归档:在 UM 中设置和故障排除远程身份验证
| 归档请求者: Cody Jarvis |
| 归档原因: 文章创建不正确; INC2775143 |
适用于
Active IQ ( AIQ ) Unified Manager 9.x
解答
启用远程身份验证
您可以在 Unified Manager 服务器上启用 LDAP 或 Active Directory 身份验证,并将其配置为与 LDAP 服务器配合使用,以便对远程用户进行身份验证。
通过身份验证服务,可以先对身份验证服务器中的远程用户或远程组进行身份验证,然后再为其提供对 Unified Manager 的访问权限。您可以使用预定义的身份验证服务(例如 Active Directory 或 OpenLDAP )或配置自己的身份验证机制来对用户进行身份验证
" 启用远程身份验证 " 分为两部分
- 远程身份验证页面设置
- 远程用户或远程组设置
注意:要启用远程身份验证,我们必须完成这两项设置
远程身份验证的前提条件?
- 端口必须位于 LDAP 和 Unified Manager 服务器之间
- 端口 389
- 端口 636
- 端口 445
- 端口 445
- 端口 88
- 端口 53
- 如果使用全局目录 LDAP 服务器
- 端口 3268
- 端口 3269
- 可以从 UM 服务器运行以下命令进行检查 此端口在 UM 和 LDAP 服务器之间处于打开状态
- UM Windows 服务器
- 使用 Power shell 命令提示符窗口,此处提供了 Test-NetConnection 的详细信息。
- 命令 -> Test-NetConnection -ComputerName<ldap_server_name>-InformationLevel "detailed " -Port 389
- UM Linux Server
在 Linux 中使用您最喜欢的命令测试两个服务器之间的端口- UM 服务器 -> nc -zvw10<ldap_server_name_or_ip>端口中的命令
- 示例 -> nc -zvw10 192.168.0.1 389
- UM 服务器 -> nc -zvw10<ldap_server_name_or_ip>端口中的命令
- UM Windows 服务器
- 防火墙必须允许上述端口
- 具有 " 密码永不过期 " 的域用户或域服务帐户 应使用属性
- 域组,以允许具有不同访问角色的用户在中使用 Unified Manager 服务器
- 域用户可以从 Windows 命令行界面运行以下命令,以收集有关 Active Directory 设置的信息:
systeminfo<- 提供登录域控制
器,域名 gpresult/R <-- 将提供正在运行此命令的域用户的基本可分辨名称( DN )以及域用户所属的域组。
远程身份验证页面设置?
注意:以下屏幕截图摘自 Active IQ Unified Manager 9.7 。 要从先前的 Unified Manager 版本( 7.3 到 9.6 )访问 " 远程身份验证 " 页面,请执行以下操作
- 在工具栏中,单击
,然后单击左侧设置菜单中的身份验证。 - 在设置选项页面中,单击管理服务器 > 身份验证。
屏幕截图:适用于远程身份验证的 Active IQ Unified Manager 9.7 :
详细信息步骤:
- 在左侧导航窗格中,单击 " 常规 ">" 远程身份验证 " 。
- 选中 Enable remote authentication ... 复选框
- 在身份验证服务字段中,选择服务类型并配置身份验证服务。
- 有关身份验证服务的更多详细信息和字段说明,请参见此处。
- 注 1 :如果我们在远程身份验证页面设置中遇到 " 域用户帐户 " 或 " 域用户服务帐户 " 问题,如果我们可以使用自己的域,这将会很有帮助 " 管理员名称 " 下的用户名用于测试
- 注 2 :请勿使用 "sAMAccountName" ( domain\username ),而只使用 " 域用户名 " 。
- 注 3 :从可分辨名称中提取的基本区分名称示例,我们可以通过运行 "gpresult/R" 命令来收集该名称
- 可分辨名称( DN ): CN=Administrator , CN=Users , DC=RTP , DC=lab , DC=NetApp , DC=com
- 基本可分辨名称: DC=RTP , DC=lab , DC=NetApp , DC=com
- 有关身份验证服务的更多详细信息和字段说明,请参见此处。
- 使用此选项可以在中禁用嵌套组查找 LDAP 或 Active Directory 域控制器
- 禁用嵌套组可加快查找速度,这是可选的
- 禁用嵌套组可加快查找速度,这是可选的
- 身份验证服务器是 LDAP/Active Directory 域控制器
- 注 1 :如果可能,请尝试设置和测试位于统一管理器所在子网 /Active Directory 站点和服务上的身份验证服务器
- 注 2 :如果可能,请尝试使用端口 389 进行测试
- 注 3 :如果端口 389 未打开,请执行以下操作
- 启用 " 使用安全连接 " 复选框,只有在使用端口 389 设置身份验证服务器时,才会弹出警告标志,请单击关闭
- 如果为身份验证服务器配置了端口 389 ,则会弹出错误
- 编辑 " 身份验证服务器 " 并将端口从 389 更改为 389 到 636
- 启用 " 使用安全连接 " 复选框,只有在使用端口 389 设置身份验证服务器时,才会弹出警告标志,请单击关闭
