XtremIO: Chyba konfigurace LDAP při použití zabezpečeného kanálu ldaps
Summary: Při konfiguraci ověřování LDAP pomocí protokolu ldaps pro externí uživatele může dojít k chybám ověření.
Acest articol se aplică pentru
Acest articol nu se aplică pentru
Acest articol nu este legat de un produs specific.
Acest articol nu acoperă toate versiunile de produs existente.
Symptoms
Pozadí
V některých případech, kdy zákazník konfiguruje ověřování LDAP pro externí uživatele, může dojít k chybám ověření.
Tento problém může mít vliv na následující prostředí XtremIO:
- Software Dell EMC: XtremIO 6.3.2 a novější.
Problém
Pokud zákazník konfiguruje ověřování LDAP pro externí uživatele, mohou se chyby ověření vyskytnout za všech následujících podmínek:
- Server LDAP slouží prostřednictvím zabezpečeného kanálu ldaps namísto ldap.
- V souboru /etc/openldap/ldap.conf existuje položka konfigurace TLS_CIPHER_SUITE ALL:!ECDHE.
- Stávající certifikace na straně serveru je generována prostřednictvím šifry ECDHE.
Za výše uvedených podmínek se na straně serveru zobrazí chyba, jako například:
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Problém se softwarem kvůli nekompatibilitě TLS_CIPHER_SUITE ALL:!ECDHE s certifikací na straně serveru je generován prostřednictvím šifry ECDHE
Resolution
Chcete-li zjistit, zda se používá protokol LDAP, spusťte příkaz xmcli show-user-accounts. Při použití protokolu LDAP je vlastnost External-Account nastavena na hodnotu True:
Chcete-li zabránit výskytu této chyby, proveďte jednu z následujících možností:
Pokud systém XMS upgradujete na verzi XMS 6.3.2 nebo novější, je třeba tento postup provést po upgradu.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Chcete-li zabránit výskytu této chyby, proveďte jednu z následujících možností:
- Znovu vygenerujte soubor certifikace spolu s šifrou mimo ECDHE. Pomocí nástroje openssl vygenerujte nový certifikát bez použití šifrovací sady ECDHE a poté spusťte příkaz modify-ldap-config v konzoli xmcli, například:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
nebo
- Okomentujte položku konfigurace TLS_CIPHER_SUITE ALL:!ECDHE v souboru /etc/openldap/ldap.conf.
Pokud systém XMS upgradujete na verzi XMS 6.3.2 nebo novější, je třeba tento postup provést po upgradu.
Produse afectate
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Proprietăți articol
Article Number: 000185589
Article Type: Solution
Ultima modificare: 19 sept. 2025
Version: 11
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.