IDPA: ACM kan ikke endre passord i brukergrensesnittet etter deaktivering av anonymt ACM LDAP-oppslag

摘要: På eller før IDPA versjon 2.7.3, etter å ha fulgt Dell-artikkel 196092 å deaktivere anonymt ACM LDAP-oppslag, rapporterer ACM en feil "ACM Secure openLDAP-Failed to validate connection for idpauser user" når du endrer passordet fra brukergrensesnittet. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Etter å ha fulgt Dell-artikkel 196092, PowerProtect DP-serien Appliance og IDPA: LDAP Anonymous Directory Access Tillatt i Appliance Configuration Manager, for å deaktivere anonymt ACM LDAP-oppslag, ACM rapporterer en feil «ACM Secure openLDAP-Failed to validate connection for idpauser user» når du prøver å endre apparatpassord fra brukergrensesnittet:
 

Skjermbilde av DP-seriefeilmeldingen Kan ikke validere tilkoblingen til idpauser-brukeren
Figur 1: Skjermbilde av DP-seriefeilmeldingen Kan ikke validere tilkoblingen til idpauser-brukeren

 

原因

ACM-server.log viser følgende feil under validering av passord:

2023-05-01 06:59:28,768 INFO  [https-openssl-apr-8543-exec-1]-util.SSHUtil: Remote command using SSH execution status:  Host     : [ACM IP] User     : [root]       Password : [**********] Command  : [ldapsearch -x -b "dc=idpa,dc=local" -h <ACM FQDN> "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"]   STATUS   : [48]
2023-05-01 06:59:28,768 INFO  [https-openssl-apr-8543-exec-1]-util.SSHUtil:     STDOUT   : [ldap_bind: Inappropriate authentication (48)^M
                        additional info: anonymous bind disallowed^M]
2023-05-01 06:59:28,769 INFO  [https-openssl-apr-8543-exec-1]-util.SSHUtil:     STDERR   : []
2023-05-01 06:59:28,769 ERROR [https-openssl-apr-8543-exec-1]-util.SSHUtil: Failed to executed remote command using SSH.
2023-05-01 06:59:28,769 ERROR [https-openssl-apr-8543-exec-1]-ldapintegration.LDAPIntegrationService: validatePosixGroup --> Failed to execute command - ldapsearch -x -b "dc=idpa,dc=local" -h <ACM FQDN> "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"
2023-05-01 06:59:28,769 INFO  [https-openssl-apr-8543-exec-1]-ldapintegration.LDAPIntegrationService: validatePosixGroup --> Failed to validate posix group name.
com.emc.vcedpa.common.exception.ApplianceException: Failed to validate posix group.

2023-05-01 06:59:58,298 INFO  [https-openssl-apr-8543-exec-1]-appliancecredentialsmanager.ApplianceCredentialsManager: ACM test connection is successful for root
2023-05-01 06:59:58,298 INFO  [https-openssl-apr-8543-exec-1]-appliancecredentialsmanager.ApplianceCredentialsManager: Change password validation status: ApplianceCredentialsConnectionStatus [productCredentialsStatusList=[ProductCredentialsStatus [productName=ACM Secure OpenLDAP, failedCredentialsStatusList=[ACM Secure OpenLDAP - Failed to validate connection for idpauser user.], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Protection Storage, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Protection Software, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Data Protection Central, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Reporting & Analytics, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Search, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Hypervisor Manager, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Hypervisor, failedCredentialsStatusList=[], sameCredentialsStatusList=[]], ProductCredentialsStatus [productName=Appliance Configuration Manager, failedCredentialsStatusList=[], sameCredentialsStatusList=[]]], resultStatus=false, sameCredentialStatus=false]


Den server.log viser at det anonyme LDAP-oppslaget ble deaktivert da du prøvde å kjøre kommandoen:

acm-:/ # ldapsearch -x -b "dc=idpa,dc=local" -h <ACM FQDN> "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"
ldap_bind: Inappropriate authentication (48)
        additional info: anonymous bind disallowed
acm-: #


I den gjeldende arbeidsflyten for ACM-endring av passord, på eller før IDPA versjon 2.7.3, brukes et anonymt LDAP-oppslag for passordbekreftelse. Når det anonyme LDAP-oppslaget er deaktivert i ACM, mislykkes passordbekreftelsen. 

