XtremIO：使用安全通道 ldaps 時發生 LDAP 組態錯誤

背景

在某些情況下，當客戶為外部使用者設定 LDAP 認證時，可能會發生認證錯誤。

下列 XtremIO 環境可能會受此問題影響：

• Dell EMC 軟體：XtremIO 6.3.2 及更新版本。

問題

當客戶為外部使用者設定 LDAP 認證時，如果存在下列所有條件，可能會發生認證錯誤：

1. LDAP 伺服器透過安全通道 ldaps 而非 ldap 提供服務
2. 在 /etc/openldap/ldap.conf 中有一個組態項目 TLS_CIPHER_SUITE ALL:!ECDHE 存在
3. 現有的伺服器端憑證是透過加密 ECDHE 產生。

基於上述條件，伺服器端會傳回錯誤，例如：

[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never  ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

 (tech)> show-user-accounts
Name             Index Role          External-Account Inactivity-Timeout
tech              1    technician      False            10
sara              2    admin           True             10

• 重新產生認證檔案與 ECDHE 以外的加密。  使用 openssl 工具產生新憑證，而不使用 ECDHE 加密套件，然後在 xmcli 主控台中執行命令 modify-ldap-config，例如：

xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]

• 評論在 /etc/openldap/ldap.conf 中的組態項目 TLS_CIPHER_SUITE ALL:!ECDHE。