XtremIO: LDAP-konfigurationsfejl ved brug af LDAPS til sikker kanal
Summary: Der kan opstå godkendelsesfejl, når LDAP-godkendelse ved hjælp af LDAPS konfigureres til eksterne brugere.
Acest articol se aplică pentru
Acest articol nu se aplică pentru
Acest articol nu este legat de un produs specific.
Acest articol nu acoperă toate versiunile de produs existente.
Symptoms
Baggrund
I nogle tilfælde, når kunden konfigurerer LDAP-godkendelse for eksterne brugere, kan der opstå godkendelsesfejl.
Følgende XtremIO-miljøer kan være berørt af dette problem:
- Dell EMC-software: XtremIO 6.3.2 og nyere.
Problem
Når kunden konfigurerer LDAP-godkendelse for eksterne brugere, kan der opstå godkendelsesfejl, når alle følgende betingelser er opfyldt:
- LDAP-serveren server server via en sikker kanal LDAPS i stedet for ldap
- Der findes et konfigurationselement TLS_CIPHER_SUITE ALLE:! ECDHE i /etc/openldap/ldap.conf
- Den eksisterende serversidecertificering genereres via chiffer-ECDHE.
I betragtning af ovenstående betingelser returnerer serversiden fejl som,
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Software problem på grund af inkompatibilitet af TLS_CIPHER_SUITE ALL:! ECDHE med serversidecertificering, der genereres via chiffer-ECDHE
Resolution
For at finde ud af, om LDAP anvendes, skal du køre kommandoen xmcli , show-user-accounts. Egenskaben Ekstern konto er sand, når LDAP bruges:
Udfør en af følgende indstillinger for at forhindre, at denne fejl opstår:
Hvis XMS opgraderes til XMS 6.3.2 eller nyere, bør dette udføres efter opgraderingen.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Udfør en af følgende indstillinger for at forhindre, at denne fejl opstår:
- Regenerer certificeringsfilen sammen med chiffer ud over ECDHE. Brug openssl-værktøjet til at generere et nyt certifikat uden at bruge ECDHE-krypteringspakken, og kør derefter kommandoen modify-ldap-config i xmcli-konsollen, for eksempel:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
eller
- Kommenter konfigurationselementet TLS_CIPHER_SUITE ALL:! ECDHE i /etc/openldap/ldap.conf.
Hvis XMS opgraderes til XMS 6.3.2 eller nyere, bør dette udføres efter opgraderingen.
Produse afectate
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Proprietăți articol
Article Number: 000185589
Article Type: Solution
Ultima modificare: 19 sept. 2025
Version: 11
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.