PowerStore:LDAP 使用者登入版本 3.5 的安全性變更
Samenvatting: 本文說明陣列代碼升級至 3.5 版後的 LDAP 問題。
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
客戶無法使用 3.5 版陣列上的 LDAP 使用者登入。相同的 LDAP 使用者會繼續在執行版本 3.2 的其他陣列上工作。
LDAP 在所有陣列上都使用預設埠 389 進行設定,已成功設定系結 DN,且驗證狀況良好。
LDAP 在所有陣列上都使用預設埠 389 進行設定,已成功設定系結 DN,且驗證狀況良好。
Oorzaak
版本 3.5 有變更。短名稱無法運作,需要完整 FQDN 才能登入。
例如:
啟用埠 3268 後,使用短名稱登入會繼續抱怨「帳戶找不到」:
例如:
- 使用者可取得 AD 林地、子功能變數名稱 aisa.nsroot.com,以及 americ.nsroot.com
- LDAP 網域設定為「nsroot.com」,且系結DN 已 bind_user@aisa.nsroot.com
- 使用者以 admin_pst@aisa (簡短名稱) 登入 PowerStore Manager 登入。(完整 FQDN=admin_pst@aisa.nsroot.com)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]在版本 3.5 中,陣列回報「LDAP 功能變數名稱不相符」。
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com 如果使用者變更登入使用者名稱以使用 Full FQDN,登入會繼續失敗,因為 input=aisa.nsroot.com 和 LDAP config=nsroot.com 的功能變數名稱不相符。
啟用埠 3268 後,使用短名稱登入會繼續抱怨「帳戶找不到」:
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
由於使用者 AD 是在林層級執行,我們必須啟用全域目錄埠 3268,讓系統以不同的功能變數名稱執行 LDAP 搜尋。
使用者可以繼續使用相同的系結DN 和 LDAP 網域。
LDAP 網域設定為「nsroot.com」,且系結DN 為 bind_user@aisa.nsroot.com。
必須在 LDAP 組態上檢查全域目錄。
登入 PST 管理員的 LDAP 使用者必須在「Settings」下新增>使用者> LDAP (完整 FQDN 格式 admin_pst@aisa.nsroot.com)
使用者名稱,才能使用完整 FQDN 格式登入 PST 管理員。
使用者可以繼續使用相同的系結DN 和 LDAP 網域。
LDAP 網域設定為「nsroot.com」,且系結DN 為 bind_user@aisa.nsroot.com。
必須在 LDAP 組態上檢查全域目錄。
登入 PST 管理員的 LDAP 使用者必須在「Settings」下新增>使用者> LDAP (完整 FQDN 格式 admin_pst@aisa.nsroot.com)
使用者名稱,才能使用完整 FQDN 格式登入 PST 管理員。
注意:帳戶名稱必須是「進階設定」中所定義之「目錄服務」滑出面板的「網域設定」底下 ID 屬性的值。
例如:
如果客戶 AD 未以林登入狀態,請使用預設埠 389,並以完整 FQDN 名稱登入。例如:
- 選取用於設定 PowerStore LDAP 伺服器的全域目錄 (省域層級驗證) 時,進階設定下的使用者 ID 屬性預設值為 UserPrincipalName。帳戶名稱必須是唯一的 UserPrincipalName,格式 username@DomainName.com
- 未選取全域目錄時,「進階設定」底下的使用者 ID 屬性預設值為 sAMAccountName。帳戶名稱必須是 sAMAccountName。
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.