跳转到主内容
NetApp Response to Russia-Ukraine Cyber Threat
In response to the recent rise in cyber threat due to the Russian-Ukraine crisis, NetApp is actively monitoring the global security intelligence and updating our cybersecurity measures. We follow U.S. Federal Government guidance and remain on high alert. Customers are encouraged to monitor the Cybersecurity and Infrastructure Security (CISA) website for new information as it develops and remain on high alert.

归档:在 UM 中设置和故障排除远程身份验证

Views:
39
Visibility:
Internal
Votes:
0
Category:
active-iq-unified-manager
Specialty:
om
Last Updated:
归档请求者: Cody Jarvis
归档原因: 文章创建不正确; INC2775143

适用于

Active IQ ( AIQ ) Unified Manager 9.x

解答

启用远程身份验证 

您可以在 Unified Manager 服务器上启用 LDAP 或 Active Directory 身份验证,并将其配置为与 LDAP 服务器配合使用,以便对远程用户进行身份验证。

通过身份验证服务,可以先对身份验证服务器中的远程用户或远程组进行身份验证,然后再为其提供对 Unified Manager 的访问权限。您可以使用预定义的身份验证服务(例如 Active Directory 或 OpenLDAP )或配置自己的身份验证机制来对用户进行身份验证

 

" 启用远程身份验证 " 分为两部分

  • 远程身份验证页面设置
  • 远程用户或远程组设置

    注意:要启用远程身份验证,我们必须完成这两项设置

远程身份验证的前提条件? 

  • 端口必须位于 LDAP 和 Unified Manager 服务器之间
    • 端口 389
    • 端口 636
    • 端口 445
    • 端口 445
    • 端口 88
    • 端口 53
    • 如果使用全局目录 LDAP 服务器
      • 端口 3268
      • 端口 3269
  • 可以从 UM 服务器运行以下命令进行检查 此端口在 UM 和 LDAP 服务器之间处于打开状态
    • UM Windows 服务器
    • UM Linux Server
      在 Linux 中使用您最喜欢的命令测试两个服务器之间的端口
      • UM 服务器 -> nc -zvw10<ldap_server_name_or_ip>端口中的命令
        • 示例 -> nc -zvw10 192.168.0.1 389
  • 防火墙必须允许上述端口
  • 具有 " 密码永不过期 " 的域用户或域服务帐户 应使用属性
  • 域组,以允许具有不同访问角色的用户在中使用 Unified Manager 服务器
  • 域用户可以从 Windows 命令行界面运行以下命令,以收集有关 Active Directory 设置的信息:
    systeminfo<- 提供登录域控制
    器,域名 gpresult/R <-- 将提供正在运行此命令的域用户的基本可分辨名称( DN )以及域用户所属的域组。

远程身份验证页面设置? 

注意:以下屏幕截图摘自 Active IQ Unified Manager 9.7 。  要从先前的 Unified Manager 版本( 7.3 到 9.6 )访问 " 远程身份验证 " 页面,请执行以下操作

  • 在工具栏中,单击,然后单击左侧设置菜单中的身份验证。
  • 在设置选项页面中,单击管理服务器 > 身份验证。

 

屏幕截图:适用于远程身份验证的 Active IQ Unified Manager 9.7 :

 

详细信息步骤:

  1. 在左侧导航窗格中,单击 " 常规 ">" 远程身份验证 " 。
     
  2. 选中 Enable remote authentication ... 复选框
     
  3. 在身份验证服务字段中,选择服务类型并配置身份验证服务。
    • 有关身份验证服务的更多详细信息和字段说明,请参见此处
       
    • 注 1 :如果我们在远程身份验证页面设置中遇到 " 域用户帐户 " 或 " 域用户服务帐户 " 问题,如果我们可以使用自己的域,这将会很有帮助 " 管理员名称 " 下的用户名用于测试
       
    • 注 2 :请勿使用 "sAMAccountName" ( domain\username ),而只使用 " 域用户名 " 。
       
    • 注 3 :从可分辨名称中提取的基本区分名称示例,我们可以通过运行 "gpresult/R" 命令来收集该名称
      • 可分辨名称( DN ): CN=Administrator , CN=Users , DC=RTP , DC=lab , DC=NetApp , DC=com
      • 基本可分辨名称: DC=RTP , DC=lab , DC=NetApp , DC=com
         
