XtremIO: LDAP-konfigurationsfel vid användning av LDAP:er för säker kanal
Summary: Autentiseringsfel kan uppstå när LDAP-autentisering, med hjälp av LDAPS, har konfigurerats för externa användare.
Acest articol se aplică pentru
Acest articol nu se aplică pentru
Acest articol nu este legat de un produs specific.
Acest articol nu acoperă toate versiunile de produs existente.
Symptoms
Bakgrund
I vissa fall, när kunden konfigurerar LDAP-autentisering för externa användare, kan autentiseringsfel uppstå.
Följande XtremIO-miljöer kan påverkas av det här problemet:
- Dell EMC-programvara: XtremIO 6.3.2 och senare.
Problem
När kunden konfigurerar LDAP-autentisering för externa användare kan autentiseringsfel uppstå när alla följande villkor föreligger:
- LDAP-servern fungerar via en säker kanal LDAPS i stället för ldap
- Det finns ett konfigurationsobjekt TLS_CIPHER_SUITE ALLA:! ECDHE i /etc/openldap/ldap.conf
- Den befintliga certifieringen på serversidan genereras via chiffer ECDHE.
Med tanke på ovanstående villkor kommer serversidan att returnera fel som,
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Programvaruproblem på grund av inkompatibilitet hos TLS_CIPHER_SUITE ALL:! ECDHE med certifiering på serversidan som genereras via chiffer ECDHE
Resolution
Ta reda på om LDAP används genom att köra xmcli-kommandot show-user-accounts. Egenskapen External-Account är True när LDAP används:
Utför något av följande alternativ för att förhindra att det här felet inträffar:
Om XMS uppgraderas till XMS 6.3.2 eller senare bör detta utföras efter uppgraderingen.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Utför något av följande alternativ för att förhindra att det här felet inträffar:
- Återskapa certifieringsfilen tillsammans med chiffer bortom ECDHE. Använd openssl-verktyget för att generera ett nytt certifikat utan att använda ECDHE chiffersvit och kör sedan kommandot modify-ldap-config i xmcli-konsolen, till exempel:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
eller
- Kommentera konfigurationsobjektet TLS_CIPHER_SUITE ALLA:! ECDHE i /etc/openldap/ldap.conf.
Om XMS uppgraderas till XMS 6.3.2 eller senare bör detta utföras efter uppgraderingen.
Produse afectate
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Proprietăți articol
Article Number: 000185589
Article Type: Solution
Ultima modificare: 19 sept. 2025
Version: 11
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.