XtremIO: Güvenli kanal ldaps kullanırken LDAP yapılandırma hatası
Zhrnutie: LDAP kimlik doğrulaması, harici kullanıcılar için LDAPS kullanılarak yapılandırıldığında kimlik doğrulama hataları oluşabilir.
Tento článok sa vzťahuje na
Tento článok sa nevzťahuje na
Tento článok nie je viazaný na žiadny konkrétny produkt.
V tomto článku nie sú uvedené všetky verzie produktov.
Symptómy
Arka plan
Bazı durumlarda, müşteri harici kullanıcılar için LDAP kimlik doğrulaması yapılandırıldığında kimlik doğrulama hataları oluşabilir.
Aşağıdaki XtremIO ortamları bu sorundan etkilenebilir:
- Dell EMC Yazılımı: XtremIO 6.3.2 ve sonraki sürümler.
Sorun
Müşteri, harici kullanıcılar için LDAP kimlik doğrulamasını yapılandırırsa aşağıdaki koşulların tümü mevcut olduğunda kimlik doğrulama hataları oluşabilir:
- LDAP sunucusu, ldap yerine güvenli kanal ldaps üzerinden hizmet sağlar
- /etc/openldap/ldap.conf içinde bir TLS_CIPHER_SUITE ALL:!ECDHE yapılandırma öğesi bulunur
- Mevcut sunucu tarafı sertifikası, ECDHE şifresiyle oluşturuluyor.
Yukarıdaki koşullar altında sunucu tarafı aşağıdaki gibi bir hatayla geri döner:
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Príčina
Sunucu tarafı sertifikanın ECDHE şifresiyle oluşturulduğunda TLS_CIPHER_SUITE ALL:!ECDHE uyumsuzluğu sebebiyle yazılım sorunu
Riešenie
LDAP'nin kullanılıp kullanılmadığını belirlemek için show-user-accounts xmcli komutunu çalıştırın. LDAP kullanılırken Harici Hesap özelliği True (Doğru) olur:
Bu hatanın gerçekleşmesini önlemek için aşağıdaki seçeneklerden birini uygulayın:
XMS, XMS 6.3.2 veya sonraki bir sürüme yükseltiliyorsa bu işlem, yükseltmeden sonra gerçekleştirilmelidir.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Bu hatanın gerçekleşmesini önlemek için aşağıdaki seçeneklerden birini uygulayın:
- Sertifika dosyasını ECDHE dışında bir şifreyle birlikte yeniden oluşturun. ECDHE şifreleme paketi olmadan yeni bir sertifika oluşturmak için openssl aracını kullanın ve ardından xmcli konsolunda modify-ldap-config komutunu çalıştırın, örneğin:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
veya
- /etc/openldap/ldap.conf içine TLS_CIPHER_SUITE ALL:!ECDHE yapılandırma öğesini açıklama olarak ekleyin.
XMS, XMS 6.3.2 veya sonraki bir sürüme yükseltiliyorsa bu işlem, yükseltmeden sonra gerçekleştirilmelidir.
Dotknuté produkty
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Vlastnosti článku
Číslo článku: 000185589
Typ článku: Solution
Dátum poslednej úpravy: 19 sep 2025
Verzia: 11
Nájdite odpovede na svoje otázky od ostatných používateľov spoločnosti Dell
Služby podpory
Skontrolujte, či sa na vaše zariadenie vzťahujú služby podpory.