跳转到主内容

归档:在 UM 中设置和故障排除远程身份验证

Views:
1
Visibility:
Internal
Votes:
0
Category:
active-iq-unified-manager
Specialty:
om
Last Updated:
归档请求者: Cody Jarvis
归档原因: 文章创建不正确; INC2775143

适用于

Active IQ ( AIQ ) Unified Manager 9.x

解答

启用远程身份验证 

您可以在 Unified Manager 服务器上启用 LDAP 或 Active Directory 身份验证,并将其配置为与 LDAP 服务器配合使用,以便对远程用户进行身份验证。

通过身份验证服务,可以先对身份验证服务器中的远程用户或远程组进行身份验证,然后再为其提供对 Unified Manager 的访问权限。您可以使用预定义的身份验证服务(例如 Active Directory 或 OpenLDAP )或配置自己的身份验证机制来对用户进行身份验证

 

" 启用远程身份验证 " 分为两部分

  • 远程身份验证页面设置
  • 远程用户或远程组设置

    注意:要启用远程身份验证,我们必须完成这两项设置

远程身份验证的前提条件? 

  • 端口必须位于 LDAP 和 Unified Manager 服务器之间
    • 端口 389
    • 端口 636
    • 端口 445
    • 端口 445
    • 端口 88
    • 端口 53
    • 如果使用全局目录 LDAP 服务器
      • 端口 3268
      • 端口 3269
  • 可以从 UM 服务器运行以下命令进行检查 此端口在 UM 和 LDAP 服务器之间处于打开状态
    • UM Windows 服务器
    • UM Linux Server
      在 Linux 中使用您最喜欢的命令测试两个服务器之间的端口
      • UM 服务器 -> nc -zvw10<ldap_server_name_or_ip>端口中的命令
        • 示例 -> nc -zvw10 192.168.0.1 389
  • 防火墙必须允许上述端口
  • 具有 " 密码永不过期 " 的域用户或域服务帐户 应使用属性
  • 域组,以允许具有不同访问角色的用户在中使用 Unified Manager 服务器
  • 域用户可以从 Windows 命令行界面运行以下命令,以收集有关 Active Directory 设置的信息:
    systeminfo<- 提供登录域控制
    器,域名 gpresult/R <-- 将提供正在运行此命令的域用户的基本可分辨名称( DN )以及域用户所属的域组。

远程身份验证页面设置? 

注意:以下屏幕截图摘自 Active IQ Unified Manager 9.7 。  要从先前的 Unified Manager 版本( 7.3 到 9.6 )访问 " 远程身份验证 " 页面,请执行以下操作

  • 在工具栏中,单击,然后单击左侧设置菜单中的身份验证。
  • 在设置选项页面中,单击管理服务器 > 身份验证。

 

屏幕截图:适用于远程身份验证的 Active IQ Unified Manager 9.7 :

 

详细信息步骤:

  1. 在左侧导航窗格中,单击 " 常规 ">" 远程身份验证 " 。
     
  2. 选中 Enable remote authentication ... 复选框
     
  3. 在身份验证服务字段中,选择服务类型并配置身份验证服务。
    • 有关身份验证服务的更多详细信息和字段说明,请参见此处
       
    • 注 1 :如果我们在远程身份验证页面设置中遇到 " 域用户帐户 " 或 " 域用户服务帐户 " 问题,如果我们可以使用自己的域,这将会很有帮助 " 管理员名称 " 下的用户名用于测试
       
    • 注 2 :请勿使用 "sAMAccountName" ( domain\username ),而只使用 " 域用户名 " 。
       
    • 注 3 :从可分辨名称中提取的基本区分名称示例,我们可以通过运行 "gpresult/R" 命令来收集该名称
      • 可分辨名称( DN ): CN=Administrator , CN=Users , DC=RTP , DC=lab , DC=NetApp , DC=com
      • 基本可分辨名称: DC=RTP , DC=lab , DC=NetApp , DC=com
         
  4. 使用此选项可以在中禁用嵌套组查找 LDAP 或 Active Directory 域控制器
     
    • 禁用嵌套组可加快查找速度,这是可选的
       
  5. 身份验证服务器是 LDAP/Active Directory 域控制器
     
    • 注 1 :如果可能,请尝试设置和测试位于统一管理器所在子网 /Active Directory 站点和服务上的身份验证服务器
       
    • 注 2 :如果可能,请尝试使用端口 389 进行测试
       
    • 注 3 :如果端口 389 未打开,请执行以下操作
      • 启用 " 使用安全连接 " 复选框,只有在使用端口 389 设置身份验证服务器时,才会弹出警告标志,请单击关闭


