PowerStore: Зміна безпеки для входу користувача LDAP у версії 3.5
Samenvatting: У цій статті описується проблема LDAP після оновлення коду масиву до версії 3.5.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
Клієнт не може увійти з користувачем LDAP на масиві версії 3.5. Той же користувач LDAP продовжує працювати над іншими масивами, що працюють на версії 3.2.
LDAP налаштований з портом 389 за замовчуванням на всіх масивах, Bind DN налаштований успішно, і перевірка хороша.
LDAP налаштований з портом 389 за замовчуванням на всіх масивах, Bind DN налаштований успішно, і перевірка хороша.
Oorzaak
Є зміни і в релізі 3.5. Коротка назва не працює, для входу потрібен повний FQDN.
Наприклад:
Логін з коротким ім'ям продовжує скаржитися на те, що "обліковий запис не знайдено" після включення порту 3268:
Наприклад:
- Користувач отримує ліс оголошень, aisa.nsroot.com дочірнього доменного імені та americ.nsroot.com
- Домен LDAP налаштовано як "nsroot.com", а BindDN - як bind_user@aisa.nsroot.com
- Користувач входить у систему за допомогою admin_pst@aisa (короткого імені) для входу в PowerStore Manager. (Повний FQDN=admin_pst@aisa.nsroot.com)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]У версії 3.5 масив повідомляє про "невідповідність доменного імені LDAP".
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com Якщо користувач змінює ім'я користувача для входу, щоб використовувати повний FQDN, вхід продовжує зазнавати невдачі, оскільки input=aisa.nsroot.com та LDAP config=nsroot.com, доменні імена не збігаються.
Логін з коротким ім'ям продовжує скаржитися на те, що "обліковий запис не знайдено" після включення порту 3268:
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
Оскільки AD користувача працює на рівні лісу, ми повинні ввімкнути порт глобального каталогу 3268, щоб дозволити системі запускати пошук LDAP у різних доменних іменах.
Користувач може продовжувати використовувати той самий домен BindDN та LDAP.
Домен LDAP налаштовано як "nsroot.com", а BindDN - bind_user@aisa.nsroot.com.
Глобальний каталог повинен бути перевірений на конфігурацію LDAP.
Менеджер PST для входу користувача LDAP потрібно додати в розділі Налаштування > Користувачі > LDAP (Повний формат FQDN admin_pst@aisa.nsroot.com)
Ім'я користувача у форматі Full FQDN можна використовувати для входу в менеджер PST.
Користувач може продовжувати використовувати той самий домен BindDN та LDAP.
Домен LDAP налаштовано як "nsroot.com", а BindDN - bind_user@aisa.nsroot.com.
Глобальний каталог повинен бути перевірений на конфігурацію LDAP.
Менеджер PST для входу користувача LDAP потрібно додати в розділі Налаштування > Користувачі > LDAP (Повний формат FQDN admin_pst@aisa.nsroot.com)
Ім'я користувача у форматі Full FQDN можна використовувати для входу в менеджер PST.
ПРИМІТКА: Ім'я облікового запису має відповідати значенню атрибута ID, визначеного в меню Додаткові настройки в розділі Параметри домену на висувній панелі Служби каталогів.
Наприклад:
Якщо клієнтське оголошення не працює як ліс, використовуйте порт 389 за умовчанням і ввійдіть під повним іменем FQDN.Наприклад:
- Якщо для настроювання сервера PowerStore LDAP вибрано значення Глобальний каталог (автентифікація на рівні лісу), значення за промовчанням для атрибута User ID в розділі Додаткові параметри – UserPrincipalName. Ім'я облікового запису має бути унікальним UserPrincipalName, а формат – username@DomainName.com
- Якщо параметр Глобальний каталог не вибрано, значення за промовчанням для атрибута User ID в розділі Додаткові настройки — sAMAccountName. Ім'я облікового запису має бути атрибутом sAMAccountName.
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.