XtremIO: Помилка конфігурації LDAP під час використання LDAP захищеного каналу
Zhrnutie: Помилки автентифікації можуть виникати, якщо автентифікацію LDAP за допомогою ldaps налаштовано для зовнішніх користувачів.
Tento článok sa vzťahuje na
Tento článok sa nevzťahuje na
Tento článok nie je viazaný na žiadny konkrétny produkt.
V tomto článku nie sú uvedené všetky verzie produktov.
Symptómy
Тло
У деяких випадках, коли клієнт налаштовує автентифікацію LDAP для зовнішніх користувачів, можуть виникати помилки автентифікації.
Ця проблема може вплинути на такі середовища XtremIO:
- Програмне забезпечення Dell EMC: XtremIO 6.3.2 і вище.
Випуск
Коли клієнт налаштовує автентифікацію LDAP для зовнішніх користувачів, помилки автентифікації можуть виникати за наявності всіх наведених нижче умов:
- Сервер LDAP працює через захищений канал ldaps замість ldap
- Є пункт конфігурації TLS_CIPHER_SUITE ВСІХ:! ECDHE у /etc/openldap/ldap.conf
- Існуюча сертифікація на стороні сервера генерується за допомогою шифру ECDHE.
Враховуючи вищезазначені умови, сторона сервера поверне помилку на кшталт,
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Príčina
Проблема з програмним забезпеченням через несумісність TLS_CIPHER_SUITE ALL:! ECDHE з сертифікацією на стороні сервера, що генерується за допомогою шифру ECDHE
Riešenie
Щоб визначити, чи використовується LDAP, запустіть команду xmcli show-user-accounts. Властивість External-Account має значення True, коли використовується LDAP:
Щоб запобігти виникненню цієї помилки, виконайте один із наступних параметрів:
Якщо XMS оновлюється до XMS 6.3.2 або пізнішої версії, це слід виконати після оновлення.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Щоб запобігти виникненню цієї помилки, виконайте один із наступних параметрів:
- Повторно згенеруйте файл сертифікації разом із шифром за межами ECDHE. Використовуйте інструмент openssl, щоб створити новий сертифікат без використання набору шифрів ECDHE, а потім запустіть команду modify-ldap-config у консолі xmcli, наприклад:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
або
- Прокоментуйте пункт конфігурації TLS_CIPHER_SUITE ВСІ:! ECDHE in /etc/openldap/ldap.conf.
Якщо XMS оновлюється до XMS 6.3.2 або пізнішої версії, це слід виконати після оновлення.
Dotknuté produkty
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2Vlastnosti článku
Číslo článku: 000185589
Typ článku: Solution
Dátum poslednej úpravy: 19 sep 2025
Verzia: 11
Nájdite odpovede na svoje otázky od ostatných používateľov spoločnosti Dell
Služby podpory
Skontrolujte, či sa na vaše zariadenie vzťahujú služby podpory.