UCS M LDAP-handleiding voor probleemoplossing

Downloadopties

  • PDF     (277.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (83.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (72.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:20 juni 2024
Document-id:200092

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding


    Dit document bevat informatie over het valideren van de LDAP-configuratie (Lichtgewicht Directory Access Protocol) op de Unified Computing System Manager (UCSM) en stappen om problemen met LDAP-verificatiefouten te onderzoeken.

    Configuratiehandleidingen:

    UCS M-configuratieverificatie

    Configuratie van actieve map (AD)

    Controleer de UCSM LDAP-configuratie

    Zorg ervoor dat UCSM de configuratie met succes heeft geïmplementeerd door de status van de Finite State Machine (FSM) te controleren en dat de configuratie voltooid is op 100%.

    Van CSM Command Line Interface (CLI)-context

    ucs # scope security
    ucs /security # scope ldap 
    ucs /security/ldap # show configuration
    ucs /security/ldap # show fsm status


    Van Nexus Operating System (NX-OS) CLI-context

    ucs # scope security 
    ucs(nxos)# show ldap-server
    ucs(nxos)# show ldap-server groups

    Beste praktijken voor LDAP-configuratie


    1. Maak extra verificatiedomeinen aan in plaats van het domein "Native Authentiation" te wijzigen

    2. Gebruik altijd het lokale domein voor 'console authenticatie', In het geval dat de gebruiker is uitgesloten van het gebruik van 'native authenticatie', zou admin nog steeds in staat zijn om toegang tot het vanuit console.

    3. UCSM reageert altijd niet op lokale verificatie als alle servers in het betreffende auth-domein niet reageerden tijdens de inlogpoging (niet van toepassing voor de opdracht Test Aa).

    LDAP-configuratie valideren


    Test de LDAP-verificatie met de opdracht NX-OS. De opdracht 'test aaa' is alleen beschikbaar via de NX-OS CLI-interface.

    1. Valideren van LDAP-groepsspecifieke configuratie.

    De volgende opdracht wordt uitgevoerd door een lijst van alle geconfigureerde LDAP-servers op basis van de ingestelde volgorde.

    ucs(nxos)# test aaa group ldap <username> <password>


    2. Specifieke LDAP-serverconfiguratie valideren

    ucs(nxos)# test aaa server ldap <LDAP-server-IP-address or FQDN> <username> <password>


    OPMERKING 1: <password> De string wordt weergegeven op de terminal.

    OPMERKING 2: De LDAP-server IP of FQDN moet overeenkomen met een geconfigureerde LDAP-provider.

    In dit geval test UCSM de authenticatie tegen specifieke servers en kan falen als er geen filter geconfigureerd is voor de opgegeven LDAP-server.

    Probleemoplossing voor LDAP-inlogfouten


    Dit gedeelte bevat informatie over het diagnosticeren van LDAP-verificatieproblemen.

    Probleemscenario #1 - Kan niet inloggen

    Kan niet inloggen als LDAP-gebruiker via zowel UCSM Graphical User Interface (GUI) als CLI

    Gebruiker ontvangt "Error Authenticating to server" tijdens het testen van LDAP-verificatie.

    (nxos)# test aaa server ldap <LDAP-server> <user-name> <password>
    error authenticating to server
    bind failed for <base DN>: Can't contact LDAP server


    Aanbeveling
    Controleer de netwerkverbinding tussen LDAP-server en Fabric Interconnect (FI) beheerinterface door ICMP (Internet Control Message Protocol) en stel de telnet-verbinding in vanaf de lokale beheercontext

    ucs# connect local
    ucs-local-mgmt # ping <LDAP server-IP-address OR FQDN>
    ucs-local-mgmt # telnet <LDAP-Server-IP-Address OR FQDN> <port-number> 

    Onderzoeken van IP-netwerkconnectiviteit (Internet Protocol) als UCSM geen LDAP-server kan pingen of telnet-sessie voor LDAP-server kan openen.

    Controleer of Domain Name Service (DNS) correct IP-adres naar UCS retourneert voor LDAP-server hostnaam en zorg ervoor dat LDAP-verkeer niet wordt geblokkeerd tussen deze twee apparaten.

    Probleemscenario #2 - Kan inloggen op GUI, kan niet inloggen op SSH

    LDAP-gebruiker kan zich aanmelden via UCSM GUI maar kan SSH-sessie niet openen naar FI. 


