XtremIO: Error de configuración de LDAP cuando se usan ldaps de canal seguro
摘要: Pueden producirse errores de autenticación cuando la autenticación de LDAP, mediante ldaps, está configurada para usuarios externos.
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
Información preliminar
En algunos casos, cuando el cliente configura la autenticación de LDAP para usuarios externos, pueden producirse errores de autenticación.
Los siguientes entornos de XtremIO pueden verse afectados por este problema:
- Software Dell EMC: XtremIO 6.3.2 y versiones posteriores.
Problema
Cuando el cliente configura la autenticación de LDAP para usuarios externos, es posible que se produzcan errores de autenticación cuando existen todas las condiciones que aparecen a continuación:
- El servidor LDAP funciona a través de un ldaps de canal seguro en lugar de ldap
- Existe un elemento de configuración TLS_CIPHER_SUITE ALL:! ECDHE en /etc/openldap/ldap.conf
- La certificación en el servidor existente se genera a través del cifrado ECDHE.
Teniendo en cuenta las condiciones anteriores, el lado del servidor arrojará errores como,
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
原因
Problema de software debido a la incompatibilidad de TLS_CIPHER_SUITE ALL:!ECDHE con certificación en el servidor que se genera a través del cifrado ECDHE
解决方案
Para determinar si se utiliza LDAP, ejecute el comando xmcli show-user-accounts. La propiedad External-Account es “True” cuando se utiliza LDAP:
Para evitar que se produzca este error, pruebe una de las siguientes opciones:
Si el XMS se está actualizando a XMS 6.3.2 o una versión posterior, esto se debe realizar después de la actualización.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Para evitar que se produzca este error, pruebe una de las siguientes opciones:
- Vuelva a generar el archivo de certificación, junto con el cifrado fuera de ECDHE. Utilice la herramienta openssl para generar un nuevo certificado sin utilizar el conjunto de cifrado ECDHE y, a continuación, ejecute el comando modify-ldap-config en la consola xmcli, por ejemplo:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
o
- Deje un comentario del elemento de configuración TLS_CIPHER_SUITE ALL:! ECDHE en /etc/openldap/ldap.conf.
Si el XMS se está actualizando a XMS 6.3.2 o una versión posterior, esto se debe realizar después de la actualización.
受影响的产品
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2文章属性
文章编号: 000185589
文章类型: Solution
上次修改时间: 19 9月 2025
版本: 11
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。