XtremIO: Güvenli kanal ldaps kullanırken LDAP yapılandırma hatası
摘要: LDAP kimlik doğrulaması, harici kullanıcılar için LDAPS kullanılarak yapılandırıldığında kimlik doğrulama hataları oluşabilir.
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
Arka plan
Bazı durumlarda, müşteri harici kullanıcılar için LDAP kimlik doğrulaması yapılandırıldığında kimlik doğrulama hataları oluşabilir.
Aşağıdaki XtremIO ortamları bu sorundan etkilenebilir:
- Dell EMC Yazılımı: XtremIO 6.3.2 ve sonraki sürümler.
Sorun
Müşteri, harici kullanıcılar için LDAP kimlik doğrulamasını yapılandırırsa aşağıdaki koşulların tümü mevcut olduğunda kimlik doğrulama hataları oluşabilir:
- LDAP sunucusu, ldap yerine güvenli kanal ldaps üzerinden hizmet sağlar
- /etc/openldap/ldap.conf içinde bir TLS_CIPHER_SUITE ALL:!ECDHE yapılandırma öğesi bulunur
- Mevcut sunucu tarafı sertifikası, ECDHE şifresiyle oluşturuluyor.
Yukarıdaki koşullar altında sunucu tarafı aşağıdaki gibi bir hatayla geri döner:
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
原因
Sunucu tarafı sertifikanın ECDHE şifresiyle oluşturulduğunda TLS_CIPHER_SUITE ALL:!ECDHE uyumsuzluğu sebebiyle yazılım sorunu
解决方案
LDAP'nin kullanılıp kullanılmadığını belirlemek için show-user-accounts xmcli komutunu çalıştırın. LDAP kullanılırken Harici Hesap özelliği True (Doğru) olur:
Bu hatanın gerçekleşmesini önlemek için aşağıdaki seçeneklerden birini uygulayın:
XMS, XMS 6.3.2 veya sonraki bir sürüme yükseltiliyorsa bu işlem, yükseltmeden sonra gerçekleştirilmelidir.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Bu hatanın gerçekleşmesini önlemek için aşağıdaki seçeneklerden birini uygulayın:
- Sertifika dosyasını ECDHE dışında bir şifreyle birlikte yeniden oluşturun. ECDHE şifreleme paketi olmadan yeni bir sertifika oluşturmak için openssl aracını kullanın ve ardından xmcli konsolunda modify-ldap-config komutunu çalıştırın, örneğin:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
veya
- /etc/openldap/ldap.conf içine TLS_CIPHER_SUITE ALL:!ECDHE yapılandırma öğesini açıklama olarak ekleyin.
XMS, XMS 6.3.2 veya sonraki bir sürüme yükseltiliyorsa bu işlem, yükseltmeden sonra gerçekleştirilmelidir.
受影响的产品
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2文章属性
文章编号: 000185589
文章类型: Solution
上次修改时间: 19 9月 2025
版本: 11
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。