Guía de Troubleshooting de UCSM LDAP

Introducción

Este documento proporciona información sobre la validación de la configuración del protocolo ligero de acceso a directorios (LDAP) en Unified Computing System Manager (UCSM) y los pasos para investigar los problemas de falla de autenticación LDAP.

Guías de Configuración:

Configuración de autenticación de UCSM

Configuración de ejemplo de Active Directory (AD)

Verificar la configuración LDAP de UCSM

Asegúrese de que UCSM ha implementado la configuración correctamente comprobando el estado de la máquina de estado finito (FSM) y que muestra completado al 100%.

Desde el contexto de la interfaz de línea de comandos (CLI) de UCSM

ucs # scope security
ucs /security # scope ldap 
ucs /security/ldap # show configuration
ucs /security/ldap # show fsm status

Desde el contexto CLI del sistema operativo Nexus (NX-OS)

ucs # scope security 
ucs(nxos)# show ldap-server
ucs(nxos)# show ldap-server groups

Prácticas recomendadas de configuración LDAP

1. Cree dominios de autenticación adicionales en lugar de cambiar el rango de "Autenticación nativa "

2. Utilice siempre el rango local para la 'autenticación de consola'. En caso de que el usuario no pueda utilizar la 'autenticación nativa', el administrador podrá acceder a ella desde la consola.

3. UCSM siempre falla en la autenticación local si todos los servidores en el dominio de autenticación dado no pudieron responder durante el intento de inicio de sesión (no aplicable para el comando test aaa ) .

Validando la configuración LDAP

Pruebe la autenticación LDAP mediante el comando NX-OS. El comando 'test aaa' solo está disponible en la interfaz CLI de NX-OS.

1. Valide la configuración específica del grupo LDAP.

El siguiente comando recorre la lista de todos los servidores LDAP configurados en función de su orden configurado.

ucs(nxos)# test aaa group ldap <username> <password>

2. Validar la configuración específica del servidor LDAP

ucs(nxos)# test aaa server ldap <LDAP-server-IP-address or FQDN> <username> <password>

NOTA 1: La cadena <password> se mostrará en el terminal.

NOTA 2: La dirección IP o FQDN del servidor LDAP debe coincidir con un proveedor LDAP configurado.

En este caso, UCSM prueba la autenticación contra un servidor específico y puede fallar si no hay ningún filtro configurado para el servidor LDAP especificado.

Troubleshooting de fallas de inicio de sesión LDAP

Esta sección proporciona información sobre el diagnóstico de problemas de autenticación LDAP.

Situación del problema #1: no se puede iniciar sesión

No se puede iniciar sesión como usuario LDAP a través de la interfaz gráfica de usuario (GUI) y CLI de UCSM

El usuario recibe "Error al autenticarse en el servidor" mientras prueba la autenticación LDAP.

(nxos)# test aaa server ldap <LDAP-server> <user-name> <password>
error authenticating to server
bind failed for <base DN>: Can't contact LDAP server

Recomendación
Verifique la conectividad de red entre el servidor LDAP y la interfaz de administración de Fabric Interconnect (FI) mediante ping ICMP (Internet Control Message Protocol) y estableciendo la conexión telnet desde el contexto de administración local

ucs# connect local
ucs-local-mgmt # ping <LDAP server-IP-address OR FQDN>
ucs-local-mgmt # telnet <LDAP-Server-IP-Address OR FQDN> <port-number> 

Investigue la conectividad de red del protocolo de Internet (IP) si UCSM no puede hacer ping al servidor LDAP o abrir la sesión telnet al servidor LDAP.

Verifique si el Servicio de nombres de dominio (DNS) devuelve la dirección IP correcta a UCS para el nombre de host del servidor LDAP y asegúrese de que el tráfico LDAP no está bloqueado entre estos dos dispositivos.

Situación de problema #2 - Puede iniciar sesión en la GUI, no puede iniciar sesión en SSH

El usuario de LDAP puede iniciar sesión a través de la GUI de UCSM pero no puede abrir la sesión SSH a FI. 

Recomendación

Al establecer una sesión SSH para FI como usuario LDAP, UCSM requiere que se anteponga " ucs- " al nombre de dominio LDAP

* Desde máquinas Linux / MAC 

ssh ucs-<domain-name>\\<username>@<UCSM-IP-Address>
ssh -l ucs-<domain-name>\\<username> <UCSM-IP-address>
ssh <UCSM-IP-address> -l ucs-<domain-name>\\<username>

* Desde el cliente de masilla

Login as: ucs-<domain-name>\<username>

NOTA: El nombre de dominio distingue entre mayúsculas y minúsculas y debe coincidir con el nombre de dominio configurado en UCSM. La longitud máxima del nombre de usuario puede ser de 32 caracteres que incluye el nombre de dominio.

"ucs-<domain-name>\<user-name>" = 32 caracteres.

Situación del problema #3: el usuario tiene privilegios de solo lectura

El usuario de LDAP puede iniciar sesión pero tiene privilegios de sólo lectura aunque los mapas de grupo de LDAP estén correctamente configurados en UCSM.

Recomendación
Si no se ha recuperado ningún rol durante el proceso de inicio de sesión LDAP, el usuario remoto puede iniciar sesión en UCSM con el rol predeterminado ( acceso de solo lectura ) o con el acceso denegado ( sin inicio de sesión ), según la política de inicio de sesión remoto.

Cuando el usuario remoto inicia sesión y el usuario tiene acceso de solo lectura, en ese caso verifique los detalles de pertenencia al grupo de usuarios en LDAP/AD.
Por ejemplo, podemos utilizar la utilidad ADSIEDIT para MS Active Directory. o ldapserach en el caso de Linux/Mac.

También se puede verificar con el comando " test aaa " del shell de NX-OS.

Situación del problema #4 - No se puede iniciar sesión con 'Autenticación remota'

El usuario no puede iniciar sesión o tiene acceso de solo lectura a UCSM como usuario remoto cuando " Native Authentication " se cambió al mecanismo de autenticación remota ( LDAP, etc. ) 

Recomendación
A medida que UCSM recurre a la autenticación local para el acceso a la consola cuando no puede alcanzar el servidor de autenticación remoto, podemos seguir los siguientes pasos para recuperarlo.

1. Desconecte el cable de interfaz de administración del FI principal ( show cluster state indicaría cuál actúa como principal )
2. Conéctese a la consola del FI principal
3. Ejecute los siguientes comandos para cambiar la autenticación nativa

scope security
show authentication
set authentication console local
set authentication default local
commit-buffer

4. Conecte el cable de interfaz de gestión
5. Inicie sesión mediante UCSM con una cuenta local y cree un dominio de autenticación para un grupo de autenticación remota (ex LDAP).
NOTA: La desconexión de la interfaz de gestión NO afectaría al tráfico del plano de datos.

Escenario de problema #4 - La autenticación LDAP funciona pero no con SSL habilitado

La autenticación LDAP funciona correctamente sin Secure Socket Layer (SSL), pero falla cuando la opción SSL está habilitada.

Recomendación
El cliente UCSM LDAP utiliza los puntos de confianza configurados (certificados de autoridad certificadora (CA)) al establecer la conexión SSL.

1. Asegúrese de que el punto de confianza se haya configurado correctamente.

2. El campo de identificación en cert debe ser el " nombre de host " del servidor LDAP. Asegúrese de que el nombre de host configurado en UCSM coincida con el nombre de host presente en el certificado y que sea válido.

3. Asegúrese de que UCSM esté configurado con 'hostname' y no con 'ipaddress' del servidor LDAP y que sea recheable desde la interfaz local-mgmt.

Escenario de problema #5 - La autenticación falla después de los cambios del proveedor LDAP

La autenticación falla después de eliminar el servidor LDAP antiguo y agregar un nuevo servidor LDAP 

Recomendación
Cuando se utiliza LDAP en el rango de autenticación, no se permite eliminar ni agregar nuevos servidores. A partir de la versión 2.1 de UCSM, se produciría un fallo de FSM.

Los pasos que se deben seguir al eliminar o agregar nuevos servidores en la misma transacción son los siguientes

1. Asegúrese de que todos los rangos de autenticación que utilizan ldap se cambien a locales y se guarde la configuración.
2. Actualice los servidores LDAP y compruebe que el estado de FSM se ha completado correctamente.
3. Cambie los rangos de autenticación de los dominios modificados en el paso 1 a LDAP.

Para todos los otros escenarios de problemas - Depuración de LDAP

Active las depuraciones, intente iniciar sesión como usuario LDAP y recopile los registros siguientes junto con el soporte técnico de UCSM que captura el evento de inicio de sesión fallido.

1) Abra una sesión SSH en FI e inicie sesión como usuario local y cambie al contexto CLI de NX-OS.

ucs # connect nxos 

2) Habilite los siguientes indicadores de depuración y guarde el resultado de la sesión SSH en el archivo de registro.

ucs(nxos)# debug aaa all <<< not required, incase of debugging authentication problems.
ucs(nxos)# debug aaa aaa-requests

ucs(nxos)# debug ldap all <<< not required, incase of debugging authentication problems.
ucs(nxos)# debug ldap aaa-request-lowlevel
ucs(nxos)# debug ldap aaa-request

3) Ahora abra una nueva sesión GUI o CLI e intente iniciar sesión como usuario remoto ( LDAP )
4) Una vez que haya recibido el mensaje de error de inicio de sesión, apague los debugs.

ucs(nxos)# undebug all

Captura de paquetes del tráfico LDAP

En escenarios donde se requiere la captura de paquetes, Ethanalyzer puede usarse para capturar el tráfico LDAP entre FI y el servidor LDAP.

ucs(nxos)# ethanalyzer local interface mgmt capture-filter "host <LDAP-server-IP-address>" detail limit-captured-frames 0 write /bootflash/sysdebug/diagnostics/test-ldap.pcap

En el comando anterior, el archivo pcap se guarda en el directorio /workspace/diagnostics y se puede recuperar de FI a través del contexto CLI de administración local

El comando anterior se puede utilizar para capturar paquetes para cualquier tráfico de autenticación remoto ( LDAP, TACACS, RADIUS ).
5. Registros relevantes en el paquete de soporte técnico de UCSM

En el soporte técnico de UCSM, los registros relevantes se encuentran en el directorio <FI>/var/sysmgr/sam_logs

httpd.log
svc_sam_dcosAG
svc_sam_pamProxy.log 

NX-OS commands or from <FI>/sw_techsupport log file

ucs-(nxos)# show system internal ldap event-history errors 
ucs-(nxos)# show system internal ldap event-history msgs 
ucs-(nxos)# show log

Advertencias conocidas

CSCth96721
el router del servidor ldap en sam debe permitir más de 128 caracteres

La versión de UCSM anterior a la 2.1 tiene una limitación de 127 caracteres para la cadena DN base / DN de enlace.

http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/cli/config/guide/2.0/b_UCSM_CLI_Configuration_Guide_2_0_chapter_0111.html#task_0FC4E8245C6D4A64B5A1F575DAEC6127

---------snip----------
El nombre distinguido específico en la jerarquía LDAP donde el servidor debe comenzar una búsqueda cuando un usuario remoto inicia sesión y el sistema intenta obtener el DN del usuario basado en su nombre de usuario. La longitud máxima de cadena admitida es de 127 caracteres.
----------------------------

El problema se corrige en la versión 2.1.1 y posterior


CSCuf19514
LDAP daemon bloqueado

El cliente LDAP puede fallar al inicializar la biblioteca ssl si la llamada ldap_start_tls_s tarda más de 60 segundos en completar la inicialización. Esto solo puede suceder en caso de entrada de DNS no válida o retrasos en la resolución de DNS.

Tome medidas para solucionar los retrasos y errores de resolución de DNS.

CSCvt31344: falla LDAP seguro después de la actualización infra de UCS de 4.0.4 a 4.1

Las actualizaciones de LDAP en el firmware de infraestructura 4.1 y versiones posteriores dieron como resultado requisitos de configuración de LDAP más estrictos en UCSM. Después de actualizar UCSM, la autenticación LDAP puede fallar, hasta que se ajuste la configuración. Consulte las notas de la versión de CSCvt31344 para obtener más información.