Inleiding
Dit document bevat informatie over het valideren van de LDAP-configuratie (Lichtgewicht Directory Access Protocol) op de Unified Computing System Manager (UCSM) en stappen om problemen met LDAP-verificatiefouten te onderzoeken.
Configuratiehandleidingen:
UCS M-configuratieverificatie
Configuratie van actieve map (AD)
Controleer de UCSM LDAP-configuratie
Zorg ervoor dat UCSM de configuratie met succes heeft geïmplementeerd door de status van de Finite State Machine (FSM) te controleren en dat de configuratie voltooid is op 100%.
Van CSM Command Line Interface (CLI)-context
ucs # scope security
ucs /security # scope ldap
ucs /security/ldap # show configuration
ucs /security/ldap # show fsm status
Van Nexus Operating System (NX-OS) CLI-context
ucs # scope security
ucs(nxos)# show ldap-server
ucs(nxos)# show ldap-server groups
Beste praktijken voor LDAP-configuratie
1. Maak extra verificatiedomeinen aan in plaats van het domein "Native Authentiation" te wijzigen
2. Gebruik altijd het lokale domein voor 'console authenticatie', In het geval dat de gebruiker is uitgesloten van het gebruik van 'native authenticatie', zou admin nog steeds in staat zijn om toegang tot het vanuit console.
3. UCSM reageert altijd niet op lokale verificatie als alle servers in het betreffende auth-domein niet reageerden tijdens de inlogpoging (niet van toepassing voor de opdracht Test Aa).
LDAP-configuratie valideren
Test de LDAP-verificatie met de opdracht NX-OS. De opdracht 'test aaa' is alleen beschikbaar via de NX-OS CLI-interface.
1. Valideren van LDAP-groepsspecifieke configuratie.
De volgende opdracht wordt uitgevoerd door een lijst van alle geconfigureerde LDAP-servers op basis van de ingestelde volgorde.
ucs(nxos)# test aaa group ldap <username> <password>
2. Specifieke LDAP-serverconfiguratie valideren
ucs(nxos)# test aaa server ldap <LDAP-server-IP-address or FQDN> <username> <password>
OPMERKING 1: <password> De string wordt weergegeven op de terminal.
OPMERKING 2: De LDAP-server IP of FQDN moet overeenkomen met een geconfigureerde LDAP-provider.
In dit geval test UCSM de authenticatie tegen specifieke servers en kan falen als er geen filter geconfigureerd is voor de opgegeven LDAP-server.
Probleemoplossing voor LDAP-inlogfouten
Dit gedeelte bevat informatie over het diagnosticeren van LDAP-verificatieproblemen.
Probleemscenario #1 - Kan niet inloggen
Kan niet inloggen als LDAP-gebruiker via zowel UCSM Graphical User Interface (GUI) als CLI
Gebruiker ontvangt "Error Authenticating to server" tijdens het testen van LDAP-verificatie.
(nxos)# test aaa server ldap <LDAP-server> <user-name> <password>
error authenticating to server
bind failed for <base DN>: Can't contact LDAP server
Aanbeveling
Controleer de netwerkverbinding tussen LDAP-server en Fabric Interconnect (FI) beheerinterface door ICMP (Internet Control Message Protocol) en stel de telnet-verbinding in vanaf de lokale beheercontext
ucs# connect local
ucs-local-mgmt # ping <LDAP server-IP-address OR FQDN>
ucs-local-mgmt # telnet <LDAP-Server-IP-Address OR FQDN> <port-number>
Onderzoeken van IP-netwerkconnectiviteit (Internet Protocol) als UCSM geen LDAP-server kan pingen of telnet-sessie voor LDAP-server kan openen.
Controleer of Domain Name Service (DNS) correct IP-adres naar UCS retourneert voor LDAP-server hostnaam en zorg ervoor dat LDAP-verkeer niet wordt geblokkeerd tussen deze twee apparaten.
Probleemscenario #2 - Kan inloggen op GUI, kan niet inloggen op SSH
LDAP-gebruiker kan zich aanmelden via UCSM GUI maar kan SSH-sessie niet openen naar FI.
