XtremIO: Помилка конфігурації LDAP під час використання LDAP захищеного каналу
摘要: Помилки автентифікації можуть виникати, якщо автентифікацію LDAP за допомогою ldaps налаштовано для зовнішніх користувачів.
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
Тло
У деяких випадках, коли клієнт налаштовує автентифікацію LDAP для зовнішніх користувачів, можуть виникати помилки автентифікації.
Ця проблема може вплинути на такі середовища XtremIO:
- Програмне забезпечення Dell EMC: XtremIO 6.3.2 і вище.
Випуск
Коли клієнт налаштовує автентифікацію LDAP для зовнішніх користувачів, помилки автентифікації можуть виникати за наявності всіх наведених нижче умов:
- Сервер LDAP працює через захищений канал ldaps замість ldap
- Є пункт конфігурації TLS_CIPHER_SUITE ВСІХ:! ECDHE у /etc/openldap/ldap.conf
- Існуюча сертифікація на стороні сервера генерується за допомогою шифру ECDHE.
Враховуючи вищезазначені умови, сторона сервера поверне помилку на кшталт,
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
原因
Проблема з програмним забезпеченням через несумісність TLS_CIPHER_SUITE ALL:! ECDHE з сертифікацією на стороні сервера, що генерується за допомогою шифру ECDHE
解决方案
Щоб визначити, чи використовується LDAP, запустіть команду xmcli show-user-accounts. Властивість External-Account має значення True, коли використовується LDAP:
Щоб запобігти виникненню цієї помилки, виконайте один із наступних параметрів:
Якщо XMS оновлюється до XMS 6.3.2 або пізнішої версії, це слід виконати після оновлення.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Щоб запобігти виникненню цієї помилки, виконайте один із наступних параметрів:
- Повторно згенеруйте файл сертифікації разом із шифром за межами ECDHE. Використовуйте інструмент openssl, щоб створити новий сертифікат без використання набору шифрів ECDHE, а потім запустіть команду modify-ldap-config у консолі xmcli, наприклад:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
або
- Прокоментуйте пункт конфігурації TLS_CIPHER_SUITE ВСІ:! ECDHE in /etc/openldap/ldap.conf.
Якщо XMS оновлюється до XMS 6.3.2 або пізнішої версії, це слід виконати після оновлення.
受影响的产品
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2文章属性
文章编号: 000185589
文章类型: Solution
上次修改时间: 19 9月 2025
版本: 11
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。