Connectrix Brocade:交换机上的“aaaconfig”命令中缺少“starttls”参数
摘要: 在 FOS v8.2.3 和 FOS v9.0.0x 中,“aaaconfig”命令缺少“starttls”参数。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
STARTTLS 是一种替代方法,现在是加密 LDAP 连接的首选方法。STARTTLS 通过在连接过程之后或期间使用 SSL/TLS 封装无加密连接来对其进行“升级”。
它的工作原理是在 LDAP 服务器与 Web 服务之间进行握手协商之前,与 LDAP 服务器建立正常(不安全)连接。
此时,服务器发送其证书,以在建立安全连接之前证明其身份。
如果安全连接的协商失败,则可能会打开标准 LDAP 连接。
是否发生这种情况取决于 LDAP 服务器及其配置。
它的工作原理是在 LDAP 服务器与 Web 服务之间进行握手协商之前,与 LDAP 服务器建立正常(不安全)连接。
此时,服务器发送其证书,以在建立安全连接之前证明其身份。
如果安全连接的协商失败,则可能会打开标准 LDAP 连接。
是否发生这种情况取决于 LDAP 服务器及其配置。
原因
由于 Broadcom 不支持带有端口 #636 的安全 LDAP,因此在使用“LDAP”配置 AAA 服务时,
尝试通过启用“STARTTLS”参数来建立安全连接
此选项在 FOS v8.2.3 和 FOS v9.0.0x 中均不可用,因为它未经过测试。
供参考的屏幕截图:
FOS v9.0.0x:
FOS v8.2.3:
解决方案
由于未在 FOS v8.2.3 和 v9.0.x 中测试“starttls”选项,因此在交换机上配置“aaaconfig”命令时,您将无法获得该选项。
FOSv9.0.x 在 FOS v8.2.3a 及更高版本之前发布,因此“aaaconfig”命令中缺少“starttls”选项。
“starttls”选项仅从从 v8.2.3a 及更高版本开始的 FOS 可用。此信息在 FOS v8.2.3a 的发行说明中更新。
在 FOS v9.1 中,配置“aaaconfig”时,“starttls”选项可用。
用于配置它的命令:
aaaconfig --add | --change server -conf radius | ldap | tacacs+ [-p port] [-d domain] [-t timeout] [-s secret] [-a chap | pap | peap-mschapv2] [-e -encr_type none | aes256] [-tls_mode starttls | ldaps]
配置后,可以使用以下命令进行检查:
switch:admin> aaaconfig --show -conf ldap LDAP CONFIGURATIONS =================== Position : 1 Server : 1.2.3.4 Port : 389 Domain : local Timeout(s) : 3 LDAP TLS Mode : STARTTLS Position : 2 Server : 5.6.7.8 Port : 389 Domain : local Timeout(s) : 3 LDAP TLS Mode : STARTTLS Primary AAA Service: LDAP Secondary AAA Service: Switch database Log Primary Authentication Status: Yes
受影响的产品
Connectrix B-Series Software产品
Connectrix B-Series, Connectrix B-Series Hardware文章属性
文章编号: 000201898
文章类型: Solution
上次修改时间: 14 4月 2025
版本: 3
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。