XtremIO. Ошибка конфигурации LDAP при использовании защищенных каналов LDAPS
Сводка: Ошибки проверки подлинности могут возникать, если проверка подлинности LDAP с помощью LDAPS настроена для внешних пользователей.
Данная статья применяется к
Данная статья не применяется к
Эта статья не привязана к какому-либо конкретному продукту.
В этой статье указаны не все версии продуктов.
Симптомы
Предпосылка
В некоторых случаях, когда заказчик настраивает проверку подлинности LDAP для внешних пользователей, могут возникать ошибки проверки подлинности.
Эта проблема может повлиять на следующие инфраструктуры XtremIO.
- Программное обеспечение Dell EMC: XtremIO 6.3.2 и более поздней версии.
Проблема
Когда заказчик настраивает проверку подлинности LDAP для внешних пользователей, ошибки проверки подлинности могут возникать при наличии всех следующих условий.
- Сервер LDAP работает через защищенные каналы LDAPS вместо LDAP
- Существует элемент конфигурации TLS_CIPHER_SUITE ALL:!ECDHE в /etc/openldap/ldap.conf
- Существующий сертификат на стороне сервера создается с помощью шифра ECDHE.
При указанных выше условиях на стороне сервера будет отображаться следующая ошибка:
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Причина
Проблема с программным обеспечением из-за несовместимости TLS_CIPHER_SUITE ALL:!ECDHE с сертификатом на стороне сервера, генерируемом шифром ECDHE
Разрешение
Чтобы определить, используется ли LDAP, выполните команду xmcli show-user-accounts. Свойство External-Account имеет значение «True» при использовании LDAP:
Чтобы предотвратить возникновение этой ошибки, выполните одно из следующих действий.
Если выполняется модернизация XMS до XMS 6.3.2 или более поздней версии, это необходимо сделать после завершения процесса.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Чтобы предотвратить возникновение этой ошибки, выполните одно из следующих действий.
- Повторно создайте файл сертификата с шифром за пределами ECDHE. Используйте инструмент openssl для создания нового сертификата без использования набора шифров ECDHE, а затем выполните команду modify-ldap-config в консоли xmcli, например:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
или
- Добавьте комментарий к элементу конфигурации TLS_CIPHER_SUITE ALL:!ECDHE в /etc/openldap/ldap.conf.
Если выполняется модернизация XMS до XMS 6.3.2 или более поздней версии, это необходимо сделать после завершения процесса.
Затронутые продукты
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Свойства статьи
Номер статьи: 000185589
Тип статьи: Solution
Последнее изменение: 19 Sep 2025
Версия: 11
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.