XtremIO: Помилка конфігурації LDAP під час використання LDAP захищеного каналу
Summary: Помилки автентифікації можуть виникати, якщо автентифікацію LDAP за допомогою ldaps налаштовано для зовнішніх користувачів.
Acest articol se aplică pentru
Acest articol nu se aplică pentru
Acest articol nu este legat de un produs specific.
Acest articol nu acoperă toate versiunile de produs existente.
Symptoms
Тло
У деяких випадках, коли клієнт налаштовує автентифікацію LDAP для зовнішніх користувачів, можуть виникати помилки автентифікації.
Ця проблема може вплинути на такі середовища XtremIO:
- Програмне забезпечення Dell EMC: XtremIO 6.3.2 і вище.
Випуск
Коли клієнт налаштовує автентифікацію LDAP для зовнішніх користувачів, помилки автентифікації можуть виникати за наявності всіх наведених нижче умов:
- Сервер LDAP працює через захищений канал ldaps замість ldap
- Є пункт конфігурації TLS_CIPHER_SUITE ВСІХ:! ECDHE у /etc/openldap/ldap.conf
- Існуюча сертифікація на стороні сервера генерується за допомогою шифру ECDHE.
Враховуючи вищезазначені умови, сторона сервера поверне помилку на кшталт,
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Cause
Проблема з програмним забезпеченням через несумісність TLS_CIPHER_SUITE ALL:! ECDHE з сертифікацією на стороні сервера, що генерується за допомогою шифру ECDHE
Resolution
Щоб визначити, чи використовується LDAP, запустіть команду xmcli show-user-accounts. Властивість External-Account має значення True, коли використовується LDAP:
Щоб запобігти виникненню цієї помилки, виконайте один із наступних параметрів:
Якщо XMS оновлюється до XMS 6.3.2 або пізнішої версії, це слід виконати після оновлення.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Щоб запобігти виникненню цієї помилки, виконайте один із наступних параметрів:
- Повторно згенеруйте файл сертифікації разом із шифром за межами ECDHE. Використовуйте інструмент openssl, щоб створити новий сертифікат без використання набору шифрів ECDHE, а потім запустіть команду modify-ldap-config у консолі xmcli, наприклад:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
або
- Прокоментуйте пункт конфігурації TLS_CIPHER_SUITE ВСІ:! ECDHE in /etc/openldap/ldap.conf.
Якщо XMS оновлюється до XMS 6.3.2 або пізнішої версії, це слід виконати після оновлення.
Produse afectate
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Proprietăți articol
Article Number: 000185589
Article Type: Solution
Ultima modificare: 19 sept. 2025
Version: 11
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.