'dir. Hesap Adı bir sAMAccountName'dır.
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.