- 注 4 :如果您要对身份验证服务器使用任何别名,请确保此名称在统一管理器服务器上 " 可固定 " ,此外,如果您使用的是安全身份验证,则别名必须与来自身份验证服务器或域控制器公用名( CN )的证书匹配。不匹配将在 Unified Manager 远程身份验证设置中引发问题。
- 注 1 :如果可能,请尝试设置和测试位于统一管理器所在子网 /Active Directory 站点和服务上的身份验证服务器
- 请输入正确的身份验证服务器名称,该名称也可从 UM 服务器执行 "pingable" 操作。请查看上面的 " 注 4"
- 保存远程身份验证页面设置
- 注 1 :在进行故障排除时,我们会对远程身份验证页面进行更改,但忘记保存设置
- 注 1 :在进行故障排除时,我们会对远程身份验证页面进行更改,但忘记保存设置
- 测试身份验证
- 注意:在测试身份验证时,请仅使用域用户名,而不是 " sAMAccountName " ( domain\username )。
- 注意:在测试身份验证时,请仅使用域用户名,而不是 " sAMAccountName " ( domain\username )。
远程用户或远程组设置?
只有在统一管理器的 " 用户 " 页面中添加 " 远程用户 " , " 远程组 " 或 " 两者 " 之后,远程身份验证才会完成。远程用户和组是您的 LDAP/Domain 用户和组。
- 在左侧导航窗格中,单击 " 常规 ">" 用户 "
- 有关详细信息,请参见此处。
对远程身份验证进行故障排除?
可在此处找到 Unified Manager ( UM )日志位置。
w'w'w'0'w'%
场景 1
w'w'w'0'w'%
UM Web UI :
无法对用户 "user_name" 进行身份验证。
UM 日志显示错误:
ocum-error.log
202020-05 13 : 25 : 49 , 536 错误 [user_name] [default task-412] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.gc.c.l.LdapServersPagePresent] 无法对用户 "user_name" 进行身份验证。
ocumserver.log
202020-05 13 : 25 : 49 , 536 错误 [user_name] [default task-412] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.gc.c.l.LdapServersPagePresent] 无法对用户 "user_name" 进行身份验证。
com.google.gwt.core.shared.SerializableThrowable :无法对用户 "user_name" 进行身份验证。
补救措施 / 检查:
检查域用户名和密码是否正确
检查是否已在 UM 的 " 用户 " 页面下添加远程用户或远程组
w'w'w'0'w'%
场景 2
w'w'w'0'w'%
UM Web UI :
无法通过 SSL 与主机 10.x.x.x 建立通信。
UM 日志显示错误:
ocumserver.log :
20202-11-05 13 : 32 : 15 , 732 错误 [user_name] (默认任务 -414] ) [service.logging.SimpleRemoteLoggingService|logOnServer] ( C.n.n.n.n.nc.c.x.a.e.ApplicationErrorHandler] 无法通过 SSL 与主机 10.x.x.x 建立通信。
com.google.gwt.core.shared.SerializableThrowable :无法通过 SSL 与主机 10.x.x.x 建立通信。
ocum-error.log
202020-05 13 : 32 : 15 , 732 错误 [user_name] [default task-414] [service.logging.SimpleRemoteLoggingService|logOnServer] [C..n.nc.x.c.a.e.ApplicationErrorHandler] 无法通过 SSL 与主机 10.x.x.x 建立通信。
补救措施 / 检查:
在远程身份验证页面的身份验证服务器下配置正确的端口
w'w'w'0'w'%
场景 3
w'w'w'0'w'%
UM Web UI :
由于以下原因,无法与身份验证服务器通信:未找到与 IP 地址 10.x.x.x 匹配的使用者备用名称。请验证身份验证服务器配置。
UM 日志显示错误:
ocum-error.log
202020-05 13 : 34 : 27 , 333 错误 [user_name] [default task-414] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.gc.c.ld.LdapServersPagePresent] 无法与身份验证服务器通信,原因:未找到与 IP 地址 10.x.x.x 匹配的使用者替代名称。请验证身份验证服务器配置。
ocumserver.log
202020-05 13 : 34 : 27 , 333 错误 [user_name] [default task-414] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.gc.c.ld.LdapServersPagePresent] 无法与身份验证服务器通信,原因:未找到与 IP 地址 10.x.x.x 匹配的使用者替代名称。请验证身份验证服务器配置。
