XtremIO: Errore di configurazione LDAP quando si utilizza Secure Channel LDAPS
Zhrnutie: Potrebbero verificarsi errori di autenticazione quando l'autenticazione LDAP, utilizzando ldaps, è configurata per gli utenti esterni.
Tento článok sa vzťahuje na
Tento článok sa nevzťahuje na
Tento článok nie je viazaný na žiadny konkrétny produkt.
V tomto článku nie sú uvedené všetky verzie produktov.
Symptómy
Informazioni preliminari
In alcuni casi, quando il cliente configura l'autenticazione LDAP per gli utenti esterni, potrebbero verificarsi errori di autenticazione.
I seguenti ambienti XtremIO possono essere interessati da questo problema:
- Software Dell EMC: XtremIO 6.3.2 e versioni successive.
Problema
Quando il cliente configura l'autenticazione LDAP per gli utenti esterni, possono verificarsi errori di autenticazione quando sussistono tutte le seguenti condizioni:
- Il server LDAP serve tramite un canale sicuro ldaps anziché ldap
- Esiste un elemento di configurazione TLS_CIPHER_SUITE ALL:! ECDHE in /etc/openldap/ldap.conf
- La certificazione lato server esistente viene generata tramite la crittografia ECDHE.
Date le condizioni di cui sopra, il lato server restituirà un errore del tipo:
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Príčina
Problema software dovuto all'incompatibilità di TLS_CIPHER_SUITE ALL:! ECDHE con certificazione lato server generata tramite ECDHE cifrato
Riešenie
Per determinare se LDAP è in uso, eseguire il comando xmcli show-user-accounts. La proprietà External-Account è True quando si utilizza LDAP:
Per evitare questo errore, effettuare una delle seguenti operazioni:
Se XMS viene aggiornato a XMS 6.3.2 o versione successiva, questa operazione deve essere eseguita dopo l'aggiornamento.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Per evitare questo errore, effettuare una delle seguenti operazioni:
- Rigenerare il file di certificazione insieme alla crittografia oltre ECDHE. Utilizzare lo strumento openssl per generare un nuovo certificato senza utilizzare la suite di crittografia ECDHE, quindi eseguire il comando modify-ldap-config nella console xmcli, ad esempio:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
oppure
- Commentare l'elemento di configurazione TLS_CIPHER_SUITE ALL:! ECDHE in /etc/openldap/ldap.conf.
Se XMS viene aggiornato a XMS 6.3.2 o versione successiva, questa operazione deve essere eseguita dopo l'aggiornamento.
Dotknuté produkty
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Vlastnosti článku
Číslo článku: 000185589
Typ článku: Solution
Dátum poslednej úpravy: 19 sep 2025
Verzia: 11
Nájdite odpovede na svoje otázky od ostatných používateľov spoločnosti Dell
Služby podpory
Skontrolujte, či sa na vaše zariadenie vzťahujú služby podpory.