XtremIO: LDAP-configuratiefout bij gebruik van beveiligde kanaal-LDAP's
Zhrnutie: Verificatiefouten kunnen optreden wanneer LDAP-verificatie, met behulp van LDAPS, is geconfigureerd voor externe gebruikers.
Tento článok sa vzťahuje na
Tento článok sa nevzťahuje na
Tento článok nie je viazaný na žiadny konkrétny produkt.
V tomto článku nie sú uvedené všetky verzie produktov.
Symptómy
Achtergrond
In sommige gevallen kunnen er verificatiefouten optreden wanneer de klant LDAP-authenticatie configureert voor externe gebruikers.
De volgende XtremIO-omgevingen kunnen door dit probleem worden beïnvloed:
- Dell EMC software: XtremIO 6.3.2 en hoger.
Probleem
Wanneer de klant LDAP-verificatie configureert voor externe gebruikers, kunnen er verificatiefouten optreden onder alle volgende omstandigheden:
- De LDAP-server dient via een beveiligd kanaal LDAPS in plaats van LDAP
- Er bestaat een configuratie-item TLS_CIPHER_SUITE ALL:! ECDHE in /etc/openldap/ldap.conf
- De bestaande certificering aan de serverzijde wordt gegenereerd via versleuteling ECDHE.
Gezien de bovenstaande omstandigheden retourneert de serverzijde een fout zoals,
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Príčina
Softwareprobleem als gevolg van incompatibiliteit van TLS_CIPHER_SUITE ALL:! ECDHE met certificering aan serverzijde die wordt gegenereerd via Cipher ECDHE
Riešenie
Om te bepalen of LDAP wordt gebruikt, voert u de xmcli-opdracht show-user-accounts uit. De eigenschap External-Account is True wanneer LDAP wordt gebruikt:
Om deze fout te voorkomen, voert u een van de volgende opties uit:
Als het XMS wordt geüpgraded naar XMS 6.3.2 of hoger, dient dit na de upgrade te worden uitgevoerd.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Om deze fout te voorkomen, voert u een van de volgende opties uit:
- Genereer het certificeringsbestand opnieuw samen met de code buiten ECDHE. Gebruik openssl tool om een nieuw certificaat te genereren zonder gebruik te maken van ECDHE cipher suite en voer vervolgens de opdracht modify-ldap-config uit in xmcli console, bijvoorbeeld:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
of
- Reageer op het configuratie-item TLS_CIPHER_SUITE ALLE:! ECDHE in /etc/openldap/ldap.conf.
Als het XMS wordt geüpgraded naar XMS 6.3.2 of hoger, dient dit na de upgrade te worden uitgevoerd.
Dotknuté produkty
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Vlastnosti článku
Číslo článku: 000185589
Typ článku: Solution
Dátum poslednej úpravy: 19 sep 2025
Verzia: 11
Nájdite odpovede na svoje otázky od ostatných používateľov spoločnosti Dell
Služby podpory
Skontrolujte, či sa na vaše zariadenie vzťahujú služby podpory.