En teknisk eskalering er sendt, og en permanent løsning forventes i en kommende programvareutgivelse. Følg løsningen nedenfor for å endre passordet for verktøyet til en permanent løsning er tilgjengelig.

解决方案

Løsning:
Følg trinnene for å aktivere anonyme LDAP-oppslag i ACM:

  1. SSH til ACM ved hjelp av rotbruker
  2. Gå til "/etc/openldap"-mappen.
cd /etc/openldap
  1. Opprett en ldif-fil ved hjelp av følgende kommando: 
vi ldap_enable_bind_anon.ldif
Bruk "i" for å gå inn i vi innsettingsmodus, og lim deretter inn følgende innhold i filen: 
dn: cn=config
changetype: modify
delete: olcDisallows
olcDisallows: bind_anon

dn: cn=config
changetype: modify
delete: olcRequires
olcRequires: authc

dn: olcDatabase={-1}frontend,cn=config
changetype: modify
delete: olcRequires
olcRequires: authc
  1. Lagre filen. Trykk på "Esc" på tastaturet for å gå tilbake til vi-kommandomodus. Trykk på ":wq!" for å lagre filen.
  2. Bekreft filinnholdet ved hjelp av kommandoen:
cat ldap_enable_bind_anon.ldif
Eksempel på utdata: 
acm:/etc/openldap # cat ldap_enable_bind_anon.ldif
dn: cn=config
changetype: modify
delete: olcDisallows
olcDisallows: bind_anon

dn: cn=config
changetype: modify
delete: olcRequires
olcRequires: authc

dn: olcDatabase={-1}frontend,cn=config
changetype: modify
delete: olcRequires
olcRequires: authc
acm:/etc/openldap #
  1. Aktiver anonyme LDAP-oppslag med følgende kommando:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_enable_bind_anon.ldif
Eksempel på utdata: 
acm:/etc/openldap # ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldap_enable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"

modifying entry "cn=config"

modifying entry "olcDatabase={-1}frontend,cn=config"

acm-:/etc/openldap #
  1. Start LDPA-serveren på nytt:
systemctl restart slapd
  1. Kjør følgende kommando for å bekrefte at anonyme LDAP-oppslag er aktivert:
ldapsearch -x -b "dc=idpa,dc=local" -h <ACM FQDN> "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"
or
ldapsearch -x -b "dc=idpa,dc=local" -h `hostname -f` "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"
Eksempel på utdata: 
acm:/etc/openldap # ldapsearch -x -b "dc=idpa,dc=local" -h `hostname -f` "(&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))"
# extended LDIF
#
# LDAPv3
# base <dc=idpa,dc=local> with scope subtree
# filter: (&(objectClass=posixGroup)(cn=idpagroup)(gidNumber=1000))
# requesting: ALL
#

# idpagroup, Group, idpa.local
dn: cn=idpagroup,ou=Group,dc=idpa,dc=local
objectClass: top
objectClass: posixGroup
cn: idpagroup
memberUid: idpauser
gidNumber: 1000

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
acm:/etc/openldap #
  1. Logg på ACM-grensesnittet, og endre passordet for verktøyet på nytt. Den skal fullføres uten problemer:
Skjermbilde av passordendring for DP-serien pågår
Figur 2: Skjermbilde av passordendring for DP-serien pågår
  1. Se om anonyme LDAP-oppslag for ACM må deaktiveres eller ikke. Hvis ja, følger du Dell-artikkelen 196092, PowerProtect DP-apparatet og IDPA: LDAP Anonymous Directory Access tillatt i Appliance Configuration Manager for å deaktivere det anonyme oppslaget på nytt. 

受影响的产品

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
文章属性
文章编号: 000212941
文章类型: Solution
上次修改时间: 01 8月 2025
版本:  5
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。