         
      • 如果为身份验证服务器配置了端口 389 ,则会弹出错误


         
      • 编辑 " 身份验证服务器 " 并将端口从 389 更改为 389 到 636
         
    • 注 4 :如果您要对身份验证服务器使用任何别名,请确保此名称在统一管理器服务器上 " 可固定 " ,此外,如果您使用的是安全身份验证,则别名必须与来自身份验证服务器或域控制器公用名( CN )的证书匹配。不匹配将在 Unified Manager 远程身份验证设置中引发问题。
       
  6. 请输入正确的身份验证服务器名称,该名称也可从 UM 服务器执行 "pingable" 操作。请查看上面的 " 注 4"
     
  7. 保存远程身份验证页面设置
     
    • 注 1 :在进行故障排除时,我们会对远程身份验证页面进行更改,但忘记保存设置
       
  8. 测试身份验证
    • 注意:在测试身份验证时,请仅使用域用户名,而不是 " sAMAccountName " ( domain\username )。
       

远程用户或远程组设置? 

只有在统一管理器的 " 用户 " 页面中添加 " 远程用户 " , " 远程组 " 或 " 两者 " 之后,远程身份验证才会完成。远程用户和组是您的 LDAP/Domain 用户和组。

  1. 在左侧导航窗格中,单击 " 常规 ">" 用户 "
  2. 有关详细信息,请参见此处

对远程身份验证进行故障排除? 

在此处找到 Unified Manager ( UM )日志位置
 

w'w'w'0'w'%

场景 1

w'w'w'0'w'%

UM Web UI :

无法对用户 "user_name" 进行身份验证。

 

UM 日志显示错误:

ocum-error.log
202020-05 13 : 25 : 49 , 536 错误 [user_name] [default task-412] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.gc.c.l.LdapServersPagePresent] 无法对用户 "user_name" 进行身份验证。 

ocumserver.log
202020-05 13 : 25 : 49 , 536 错误 [user_name] [default task-412] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.gc.c.l.LdapServersPagePresent] 无法对用户 "user_name" 进行身份验证。 
com.google.gwt.core.shared.SerializableThrowable :无法对用户 "user_name" 进行身份验证。 

 

补救措施 / 检查:

检查域用户名和密码是否正确
检查是否已在 UM 的 " 用户 " 页面下添加远程用户或远程组

 

w'w'w'0'w'%

场景 2

w'w'w'0'w'%

UM Web UI :

无法通过 SSL 与主机 10.x.x.x 建立通信。

 

UM 日志显示错误:

ocumserver.log :
20202-11-05 13 : 32 : 15 , 732 错误 [user_name] (默认任务 -414] ) [service.logging.SimpleRemoteLoggingService|logOnServer] ( C.n.n.n.n.nc.c.x.a.e.ApplicationErrorHandler] 无法通过 SSL 与主机 10.x.x.x 建立通信。
com.google.gwt.core.shared.SerializableThrowable :无法通过 SSL 与主机 10.x.x.x 建立通信。

ocum-error.log
202020-05 13 : 32 : 15 , 732 错误 [user_name] [default task-414] [service.logging.SimpleRemoteLoggingService|logOnServer] [C..n.nc.x.c.a.e.ApplicationErrorHandler] 无法通过 SSL 与主机 10.x.x.x 建立通信。

 

补救措施 / 检查:

在远程身份验证页面的身份验证服务器下配置正确的端口

 

w'w'w'0'w'%

场景 3

w'w'w'0'w'%

UM Web UI :

由于以下原因,无法与身份验证服务器通信:未找到与 IP 地址 10.x.x.x 匹配的使用者备用名称。请验证身份验证服务器配置。

 

UM 日志显示错误:

ocum-error.log
202020-05 13 : 34 : 27 , 333 错误 [user_name] [default task-414] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.gc.c.ld.LdapServersPagePresent] 无法与身份验证服务器通信,原因:未找到与 IP 地址 10.x.x.x 匹配的使用者替代名称。请验证身份验证服务器配置。 


ocumserver.log
202020-05 13 : 34 : 27 , 333 错误 [user_name] [default task-414] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.gc.c.ld.LdapServersPagePresent] 无法与身份验证服务器通信,原因:未找到与 IP 地址 10.x.x.x 匹配的使用者替代名称。请验证身份验证服务器配置。 
com.google.gwt.core.shared.SerializableThrowable :由于以下原因无法与身份验证服务器通信:未找到与 IP 地址 10.x.x.x 匹配的使用者备用名称。请验证身份验证服务器配置。

