XtremIO: LDAP-konfigurasjonsfeil ved bruk av sikre kanal-LDAP-er
Zhrnutie: Godkjenningsfeil kan oppstå når LDAP-godkjenning ved hjelp av ldaps er konfigurert for eksterne brukere.
Tento článok sa vzťahuje na
Tento článok sa nevzťahuje na
Tento článok nie je viazaný na žiadny konkrétny produkt.
V tomto článku nie sú uvedené všetky verzie produktov.
Symptómy
Bakgrunn
Når kunden konfigurerer LDAP-godkjenning for eksterne brukere, kan det i enkelte tilfeller oppstå godkjenningsfeil.
Følgende XtremIO-miljøer kan påvirkes av dette problemet:
- Dell EMC-programvare: XtremIO 6.3.2 og nyere.
Problem
Når kunden konfigurerer LDAP-godkjenning for eksterne brukere, kan det oppstå godkjenningsfeil når alle følgende betingelser finnes:
- LDAP-tjeneren betjener via en sikker LDAP-kanal i stedet for ldap
- Det finnes en konfigurasjonsartikkel TLS_CIPHER_SUITE ALLE:! ECDHE i /etc/openldap/ldap.conf
- Den eksisterende sertifiseringen på serversiden genereres via cipher ECDHE.
Gitt de ovennevnte forholdene, vil serversiden returnere feil som,
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Príčina
Programvareproblem på grunn av inkompatibilitet TLS_CIPHER_SUITE ALLE:! ECDHE med sertifisering på serversiden generert via cipher ECDHE
Riešenie
Hvis du vil finne ut om LDAP brukes, kjører du xmcli-kommandoen show-user-accounts. Egenskapen External-Account er Sann når LDAP brukes:
Hvis du vil forhindre at denne feilen oppstår, utfører du ett av følgende alternativer:
Hvis XMS oppgraderes til XMS 6.3.2 eller nyere, bør dette utføres etter oppgraderingen.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Hvis du vil forhindre at denne feilen oppstår, utfører du ett av følgende alternativer:
- Regenerer sertifiseringsfilen sammen med kryptering utenfor ECDHE. Bruk openssl-verktøyet til å generere et nytt sertifikat uten å bruke ECDHE cipher suite, og kjør deretter kommandoen modify-ldap-config i xmcli-konsollen, for eksempel:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
eller
- Kommenter konfigurasjonselementet TLS_CIPHER_SUITE ALLE:! ECDHE i /etc/openldap/ldap.conf.
Hvis XMS oppgraderes til XMS 6.3.2 eller nyere, bør dette utføres etter oppgraderingen.
Dotknuté produkty
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Vlastnosti článku
Číslo článku: 000185589
Typ článku: Solution
Dátum poslednej úpravy: 19 sep 2025
Verzia: 11
Nájdite odpovede na svoje otázky od ostatných používateľov spoločnosti Dell
Služby podpory
Skontrolujte, či sa na vaše zariadenie vzťahujú služby podpory.