XtremIO: Błąd konfiguracji LDAP podczas korzystania z bezpiecznego kanału ldaps
Zhrnutie: Błędy uwierzytelniania mogą wystąpić, gdy uwierzytelnianie LDAP, przy użyciu ldaps, jest skonfigurowane dla użytkowników zewnętrznych.
Tento článok sa vzťahuje na
Tento článok sa nevzťahuje na
Tento článok nie je viazaný na žiadny konkrétny produkt.
V tomto článku nie sú uvedené všetky verzie produktov.
Symptómy
Tło
W niektórych przypadkach, gdy klient skonfiguruje uwierzytelnianie LDAP dla użytkowników zewnętrznych, wystąpić mogą błędy uwierzytelniania.
Ten problem może mieć wpływ na następujące środowiska XtremIO:
- Oprogramowanie Dell EMC: XtremIO w wersji 6.3.2 i nowszej.
Problem
Gdy klient skonfiguruje uwierzytelnianie LDAP dla użytkowników zewnętrznych, mogą wystąpić błędy uwierzytelniania, gdy spełnione są wszystkie poniższe warunki:
- Serwer LDAP obsługuje bezpieczny kanał ldaps zamiast ldap
- Istnieje element konfiguracji TLS_CIPHER_SUITE ALL:!ECDHE w /etc/openldap/ldap.conf
- Istniejący certyfikat po stronie serwera jest generowany za pomocą szyfru ECDHE.
Biorąc pod uwagę powyższe warunki, po stronie serwera zwrócony zostanie błąd, np:
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Príčina
Problem z oprogramowaniem ze względu na niezgodność TLS_CIPHER_SUITE ALL:!ECDHE z certyfikatem po stronie serwera generowanym za pomocą szyfru ECDHE
Riešenie
Aby ustalić, czy używany jest protokół LDAP, uruchom polecenie xmcli show-user-accounts. Właściwość External-Account jest prawdziwa, gdy używany jest protokół LDAP:
Aby zapobiec wystąpieniu tego błędu, wykonaj jedną z następujących opcji:
Jeśli XMS jest aktualizowany do wersji XMS 6.3.2 lub nowszej, należy zrobić to po aktualizacji.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Aby zapobiec wystąpieniu tego błędu, wykonaj jedną z następujących opcji:
- Ponownie wygeneruj plik z certyfikatem razem z szyfrem poza ECDHE. Użyj narzędzia openssl, aby wygenerować nowy certyfikat bez użycia pakietu szyfrowania ECDHE, a następnie uruchom polecenie modify-ldap-config w konsoli xmcli, na przykład:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
lub
- Dodaj komentarz do elementu konfiguracyjnego TLS_CIPHER_SUITE ALL:!ECDHE w /etc/openldap/ldap.conf.
Jeśli XMS jest aktualizowany do wersji XMS 6.3.2 lub nowszej, należy zrobić to po aktualizacji.
Dotknuté produkty
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Vlastnosti článku
Číslo článku: 000185589
Typ článku: Solution
Dátum poslednej úpravy: 19 sep 2025
Verzia: 11
Nájdite odpovede na svoje otázky od ostatných používateľov spoločnosti Dell
Služby podpory
Skontrolujte, či sa na vaše zariadenie vzťahujú služby podpory.