  4. 使用此选项可以在中禁用嵌套组查找 LDAP 或 Active Directory 域控制器
     
    • 禁用嵌套组可加快查找速度,这是可选的
       
  5. 身份验证服务器是 LDAP/Active Directory 域控制器
     
    • 注 1 :如果可能,请尝试设置和测试位于统一管理器所在子网 /Active Directory 站点和服务上的身份验证服务器
       
    • 注 2 :如果可能,请尝试使用端口 389 进行测试
       
    • 注 3 :如果端口 389 未打开,请执行以下操作
      • 启用 " 使用安全连接 " 复选框,只有在使用端口 389 设置身份验证服务器时,才会弹出警告标志,请单击关闭


         
      • 如果为身份验证服务器配置了端口 389 ,则会弹出错误


         
      • 编辑 " 身份验证服务器 " 并将端口从 389 更改为 389 到 636
         
    • 注 4 :如果您要对身份验证服务器使用任何别名,请确保此名称在统一管理器服务器上 " 可固定 " ,此外,如果您使用的是安全身份验证,则别名必须与来自身份验证服务器或域控制器公用名( CN )的证书匹配。不匹配将在 Unified Manager 远程身份验证设置中引发问题。
       
  6. 请输入正确的身份验证服务器名称,该名称也可从 UM 服务器执行 "pingable" 操作。请查看上面的 " 注 4"
     
  7. 保存远程身份验证页面设置
     
    • 注 1 :在进行故障排除时,我们会对远程身份验证页面进行更改,但忘记保存设置
       
  8. 测试身份验证
    • 注意:在测试身份验证时,请仅使用域用户名,而不是 " sAMAccountName " ( domain\username )。
       

远程用户或远程组设置? 

只有在统一管理器的 " 用户 " 页面中添加 " 远程用户 " , " 远程组 " 或 " 两者 " 之后,远程身份验证才会完成。远程用户和组是您的 LDAP/Domain 用户和组。

  1. 在左侧导航窗格中,单击 " 常规 ">" 用户 "
  2. 有关详细信息,请参见此处

对远程身份验证进行故障排除? 

在此处找到 Unified Manager ( UM )日志位置
 

w'w'w'0'w'%

场景 1

w'w'w'0'w'%

UM Web UI :

无法对用户 "user_name" 进行身份验证。

 

UM 日志显示错误:

ocum-error.log
202020-05 13 : 25 : 49 , 536 错误 [user_name] [default task-412] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.gc.c.l.LdapServersPagePresent] 无法对用户 "user_name" 进行身份验证。 

ocumserver.log
202020-05 13 : 25 : 49 , 536 错误 [user_name] [default task-412] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.gc.c.l.LdapServersPagePresent] 无法对用户 "user_name" 进行身份验证。 
com.google.gwt.core.shared.SerializableThrowable :无法对用户 "user_name" 进行身份验证。 

 

补救措施 / 检查:

检查域用户名和密码是否正确
检查是否已在 UM 的 " 用户 " 页面下添加远程用户或远程组

 

w'w'w'0'w'%

场景 2

w'w'w'0'w'%

UM Web UI :

无法通过 SSL 与主机 10.x.x.x 建立通信。

 

UM 日志显示错误:

ocumserver.log :
20202-11-05 13 : 32 : 15 , 732 错误 [user_name] (默认任务 -414] ) [service.logging.SimpleRemoteLoggingService|logOnServer] ( C.n.n.n.n.nc.c.x.a.e.ApplicationErrorHandler] 无法通过 SSL 与主机 10.x.x.x 建立通信。
com.google.gwt.core.shared.SerializableThrowable :无法通过 SSL 与主机 10.x.x.x 建立通信。

ocum-error.log
202020-05 13 : 32 : 15 , 732 错误 [user_name] [default task-414] [service.logging.SimpleRemoteLoggingService|logOnServer] [C..n.nc.x.c.a.e.ApplicationErrorHandler] 无法通过 SSL 与主机 10.x.x.x 建立通信。

 

补救措施 / 检查:

在远程身份验证页面的身份验证服务器下配置正确的端口

 

w'w'w'0'w'%

场景 3

w'w'w'0'w'%

UM Web UI :

由于以下原因,无法与身份验证服务器通信:未找到与 IP 地址 10.x.x.x 匹配的使用者备用名称。请验证身份验证服务器配置。

 

UM 日志显示错误:

ocum-error.log
202020-05 13 : 34 : 27 , 333 错误 [user_name] [default task-414] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.gc.c.ld.LdapServersPagePresent] 无法与身份验证服务器通信,原因:未找到与 IP 地址 10.x.x.x 匹配的使用者替代名称。请验证身份验证服务器配置。 


ocumserver.log
202020-05 13 : 34 : 27 , 333 错误 [user_name] [default task-414] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.gc.c.ld.LdapServersPagePresent] 无法与身份验证服务器通信,原因:未找到与 IP 地址 10.x.x.x 匹配的使用者替代名称。请验证身份验证服务器配置。 
com.google.gwt.core.shared.SerializableThrowable :由于以下原因无法与身份验证服务器通信:未找到与 IP 地址 10.x.x.x 匹配的使用者备用名称。请验证身份验证服务器配置。