com.google.gwt.core.shared.SerializableThrowable :由于以下原因无法与身份验证服务器通信:未找到与 IP 地址 10.x.x.x 匹配的使用者备用名称。请验证身份验证服务器配置。
补救措施 / 检查:
检查在 " 远程身份验证 " UM 窗口的 " 身份验证服务器 " 下添加的服务器名称。此名称必须与域控制器证书的公用名( Common Name , CN )匹
配。命令名称( CN )必须与 UM 服务器的命令名称( pinagble )匹配。
尝试删除并重新添加名称正确( CN )的 " 域控制器 " 或 " 身份验证服务器 " 。
w'w'w'0'w'%
场景 4
w'w'w'0'w'%
UM Web UI :
在身份验证服务器中未找到用户或组 " 名称 " 。此用户或组不存在或无法通过当前身份验证设置找到它。
UM 日志显示错误:
ocum-error.log
202020-011 13 : 50 : 21 , 783 错误 [user_name] [default task-427] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.g.c.l.LdapServersPagePresent] 未在身份验证服务器中找到用户或组 "name" 。此用户或组不存在或无法通过当前身份验证设置找到它。
ocumserver.log
202020-011 13 : 50 : 21 , 783 错误 [user_name] [default task-427] [service.logging.SimpleRemoteLoggingService_logOnServer] [C.n.d.w.g.c.l.LdapServersPagePresent] 未在身份验证服务器中找到用户或组 "name" 。此用户或组不存在或无法通过当前身份验证设置找到它。
com.google.gwt.core.shared.SerializableThrowable :在身份验证服务器中未找到用户或组 "name" 。此用户或组不存在或无法通过当前身份验证设置找到它。
补救措施 / 检查:
绑定管理员名称或密码可能不正确?
检查基本名称是否正确?
如果要在远程身份验证页面窗口下更改任何配置,请始终保存这些设置。
w'w'w'0'w'%
场景 5
w'w'w'0'w'%
UM Web UI :
身份验证失败。请验证用户名和密码。
UM 日志显示错误:
审核日志:
2005 年 11 月 13 : 52 : 00 (: notic) :: Web : err : [10.x.x.x] :用户名身份验证失败 org.springframework.security.web.authentication.WebAuthenticationDetails@ffffc434: RemoteIpAddress : 10.x.x.x ; SessionID :空): org.springframework.security.authentication.BadCredentialsException: 令牌 LDAP 用户身份验证失败。
补救措施 / 检查:
检查是否在 UM 中的 Users 下添加远程用户或远程组
检查域用户名和密码是否正确
w'w'w'0'w'%
场景 6
w'w'w'0'w'%
UM Web UI :
由于未正确配置身份验证服务器,因此无法与身份验证服务器通信。请验证身份验证服务器配置。( LDAP 错误代码: 49/ 52e )
UM 日志显示错误:
ocumserver.log
202020-05 13 : 55 : 27 , 053 错误 [admin] 【默认任务 433] [service.setup.ldap.LdapService|testLdapUser] [C.N.DFM.IMPl.RBC.LdapUserCheck] 无法与身份验证服务器通信,因为身份验证服务器配置不正确。验证身份验证服务器配置
org.springframework.ldap.authenticationException : [ldap :错误代码 49 - 80090308 : LdapErr : DSID-0C090446 ,注释: AcceptSecurityContext 错误,数据 52e , v2580 ] ;嵌套异常为 javax.naming 。 AuthenticationException : [ldap :错误代码 49 - 80090446 ,错误代码: C090308 :错误:错误:
ocum-error.log :
20202-11-05 13 : 55 : 27 , 053 错误 [admin] 【默认任务 433] service.setup.ldap.LdapService|testLdapUser] [C.N.DFM.imp.rbc.LdapUserCheck] 无法与身份验证服务器通信,因为身份验证服务器配置不正确。请验证身份验证服务器配置。
2020 年 11 月 5 日 13 : 55 : 27 , 067 错误 "admin" (管理)【默认任务 431】 ( service.logging.SimpleRemoteLoggingService|logOnServer] ) [C.n.w.g.c.c.l.LdapServersPagePresenter] 无法与身份验证服务器通信,因为身份验证服务器配置不正确。请验证身份验证服务器配置。( LDAP 错误代码: 49/ 52e )
补救措施 / 检查:
绑定管理员名称或密码错误
检查基本可分辨名称是否正确
如果要在远程身份验证窗口下更改任何配置,请始终保存设置
其他信息
附加信息 _text