Aanbeveling
Wanneer u een SSH-sessie instelt op FI als LDAP-gebruiker, vereist UCSM dat " ucs- " is toegevoegd aan de LDAP-domeinnaam
* Van Linux / MAC machine
ssh ucs-<domain-name>\\<username>@<UCSM-IP-Address>
ssh -l ucs-<domain-name>\\<username> <UCSM-IP-address>
ssh <UCSM-IP-address> -l ucs-<domain-name>\\<username>
* Vanaf putty client
Login as: ucs-<domain-name>\<username>
N.B.: Domeinnaam is hoofdlettergevoelig en moet overeenkomen met de domeinnaam die in UCSM is geconfigureerd. De maximale gebruikerslengte kan 32 tekens zijn, inclusief de domeinnaam.
"ucs-<domain-name>\<user-name>" = 32 tekens.
Probleemscenario #3 - Gebruiker heeft alleen-lezen rechten
LDAP-gebruiker kan inloggen maar heeft alleen-lezen rechten, ook al zijn de kaarten van de ldap-groep correct geconfigureerd in UCSM.
Aanbeveling
Als er tijdens het LDAP-inlogproces geen rollen zijn opgehaald, wordt de externe gebruiker ofwel met de standaardrol ( read only access ) toegestaan of de toegang ( no-login ) tot inloggen op UCSM ontzegd, op basis van het beleid voor externe inloggen.
Wanneer de gebruiker op afstand inlogt en alleen-lezen toegang krijgt, moet u in dat geval de lidmaatschapsgegevens van de gebruikersgroep in LDAP/AD verifiëren.
We kunnen bijvoorbeeld ADSIEDIT-hulpprogramma gebruiken voor MS Active Directory. of ldapserach in het geval van Linux/Mac.
Het kan ook worden geverifieerd met "test aaa" opdracht van NX-OS shell.
Probleemscenario #4 - Kan niet inloggen met 'Remote Verification'
Gebruiker kan zich niet aanmelden of heeft alleen-lezen toegang tot UCSM als externe gebruiker wanneer "Native Authenticatie" is gewijzigd in een mechanisme voor externe verificatie ( LDAP etc )
Aanbeveling
Aangezien UCSM terugvalt op lokale verificatie voor consoletoegang wanneer het geen externe verificatieserver kan bereiken, kunnen we de onderstaande stappen volgen om het te herstellen.
1. Koppel de mgmt-interfacekabel van primaire FI los (geef aan welke clusterstatus als primair fungeert)
2. Verbinding maken met de console van de primaire FI
3. Voer de volgende opdrachten uit om de oorspronkelijke verificatie te wijzigen
scope security
show authentication
set authentication console local
set authentication default local
commit-buffer
4. Sluit de beheerinterfacekabel aan
5. Aanmelden via UCSM met lokale account en auth-domain maken voor externe verificatie (ex LDAP).
LET OP: het verbreken van de mgmt interface zou GEEN invloed hebben op het dataplaat verkeer.
Probleemscenario #4 - LDAP-verificatie werkt maar niet met SSL ingeschakeld
LDAP-verificatie werkt prima zonder Secure Socket Layer (SSL), maar mislukt wanneer SSL-optie is ingeschakeld.
Aanbeveling
UCSM LDAP-client maakt gebruik van de geconfigureerde vertrouwde punten (Certificate Authority (CA)-certificaten) terwijl de SSL-verbinding wordt gemaakt.
1. Zorg ervoor dat het vertrouwenspunt goed is geconfigureerd.
2. Het identificeerveld in cert moet de hostnaam "van de LDAP-server zijn. Zorg ervoor dat de hostnaam die in UCSM is geconfigureerd overeenkomt met de hostnaam in het certificaat en geldig is.
3. Zorg ervoor dat UCSM is geconfigureerd met 'hostname' en niet 'ipaddress' van de LDAP-server en dat het kan worden teruggekocht van de lokale-mgmt interface.
Probleemscenario #5 - Verificatie mislukt na wijzigingen in LDAP-provider
Verificatie mislukt na verwijdering van oude LDAP-server en toevoeging van nieuwe LDAP-server
Aanbeveling
Wanneer LDAP wordt gebruikt in authenticatie domein, is het verwijderen en toevoegen van nieuwe servers niet toegestaan. Van versie UCSM 2.1, zou het in FSM mislukking resulteren.