 

补救措施 / 检查:

检查在 " 远程身份验证 " UM 窗口的 " 身份验证服务器 " 下添加的服务器名称。此名称必须与域控制器证书的公用名( Common Name , CN )匹
配。命令名称( CN )必须与 UM 服务器的命令名称( pinagble )匹配。
尝试删除并重新添加名称正确( CN )的 " 域控制器 " 或 " 身份验证服务器 " 。

 

w'w'w'0'w'%

场景 4

w'w'w'0'w'%

UM Web UI :

在身份验证服务器中未找到用户或组 " 名称 " 。此用户或组不存在或无法通过当前身份验证设置找到它。

 

UM 日志显示错误:

ocum-error.log
202020-011 13 : 50 : 21 , 783 错误 [user_name] [default task-427] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.g.c.l.LdapServersPagePresent] 未在身份验证服务器中找到用户或组 "name" 。此用户或组不存在或无法通过当前身份验证设置找到它。 


ocumserver.log
202020-011 13 : 50 : 21 , 783 错误 [user_name] [default task-427] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.g.c.l.LdapServersPagePresent] 未在身份验证服务器中找到用户或组 "name" 。此用户或组不存在或无法通过当前身份验证设置找到它。 
com.google.gwt.core.shared.SerializableThrowable :在身份验证服务器中未找到用户或组 "name" 。此用户或组不存在或无法通过当前身份验证设置找到它。 

 

补救措施 / 检查:

绑定管理员名称或密码可能不正确?
检查基本名称是否正确?
如果要在远程身份验证页面窗口下更改任何配置,请始终保存这些设置。

 

w'w'w'0'w'%

场景 5

w'w'w'0'w'%

UM Web UI :

身份验证失败。请验证用户名和密码。

 

UM 日志显示错误:

审核日志:
2005 年 11 月 13 : 52 : 00 (: notic) :: Web : err : [10.x.x.x] :用户名身份验证失败 org.springframework.security.web.authentication.WebAuthenticationDetails@ffffc434: RemoteIpAddress : 10.x.x.x ; SessionID :空): org.springframework.security.authentication.BadCredentialsException: 令牌 LDAP 用户身份验证失败。

 

补救措施 / 检查:

检查是否在 UM 中的 Users 下添加远程用户或远程组
检查域用户名和密码是否正确

 

w'w'w'0'w'%

场景 6

w'w'w'0'w'%

UM Web UI :

由于未正确配置身份验证服务器,因此无法与身份验证服务器通信。请验证身份验证服务器配置。( LDAP 错误代码: 49/ 52e )

 

UM 日志显示错误:

ocumserver.log
202020-05 13 : 55 : 27 , 053 错误 [admin] 【默认任务 433] [service.setup.ldap.LdapService|testLdapUser] [C.N.DFM.IMPl.RBC.LdapUserCheck] 无法与身份验证服务器通信,因为身份验证服务器配置不正确。验证身份验证服务器配置
org.springframework.ldap.authenticationException : [ldap :错误代码 49 - 80090308 : LdapErr : DSID-0C090446 ,注释: AcceptSecurityContext 错误,数据 52e , v2580 ] ;嵌套异常为 javax.naming 。 AuthenticationException : [ldap :错误代码 49 - 80090446 ,错误代码: C090308 :错误:错误:

ocum-error.log :
20202-11-05 13 : 55 : 27 , 053 错误 [admin] 【默认任务 433] service.setup.ldap.LdapService|testLdapUser] [C.N.DFM.imp.rbc.LdapUserCheck] 无法与身份验证服务器通信,因为身份验证服务器配置不正确。请验证身份验证服务器配置。 

2020 年 11 月 5 日 13 : 55 : 27 , 067 错误 "admin" (管理)【默认任务 431】 ( service.logging.SimpleRemoteLoggingService|logOnServer] ) [C.n.w.g.c.c.l.LdapServersPagePresenter] 无法与身份验证服务器通信,因为身份验证服务器配置不正确。请验证身份验证服务器配置。( LDAP 错误代码: 49/ 52e )

 

补救措施 / 检查:

绑定管理员名称或密码错误
检查基本可分辨名称是否正确
如果要在远程身份验证窗口下更改任何配置,请始终保存设置

其他信息

附加信息 _text

 

Scan to view the article on your device