 

补救措施 / 检查:

检查在 " 远程身份验证 " UM 窗口的 " 身份验证服务器 " 下添加的服务器名称。此名称必须与域控制器证书的公用名( Common Name , CN )匹
配。命令名称( CN )必须与 UM 服务器的命令名称( pinagble )匹配。
尝试删除并重新添加名称正确( CN )的 " 域控制器 " 或 " 身份验证服务器 " 。

 

w'w'w'0'w'%

场景 4

w'w'w'0'w'%

UM Web UI :

在身份验证服务器中未找到用户或组 " 名称 " 。此用户或组不存在或无法通过当前身份验证设置找到它。

 

UM 日志显示错误:

ocum-error.log
202020-011 13 : 50 : 21 , 783 错误 [user_name] [default task-427] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.g.c.l.LdapServersPagePresent] 未在身份验证服务器中找到用户或组 "name" 。此用户或组不存在或无法通过当前身份验证设置找到它。 


ocumserver.log
202020-011 13 : 50 : 21 , 783 错误 [user_name] [default task-427] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.g.c.l.LdapServersPagePresent] 未在身份验证服务器中找到用户或组 "name" 。此用户或组不存在或无法通过当前身份验证设置找到它。 
com.google.gwt.core.shared.SerializableThrowable :在身份验证服务器中未找到用户或组 "name" 。此用户或组不存在或无法通过当前身份验证设置找到它。 

 

补救措施 / 检查:

绑定管理员名称或密码可能不正确?
检查基本名称是否正确?
如果要在远程身份验证页面窗口下更改任何配置,请始终保存这些设置。

 

w'w'w'0'w'%

场景 5

w'w'w'0'w'%

UM Web UI :

身份验证失败。请验证用户名和密码。

 

UM 日志显示错误:

审核日志:
2005 年 11 月 13 : 52 : 00 (: notic) :: Web : err : [10.x.x.x] :用户名身份验证失败 org.springframework.security.web.authentication.WebAuthenticationDetails@ffffc434: RemoteIpAddress : 10.x.x.x ; SessionID :空): org.springframework.security.authentication.BadCredentialsException: 令牌 LDAP 用户身份验证失败。

 

补救措施 / 检查:

检查是否在 UM 中的 Users 下添加远程用户或远程组
检查域用户名和密码是否正确

 

w'w'w'0'w'%

场景 6

w'w'w'0'w'%

UM Web UI :

由于未正确配置身份验证服务器,因此无法与身份验证服务器通信。请验证身份验证服务器配置。( LDAP 错误代码: 49/ 52e )

 

UM 日志显示错误:

ocumserver.log
202020-05 13 : 55 : 27 , 053 错误 [admin] 【默认任务 433] [service.setup.ldap.LdapService|testLdapUser] [C.N.DFM.IMPl.RBC.LdapUserCheck] 无法与身份验证服务器通信,因为身份验证服务器配置不正确。验证身份验证服务器配置
org.springframework.ldap.authenticationException : [ldap :错误代码 49 - 80090308 : LdapErr : DSID-0C090446 ,注释: AcceptSecurityContext 错误,数据 52e , v2580 ] ;嵌套异常为 javax.naming 。 AuthenticationException : [ldap :错误代码 49 - 80090446 ,错误代码: C090308 :错误:错误:

ocum-error.log :
20202-11-05 13 : 55 : 27 , 053 错误 [admin] 【默认任务 433] service.setup.ldap.LdapService|testLdapUser] [C.N.DFM.imp.rbc.LdapUserCheck] 无法与身份验证服务器通信,因为身份验证服务器配置不正确。请验证身份验证服务器配置。 

2020 年 11 月 5 日 13 : 55 : 27 , 067 错误 "admin" (管理)【默认任务 431】 ( service.logging.SimpleRemoteLoggingService|logOnServer] ) [C.n.w.g.c.c.l.LdapServersPagePresenter] 无法与身份验证服务器通信,因为身份验证服务器配置不正确。请验证身份验证服务器配置。( LDAP 错误代码: 49/ 52e )

 

补救措施 / 检查:

绑定管理员名称或密码错误
检查基本可分辨名称是否正确
如果要在远程身份验证窗口下更改任何配置,请始终保存设置

其他信息

附加信息 _text