XtremIO: Erro de configuração LDAP ao usar ldaps de canal seguro
Summary: Erros de autenticação podem ocorrer quando a autenticação LDAP, usando ldaps, é configurada para usuários externos.
Acest articol se aplică pentru
Acest articol nu se aplică pentru
Acest articol nu este legat de un produs specific.
Acest articol nu acoperă toate versiunile de produs existente.
Symptoms
Informações gerais
Em alguns casos, quando o cliente configura a autenticação LDAP para usuários externos, podem ocorrer erros de autenticação.
Os seguintes ambientes XtremIO podem ser afetados por esse problema:
- Software Dell EMC: XtremIO 6.3.2 e posterior.
Problema
Quando o cliente configura a autenticação LDAP para usuários externos, os erros de autenticação podem ocorrer quando todas as condições a seguir existirem:
- O servidor LDAP faz a distribuição por ldaps de canal seguro, em vez de ldap
- Existe um item de configuração TLS_CIPHER_SUITE ALL:!ECDHE em /etc/openldap/ldap.conf
- A certificação existente no servidor é gerada por meio da codificação ECDHE.
Nas condições acima, o lado do servidor retornará um erro como,
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Problema de software devido à incompatibilidade de TLS_CIPHER_SUITE ALL:!ECDHE com a certificação no servidor sendo gerada via codificação ECDHE
Resolution
Para determinar se o LDAP está sendo usado, execute o comando xmcli show-user-accounts. A propriedade External-Account é True quando o LDAP está sendo usado:
Para impedir que esse erro ocorra, realize uma das seguintes opções:
Se o XMS estiver sendo atualizado para XMS 6.3.2 ou posterior, isso deve ser realizado após o upgrade.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Para impedir que esse erro ocorra, realize uma das seguintes opções:
- Gere novamente o arquivo de certificação junto com codificações além de ECDHE. Use a ferramenta openssl para gerar um novo certificado sem usar o pacote de codificações ECDHE e, em seguida, execute o comando modify-ldap-config no console xmcli, por exemplo:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
ou
- Comente o item de configuração TLS_CIPHER_SUITE ALL:!ECDHE em /etc/openldap/ldap.conf.
Se o XMS estiver sendo atualizado para XMS 6.3.2 ou posterior, isso deve ser realizado após o upgrade.
Produse afectate
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Proprietăți articol
Article Number: 000185589
Article Type: Solution
Ultima modificare: 19 sept. 2025
Version: 11
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.