PowerStore:版本 3.5 中 LDAP 用户登录的安全更改
Samenvatting: 本文介绍了阵列代码升级到版本 3.5 后的 LDAP 问题。
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
客户无法在版本 3.5 阵列上使用 LDAP 用户登录。同一 LDAP 用户将继续在版本 3.2 上运行的其他阵列上工作。
LDAP 在所有阵列上配置了默认端口 389,绑定 DN 已成功设置,验证良好。
LDAP 在所有阵列上配置了默认端口 389,绑定 DN 已成功设置,验证良好。
Oorzaak
版本 3.5 中有更改。短名称不起作用,需要完整的 FQDN 才能登录。
例如:
启用端口 3268 后,使用短名称登录时继续抱怨“未找到帐户”:
例如:
- 用户将获得 AD 林、子域名 aisa.nsroot.com 和 americ.nsroot.com
- LDAP 域配置为“nsroot.com”,并且 BindDN bind_user@aisa.nsroot.com
- 用户使用 admin_pst@aisa(短名称)登录 PowerStore Manager 登录。(完整 FQDN=admin_pst@aisa.nsroot.com)
Aug 08 06:10:12.032199 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP authentication used url is: ldap://10.XX.XX.XX:389 <<< Aug 08 06:10:12.032281 DE404123456739-B control-path[40711]: 2023-08-08 06:10:12.032 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] [CycLdapAuthUtil] create an LDAP Realm with domain name is:nsroot.com Aug 08 06:10:25.733020 DE4041123456739-B control-path[40711]: 2023-08-08 06:10:25.732 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-worker-thread-4] The number of groups this LDAP account belongs to is : 184 Aug 08 06:10:25.733147 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.733 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-worker-thread-4] [CycShiroAuthProviderImpl] LDAP account authentication with remote server succeed, user is admin_pst <<<< Aug 08 06:10:25.734903 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.734 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] No role is mapped to LDAP account: admin_pst@asia and start check group role Aug 08 06:10:25.753220 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.753 [] [INFO] [com.emc.cyclone.contexts.security.ldap.utils.LdapAuthUtil|vert.x-eventloop-thread-2] [CycLdapAuthUtil] the number of group roles this LDAP account has: 1 Aug 08 06:10:25.754623 DE404123456739-B control-path[40711]: 2023-08-08 06:10:25.754 [] [INFO] [com.emc.cyclone.contexts.security.authn.impl.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP account:admin_pst@asia has roles as: [Operator]在版本 3.5 中,阵列报告“LDAP 域名不匹配”。
Aug 08 06:10:42.363468 DE412123456722-A control-path[105947]: 2023-08-08 06:10:42.363 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] [CycShiroAuthProviderImpl] LDAP domain name mismatch: user id attribute=sAMAccountName; domain from user input=asia; LDAP config=nsroot.com 如果用户更改登录用户名以使用完整 FQDN,则登录将继续失败,因为 input=aisa.nsroot.com 和 LDAP config=nsroot.com ,域名不匹配。
启用端口 3268 后,使用短名称登录时继续抱怨“未找到帐户”:
Aug 08 06:13:12.932785 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.932 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-worker-thread-3] [CycShiroAuthProviderImpl] LDAP account authentication failed for user: admin_pst@asia url:ldap://10.XX.XX.XX:3268 search exception:Ldap search error: account not found Aug 08 06:13:12.935176 DE412123456722-A control-path[105947]: 2023-08-08 06:13:12.935 [] [ERROR] [com.emc.cyclone.contexts.security.authn.authProvider.CycShiroAuthProviderImpl|vert.x-eventloop-thread-2] LDAP account authentication failed for user: admin_pst, error:Ldap search error: account not found
Oplossing
由于用户 AD 在林级别上运行,我们必须启用全局目录端口 3268,以允许系统在不同的域名中运行 LDAP 搜索。
用户可以继续使用相同的 BindDN 和 LDAP 域。
LDAP 域配置为“nsroot.com”,并且 BindDN bind_user@aisa.nsroot.com。
必须在 LDAP 配置上检查全局目录。
登录 PST 管理器的 LDAP 用户必须添加到 Settings 下> Users > LDAP(全 FQDN 格式 admin_pst@aisa.nsroot.com)
用户名(全 FQDN 格式)可用于登录 PST 管理器。
用户可以继续使用相同的 BindDN 和 LDAP 域。
LDAP 域配置为“nsroot.com”,并且 BindDN bind_user@aisa.nsroot.com。
必须在 LDAP 配置上检查全局目录。
登录 PST 管理器的 LDAP 用户必须添加到 Settings 下> Users > LDAP(全 FQDN 格式 admin_pst@aisa.nsroot.com)
用户名(全 FQDN 格式)可用于登录 PST 管理器。
提醒:帐户名称必须是在目录服务滑出面板上的“域设置”下的“高级设置”中定义的 ID 属性的值。
例如:
如果客户 AD 未作为林运行,请使用默认端口 389 并使用完整 FQDN 名称登录。例如:
- 选择全局目录(林级身份验证)配置 PowerStore LDAP 服务器时,高级设置 下的用户 ID 属性的默认值为 UserPrincipalName 。帐户名称必须是唯一的 UserPrincipalName,格式为 username@DomainName.com
- 未选择全局目录时,高级设置 下的 用户 ID 属性的默认值为 sAMAccountName 。帐户名称必须是 sAMAccountName。
Getroffen producten
PowerStore, PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500TArtikeleigenschappen
Artikelnummer: 000216698
Artikeltype: Solution
Laatst aangepast: 15 aug. 2023
Versie: 2
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.