XtremIO: LDAP-Konfigurationsfehler bei Verwendung von ldaps über sicheren Kanal
摘要: Authentifizierungsfehler können auftreten, wenn die LDAP-Authentifizierung für externe Nutzer mithilfe von ldaps konfiguriert wird.
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
Hintergrund
Wenn der Kunde die LDAP-Authentifizierung für externe Nutzer konfiguriert, kann es in einigen Fällen zu Authentifizierungsfehlern kommen.
Die folgenden XtremIO-Umgebungen können von diesem Problem betroffen sein:
- Dell EMC Software: XtremIO 6.3.2 und höher
Problem
Wenn der Kunde die LDAP-Authentifizierung für externe Nutzer konfiguriert, können Authentifizierungsfehler auftreten, wenn alle der folgenden Bedingungen zutreffen:
- Der LDAP-Server bedient über einen sicheren Kanal ldaps anstelle von ldap.
- Es ist ein Konfigurationselement TLS_CIPHER_SUITE ALL:!ECDHE in /etc/openldap/ldap.conf vorhanden.
- Die vorhandene serverseitige Zertifizierung wird über die Chiffre ECDHE erzeugt.
Unter den oben genannten Bedingungen wird vom Server ein Fehler ausgegeben, ähnlich
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
原因
Softwareproblem aufgrund der Inkompatibilität von TLS_CIPHER_SUITE ALL:!ECDHE mit der serverseitigen Zertifizierung, die über Chiffre ECDHE erzeugt wird
解决方案
Um festzustellen, ob LDAP verwendet wird, führen Sie den xmcli-Befehl show-user-accounts aus. Wenn LDAP verwendet wird, ist die Eigenschaft „External-Account“ „True“:
Um zu verhindern, dass dieser Fehler auftritt, führen Sie eine der folgenden Optionen aus:
Wenn der XMS auf XMS 6.3.2 oder höher aktualisiert wird, sollte dies nach dem Upgrade durchgeführt werden.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Um zu verhindern, dass dieser Fehler auftritt, führen Sie eine der folgenden Optionen aus:
- Erzeugen Sie die Zertifizierungsdatei zusammen mit Chiffre über ECDHE hinaus neu. Verwenden Sie das openssl-Tool, um ein neues Zertifikat ohne Verwendung der ECDHE-Cipher-Suite zu erzeugen, und führen Sie dann den Befehl modify-ldap-config in der xmcli-Konsole aus, z. B.:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
oder
- Kommentieren Sie das Konfigurationselement TLS_CIPHER_SUITE ALL:!ECDHE in /etc/openldap/ldap.conf.
Wenn der XMS auf XMS 6.3.2 oder höher aktualisiert wird, sollte dies nach dem Upgrade durchgeführt werden.
受影响的产品
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2文章属性
文章编号: 000185589
文章类型: Solution
上次修改时间: 19 9月 2025
版本: 11
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。