XTremIO : Erreur de configuration LDAP lors de l’utilisation de canaux sécurisés ldaps
摘要: Des erreurs d’authentification peuvent se produire lorsque l’authentification LDAP, à l’aide de ldaps, est configurée pour les utilisateurs externes.
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
Informations
Dans certains cas, lorsque le client configure l’authentification LDAP pour les utilisateurs externes, des erreurs d’authentification peuvent se produire.
Les environnements XtremIO suivants peuvent être affectés par ce problème :
- Logiciel Dell EMC : XtremIO 6.3.2 et versions ultérieures.
Problème
Lorsque le client configure l’authentification LDAP pour les utilisateurs externes, des erreurs d’authentification peuvent se produire lorsque toutes les conditions suivantes existent :
- Le serveur LDAP est utilisé via un canal sécurisé ldaps au lieu de ldap
- Il existe un élément de configuration TLS_CIPHER_SUITE ALL:!ECDHE dans /etc/openldap/ldap.conf
- La certification côté serveur existante est générée via le chiffrement ECDHE.
Compte tenu des conditions ci-dessus, le côté serveur renvoie une erreur telle que :
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
原因
Problème logiciel dû à une incompatibilité de TLS_CIPHER_SUITE ALL:!ECDHE avec certification côté serveur générée via le chiffrement ECDHE
解决方案
Pour déterminer si LDAP est utilisé, exécutez la commande xmcli show-user-accounts. La propriété Compte externe est vraie lorsque LDAP est utilisé :
Pour éviter que cette erreur ne se produise, exécutez l’une des options suivantes :
Si le XMS est mis à niveau vers XMS 6.3.2 ou une version ultérieure, cette opération doit être effectuée après la mise à niveau.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Pour éviter que cette erreur ne se produise, exécutez l’une des options suivantes :
- Régénérez le fichier de certification avec le chiffrement au-delà d’ECDHE. Utilisez l’outil openssl pour générer un nouveau certificat sans utiliser la suite de chiffrement ECDHE, puis exécutez la commande modify-ldap-config dans la console xmcli, par exemple :
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
ou
- Mettez en commentaire l’élément de configuration TLS_CIPHER_SUITE ALL:!ECDHE dans /etc/openldap/ldap.conf.
Si le XMS est mis à niveau vers XMS 6.3.2 ou une version ultérieure, cette opération doit être effectuée après la mise à niveau.
受影响的产品
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2文章属性
文章编号: 000185589
文章类型: Solution
上次修改时间: 19 9月 2025
版本: 11
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。