    Aanbeveling

    Wanneer u een SSH-sessie instelt op FI als LDAP-gebruiker, vereist UCSM dat " ucs- " is toegevoegd aan de LDAP-domeinnaam

    * Van Linux / MAC machine 

    ssh ucs-<domain-name>\\<username>@<UCSM-IP-Address>
    ssh -l ucs-<domain-name>\\<username> <UCSM-IP-address>
    ssh <UCSM-IP-address> -l ucs-<domain-name>\\<username>


    * Vanaf putty client

    Login as: ucs-<domain-name>\<username>


    N.B.: Domeinnaam is hoofdlettergevoelig en moet overeenkomen met de domeinnaam die in UCSM is geconfigureerd. De maximale gebruikerslengte kan 32 tekens zijn, inclusief de domeinnaam.

    "ucs-<domain-name>\<user-name>" = 32 tekens.

    Probleemscenario #3 - Gebruiker heeft alleen-lezen rechten

    LDAP-gebruiker kan inloggen maar heeft alleen-lezen rechten, ook al zijn de kaarten van de ldap-groep correct geconfigureerd in UCSM.


    Aanbeveling
    Als er tijdens het LDAP-inlogproces geen rollen zijn opgehaald, wordt de externe gebruiker ofwel met de standaardrol ( read only access ) toegestaan of de toegang ( no-login ) tot inloggen op UCSM ontzegd, op basis van het beleid voor externe inloggen.

    Wanneer de gebruiker op afstand inlogt en alleen-lezen toegang krijgt, moet u in dat geval de lidmaatschapsgegevens van de gebruikersgroep in LDAP/AD verifiëren.
    We kunnen bijvoorbeeld ADSIEDIT-hulpprogramma gebruiken voor MS Active Directory. of ldapserach in het geval van Linux/Mac.

    Het kan ook worden geverifieerd met "test aaa" opdracht van NX-OS shell.

    Probleemscenario #4 - Kan niet inloggen met 'Remote Verification'

    Gebruiker kan zich niet aanmelden of heeft alleen-lezen toegang tot UCSM als externe gebruiker wanneer "Native Authenticatie" is gewijzigd in een mechanisme voor externe verificatie ( LDAP etc ) 


    Aanbeveling
    Aangezien UCSM terugvalt op lokale verificatie voor consoletoegang wanneer het geen externe verificatieserver kan bereiken, kunnen we de onderstaande stappen volgen om het te herstellen.

    1. Koppel de mgmt-interfacekabel van primaire FI los (geef aan welke clusterstatus als primair fungeert)
    2. Verbinding maken met de console van de primaire FI
    3. Voer de volgende opdrachten uit om de oorspronkelijke verificatie te wijzigen

    scope security
    show authentication
    set authentication console local
    set authentication default local
    commit-buffer

    4. Sluit de beheerinterfacekabel aan
    5. Aanmelden via UCSM met lokale account en auth-domain maken voor externe verificatie (ex LDAP).
    LET OP: het verbreken van de mgmt interface zou GEEN invloed hebben op het dataplaat verkeer.

    Probleemscenario #4 - LDAP-verificatie werkt maar niet met SSL ingeschakeld

    LDAP-verificatie werkt prima zonder Secure Socket Layer (SSL), maar mislukt wanneer SSL-optie is ingeschakeld.


    Aanbeveling
    UCSM LDAP-client maakt gebruik van de geconfigureerde vertrouwde punten (Certificate Authority (CA)-certificaten) terwijl de SSL-verbinding wordt gemaakt.

    1. Zorg ervoor dat het vertrouwenspunt goed is geconfigureerd.

    2. Het identificeerveld in cert moet de hostnaam "van de LDAP-server zijn. Zorg ervoor dat de hostnaam die in UCSM is geconfigureerd overeenkomt met de hostnaam in het certificaat en geldig is.

    3. Zorg ervoor dat UCSM is geconfigureerd met 'hostname' en niet 'ipaddress' van de LDAP-server en dat het kan worden teruggekocht van de lokale-mgmt interface.

    Probleemscenario #5 - Verificatie mislukt na wijzigingen in LDAP-provider

    Verificatie mislukt na verwijdering van oude LDAP-server en toevoeging van nieuwe LDAP-server 


    Aanbeveling
    Wanneer LDAP wordt gebruikt in authenticatie domein, is het verwijderen en toevoegen van nieuwe servers niet toegestaan. Van versie UCSM 2.1, zou het in FSM mislukking resulteren.