De te volgen stappen bij het verwijderen/toevoegen van nieuwe servers in dezelfde transactie zijn
1. Controleer of alle verificatiegebieden met ldap zijn gewijzigd in lokaal en de configuratie zijn opgeslagen.
2. Werk de LDAP-servers bij en controleer of de FSM-status met succes is voltooid.
3. Verander het auth-domein van domeinen die in stap 1 zijn aangepast, naar LDAP.
Voor alle andere probleemscenario's - Debugging LDAP
Zet de debugs aan, probeer aan login als gebruiker LDAP en verzamel volgende logboeken samen met technische ondersteuning UCSM die mislukte login gebeurtenis vangt.
1) Open een SSH-sessie voor FI en login als lokale gebruiker en wijzig deze naar NX-OS CLI-context.
ucs # connect nxos
2) Schakel de volgende debug-flags in en sla de SSH-sessie op in het logbestand.
ucs(nxos)# debug aaa all <<< not required, incase of debugging authentication problems.
ucs(nxos)# debug aaa aaa-requests
ucs(nxos)# debug ldap all <<< not required, incase of debugging authentication problems.
ucs(nxos)# debug ldap aaa-request-lowlevel
ucs(nxos)# debug ldap aaa-request
3) Open nu een nieuwe GUI- of CLI-sessie en probeer als externe gebruiker in te loggen ( LDAP )
4) Zodra u een melding van inlogfout hebt ontvangen, schakelt u de debugs uit.
ucs(nxos)# undebug all
Packet capture van LDAP-verkeer
In scenario's waarin pakketopname vereist is, kan Ethanalyzer worden gebruikt om LDAP-verkeer tussen FI- en LDAP-server op te nemen.
ucs(nxos)# ethanalyzer local interface mgmt capture-filter "host <LDAP-server-IP-address>" detail limit-captured-frames 0 write /bootflash/sysdebug/diagnostics/test-ldap.pcap
In de bovenstaande opdracht wordt het pcap-bestand opgeslagen onder de directory /workspace/diagnostiek en kan via de CLI-context van local-mgmt worden opgehaald van FI
Boven de opdracht kan worden gebruikt om pakketten op te nemen voor elk willekeurig authenticatieverkeer op afstand (LDAP, TACACS, RADIUS).
5. Relevante logs in UCSM-bundel voor technische ondersteuning
In UCS M techsupport vindt u de relevante logbestanden onder de <FI>/var/sysmgr/sam_logs-directory
httpd.log
svc_sam_dcosAG
svc_sam_pamProxy.log
NX-OS commands or from <FI>/sw_techsupport log file
ucs-(nxos)# show system internal ldap event-history errors
ucs-(nxos)# show system internal ldap event-history msgs
ucs-(nxos)# show log
Bekende voorbehouden
CSCth96721
wortel van ldap server op sam zou meer dan 128 karakters moeten toestaan
UCSM-versie eerder dan 2.1 heeft een beperking van 127 tekens voor de basis-DN / bind DN-string.
http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/cli/config/guide/2.0/b_UCSM_CLI_Configuration_Guide_2_0_chapter_0111.html#task_0FC4E8245C6D4A64B5A1F575DAEC6127
--------------------
De specifieke voorname naam in de LDAP-hiërarchie waar de server moet beginnen met zoeken wanneer een externe gebruiker zich aanmeldt en het systeem probeert om de DN van de gebruiker te krijgen op basis van hun gebruikersnaam. De maximale ondersteunde tekenlengte is 127 tekens.
----------------------------
Probleem is opgelost in release 2.1.1 en hoger
CSCuf19514
LDAP daemon crashte
LDAP client kan crashen tijdens het initialiseren van de ssl bibliotheek als de ldap_start_tls_s aanroep meer dan 60 seconden nodig heeft om de initialisatie te voltooien. Dit kan alleen gebeuren in geval van ongeldige DNS-invoer / vertragingen in DNS-resolutie.
Neem stappen om de DNS resolutie vertragingen en fouten aan te pakken.
CSCvt31344 - beveiligde LDAP mislukt na UCS-upgrade van 4.0.4 naar 4.1
LDAP-updates in infrastructuurfirmware 4.1 en later resulteerden in strengere LDAP-configuratievereisten in UCSM. Na het upgraden van de UCSM kan de LDAP-verificatie mislukken totdat de configuratie is aangepast. Zie de releaseopmerkingen van CSCvt31344 voor meer informatie.