    De te volgen stappen bij het verwijderen/toevoegen van nieuwe servers in dezelfde transactie zijn

    1. Controleer of alle verificatiegebieden met ldap zijn gewijzigd in lokaal en de configuratie zijn opgeslagen.
    2. Werk de LDAP-servers bij en controleer of de FSM-status met succes is voltooid.
    3. Verander het auth-domein van domeinen die in stap 1 zijn aangepast, naar LDAP.

    Voor alle andere probleemscenario's - Debugging LDAP

    Zet de debugs aan, probeer aan login als gebruiker LDAP en verzamel volgende logboeken samen met technische ondersteuning UCSM die mislukte login gebeurtenis vangt.

    1) Open een SSH-sessie voor FI en login als lokale gebruiker en wijzig deze naar NX-OS CLI-context. 

    ucs # connect nxos

    2) Schakel de volgende debug-flags in en sla de SSH-sessie op in het logbestand.

    ucs(nxos)# debug aaa all <<< not required, incase of debugging authentication problems.
    ucs(nxos)# debug aaa aaa-requests

    ucs(nxos)# debug ldap all <<< not required, incase of debugging authentication problems.
    ucs(nxos)# debug ldap aaa-request-lowlevel
    ucs(nxos)# debug ldap aaa-request


    3) Open nu een nieuwe GUI- of CLI-sessie en probeer als externe gebruiker in te loggen ( LDAP )
    4) Zodra u een melding van inlogfout hebt ontvangen, schakelt u de debugs uit.

    ucs(nxos)# undebug all

    Packet capture van LDAP-verkeer

    In scenario's waarin pakketopname vereist is, kan Ethanalyzer worden gebruikt om LDAP-verkeer tussen FI- en LDAP-server op te nemen.

    ucs(nxos)# ethanalyzer local interface mgmt capture-filter "host <LDAP-server-IP-address>" detail limit-captured-frames 0 write /bootflash/sysdebug/diagnostics/test-ldap.pcap


    In de bovenstaande opdracht wordt het pcap-bestand opgeslagen onder de directory /workspace/diagnostiek en kan via de CLI-context van local-mgmt worden opgehaald van FI

    Boven de opdracht kan worden gebruikt om pakketten op te nemen voor elk willekeurig authenticatieverkeer op afstand (LDAP, TACACS, RADIUS).
    5. Relevante logs in UCSM-bundel voor technische ondersteuning

    In UCS M techsupport vindt u de relevante logbestanden onder de <FI>/var/sysmgr/sam_logs-directory

    httpd.log
    svc_sam_dcosAG
    svc_sam_pamProxy.log 
    NX-OS commands or from <FI>/sw_techsupport log file

    ucs-(nxos)# show system internal ldap event-history errors 
    ucs-(nxos)# show system internal ldap event-history msgs 
    ucs-(nxos)# show log

    Bekende voorbehouden

    CSCth96721
    wortel van ldap server op sam zou meer dan 128 karakters moeten toestaan

    UCSM-versie eerder dan 2.1 heeft een beperking van 127 tekens voor de basis-DN / bind DN-string.

    http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/cli/config/guide/2.0/b_UCSM_CLI_Configuration_Guide_2_0_chapter_0111.html#task_0FC4E8245C6D4A64B5A1F575DAEC6127

    --------------------
    De specifieke voorname naam in de LDAP-hiërarchie waar de server moet beginnen met zoeken wanneer een externe gebruiker zich aanmeldt en het systeem probeert om de DN van de gebruiker te krijgen op basis van hun gebruikersnaam. De maximale ondersteunde tekenlengte is 127 tekens.
    ----------------------------

    Probleem is opgelost in release 2.1.1 en hoger


    CSCuf19514
    LDAP daemon crashte

    LDAP client kan crashen tijdens het initialiseren van de ssl bibliotheek als de ldap_start_tls_s aanroep meer dan 60 seconden nodig heeft om de initialisatie te voltooien. Dit kan alleen gebeuren in geval van ongeldige DNS-invoer / vertragingen in DNS-resolutie.

    Neem stappen om de DNS resolutie vertragingen en fouten aan te pakken.

    CSCvt31344 - beveiligde LDAP mislukt na UCS-upgrade van 4.0.4 naar 4.1

    LDAP-updates in infrastructuurfirmware 4.1 en later resulteerden in strengere LDAP-configuratievereisten in UCSM. Na het upgraden van de UCSM kan de LDAP-verificatie mislukken totdat de configuratie is aangepast. Zie de releaseopmerkingen van CSCvt31344 voor meer informatie. 

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    20-Jun-2024
    voorbehoud toevoegen
    1.0
    01-Sep-2015
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten