دليل أستكشاف أخطاء UCSM LDAP وإصلاحها

المقدمة

يوفر هذا المستند معلومات حول التحقق من صحة تكوين بروتوكول الوصول إلى الدليل (LDAP) في Unified Computing System Manager (UCSM) والخطوات اللازمة للتحقيق في مشاكل فشل مصادقة LDAP.

أدلة التكوين:

تكوين مصادقة UCSM

نموذج تكوين Active Directory (AD)

التحقق من تكوين UCSM LDAP

تأكد من أن UCSM قد نشر التكوين بنجاح من خلال التحقق من حالة جهاز الحالة المحدودة (FSM) ومن أنه يظهر مكتمل بنسبة 100٪.

من سياق واجهة سطر أوامر UCSM (CLI)

ucs # scope security
ucs /security # scope ldap 
ucs /security/ldap # show configuration
ucs /security/ldap # show fsm status

من سياق واجهة سطر الأوامر (CLI) لنظام تشغيل Nexus (NX-OS)

ucs # scope security 
ucs(nxos)# show ldap-server
ucs(nxos)# show ldap-server groups

أفضل ممارسات تكوين LDAP

1. قم بإنشاء مجالات مصادقة إضافية بدلا من تغيير نطاق "المصادقة الأصلية"

2. أستخدم المجال المحلي دائما ل "مصادقة وحدة التحكم"، في حالة منع المستخدم من إستخدام "المصادقة الأصلية"، سيظل المسؤول قادرا على الوصول إليها من وحدة التحكم.

3. يفشل UCSM دائما في الرجوع إلى المصادقة المحلية إذا فشلت جميع الخوادم الموجودة في مجال مصادقة محدد في الاستجابة أثناء محاولة تسجيل الدخول (غير قابلة للتطبيق على أمر AAA للاختبار ) .

التحقق من تكوين LDAP

اختبر مصادقة LDAP باستخدام أمر NX-OS. يتوفر الأمر 'test aaa' فقط من واجهة واجهة واجهة سطر الأوامر (CLI) لنظام التشغيل NX-OS.

1. التحقق من صحة التكوين الخاص بمجموعة LDAP.

يمر الأمر التالي عبر قائمة جميع خوادم LDAP التي تم تكوينها استنادا إلى الأمر الذي تم تكوينه.

ucs(nxos)# test aaa group ldap <username> <password>

2. التحقق من صحة تكوين خادم LDAP المحدد

ucs(nxos)# test aaa server ldap <LDAP-server-IP-address or FQDN> <username> <password>

ملاحظة 1: سيتم عرض السلسلة <password> على المحطة الطرفية.

ملاحظة 2: يجب أن يطابق LDAP server IP أو FQDN موفر LDAP تم تكوينه.

في هذه الحالة، يختبر UCSM المصادقة مقابل خادم معين وقد يفشل إذا لم يوجد عامل تصفية تم تكوينه لخادم LDAP المحدد.

أستكشاف أخطاء تسجيل دخول LDAP وإصلاحها

يوفر هذا القسم معلومات حول تشخيص مشاكل مصادقة LDAP.

سيناريو المشكلة #1 - لا يمكن تسجيل الدخول

لا يمكن تسجيل الدخول كمستخدم LDAP عبر كل من واجهة المستخدم الرسومية UCSM (GUI) و CLI

يتلقى المستخدم "خطأ في المصادقة على الخادم" أثناء إختبار مصادقة LDAP.

(nxos)# test aaa server ldap <LDAP-server> <user-name> <password>
error authenticating to server
bind failed for <base DN>: Can't contact LDAP server

التوصية
التحقق من اتصال الشبكة بين خادم LDAP وواجهة إدارة الاتصال البيني للبنية (FI) من خلال إختبار اتصال بروتوكول رسائل التحكم في الإنترنت (ICMP) وإنشاء اتصال برنامج Telnet من سياق الإدارة المحلية

ucs# connect local
ucs-local-mgmt # ping <LDAP server-IP-address OR FQDN>
ucs-local-mgmt # telnet <LDAP-Server-IP-Address OR FQDN> <port-number> 

تحقق من اتصال شبكة بروتوكول الإنترنت (IP) إذا تعذر على UCSM إختبار اتصال خادم LDAP أو فتح جلسة عمل برنامج Telnet لخادم LDAP.

تحقق مما إذا كانت خدمة اسم المجال (DNS) ترجع عنوان IP الصحيح إلى UCS لاسم مضيف خادم LDAP وتأكد من عدم حظر حركة مرور LDAP بين هذين الجهازين.

سيناريو المشكلة #2 - يمكن تسجيل الدخول إلى واجهة المستخدم الرسومية (GUI)، لا يمكن تسجيل الدخول إلى بروتوكول SSH

يمكن لمستخدم LDAP تسجيل الدخول عبر واجهة المستخدم الرسومية (GUI) الخاصة بنظام UCSM ولكنه لا يمكنه فتح جلسة SSH إلى FI. 

التوصية

عند إنشاء جلسة SSH إلى FI كمستخدم LDAP، يتطلب UCSM وجود " UCS- " قبل اسم مجال LDAP

* من جهاز لينوكس / ماك 

ssh ucs-<domain-name>\\<username>@<UCSM-IP-Address>
ssh -l ucs-<domain-name>\\<username> <UCSM-IP-address>
ssh <UCSM-IP-address> -l ucs-<domain-name>\\<username>

* من عميل PuTTY

Login as: ucs-<domain-name>\<username>

ملاحظة: اسم المجال حساس لحالة الأحرف ويجب أن يطابق اسم المجال الذي تم تكوينه في UCSM. يمكن أن يكون الحد الأقصى لطول اسم المستخدم هو 32 حرفا يتضمن اسم المجال.

"UCS-<domain-name>\<user-name>" = 32 حرفا.

سيناريو المشكلة رقم 3 - لدى المستخدم امتيازات القراءة فقط

يمكن لمستخدم LDAP تسجيل الدخول ولكنه يتمتع بامتيازات القراءة فقط على الرغم من تكوين خرائط مجموعة LDAP بشكل صحيح في UCSM.

التوصية
إذا لم يتم إسترداد أية أدوار أثناء عملية تسجيل دخول LDAP، يتم السماح للمستخدم البعيد إما بالدور الافتراضي ( وصول للقراءة فقط ) أو رفض الوصول ( عدم تسجيل الدخول ) لتسجيل الدخول إلى UCSM، استنادا إلى نهج تسجيل الدخول عن بعد.

عند تسجيل دخول المستخدم البعيد ومنح المستخدم حق الوصول للقراءة فقط، تحقق في هذه الحالة من تفاصيل عضوية مجموعة المستخدمين في LDAP/AD.
على سبيل المثال، يمكننا إستخدام الأداة المساعدة ADSIEDIT ل MS Active Directory. أو Ldapserach في حالة Linux/Mac.

كما يمكن التحقق منها باستخدام الأمر " test aaa " من طبقة NX-OS.

سيناريو المشكلة #4 - لا يمكن تسجيل الدخول باستخدام "المصادقة عن بعد"

يتعذر على المستخدم تسجيل الدخول أو لديه حق الوصول للقراءة فقط إلى UCSM كمستخدم بعيد عندما تم تغيير " المصادقة الأصلية " إلى آلية المصادقة عن بعد ( LDAP وما إلى ذلك ) 

التوصية
بينما يقوم UCSM بإرجاع المصادقة المحلية للوصول إلى وحدة التحكم عندما لا يتمكن من الوصول إلى خادم المصادقة عن بعد، يمكننا اتباع الخطوات التالية لاسترداده.

1. قطع اتصال كبل واجهة الإدارة الخاص ب FI الأساسي ( show cluster state يشير إلى أي من يعمل كأساسي )
2. الاتصال بوحدة تحكم FI الأساسية
3. قم بتنفيذ الأوامر التالية لتغيير المصادقة الأصلية

scope security
show authentication
set authentication console local
set authentication default local
commit-buffer

4. قم بتوصيل كبل واجهة الإدارة
5. تسجيل الدخول عبر UCSM باستخدام حساب محلي وإنشاء مجال مصادقة لمجموعة المصادقة عن بعد (ex LDAP).
ملاحظة: لن يؤثر قطع اتصال واجهة الإدارة على أي حركة مرور لمستوى البيانات.

سيناريو المشكلة #4 - تعمل مصادقة LDAP ولكن ليس مع تمكين SSL

تعمل مصادقة LDAP بشكل جيد بدون طبقة مأخذ التوصيل الآمنة (SSL) ولكنها تفشل عند تمكين خيار SSL.

التوصية
يستخدم عميل UCSM LDAP شهادات نقاط الاعتماد (CA) التي تم تكوينها أثناء إنشاء اتصال SSL.

1. تأكد من تكوين نقطة الثقة بشكل صحيح.

2. يجب أن يكون حقل التعريف الموجود في المرجع هو اسم المضيف الخاص بخادم LDAP. تأكد من أن اسم المضيف الذي تم تكوينه في UCSM يطابق اسم المضيف الموجود في الشهادة وهو صالح.

3. تأكد من تكوين UCSM باستخدام 'hostname' وليس 'ipaddress' لخادم LDAP ومن أنه قابل لإعادة تكوينه من واجهة الإدارة المحلية.

سيناريو المشكلة #5 - تفشل المصادقة بعد تغيير موفر LDAP

تفشل المصادقة بعد حذف خادم LDAP القديم وإضافة خادم LDAP جديد 

التوصية
عند إستخدام LDAP في نطاق المصادقة، لا يسمح بحذف الخوادم الجديدة وإضافتها. من إصدار UCSM 2.1، قد يؤدي ذلك إلى فشل FSM.

الخطوات التي يجب اتباعها عند إزالة/إضافة خوادم جديدة في نفس المعاملة هي

1. تأكد من تغيير جميع معاملات المصادقة التي تستخدم LDAP إلى المحلية وحفظ التكوين.
2. تحديث خوادم LDAP والتحقق من أن حالة FSM قد اكتملت بنجاح.
3. تغيير مجالات المصادقة المعدلة في الخطوة 1، إلى LDAP.

لجميع سيناريوهات المشاكل الأخرى - تصحيح LDAP

قم بتشغيل تصحيح الأخطاء، وحاول تسجيل الدخول كمستخدم LDAP، ثم تجميع السجلات التالية مع دعم تقنية UCSM التي تلتقط حدث تسجيل الدخول الفاشل.

1) فتح جلسة SSH إلى FI وتسجيل الدخول كمستخدم محلي وتغيير سياق واجهة سطر الأوامر (CLI) لنظام التشغيل NX.

ucs # connect nxos 

2) قم بتمكين علامات تصحيح الأخطاء التالية وحفظ إخراج جلسة SSH إلى ملف السجل.

ucs(nxos)# debug aaa all <<< not required, incase of debugging authentication problems.
ucs(nxos)# debug aaa aaa-requests

ucs(nxos)# debug ldap all <<< not required, incase of debugging authentication problems.
ucs(nxos)# debug ldap aaa-request-lowlevel
ucs(nxos)# debug ldap aaa-request

3) افتح الآن واجهة مستخدم رسومية (GUI) جديدة أو جلسة واجهة سطر الأوامر (CLI) وحاول تسجيل الدخول كمستخدم بعيد (LDAP)
4) بمجرد إستلام رسالة فشل تسجيل الدخول، قم بإيقاف تشغيل تصحيح الأخطاء.

ucs(nxos)# undebug all

التقاط الحزمة لحركة مرور LDAP

في السيناريوهات التي يكون فيها التقاط الحزمة مطلوبا، يمكن إستخدام Ethanalyzer لالتقاط حركة مرور LDAP بين FI وخادم LDAP.

ucs(nxos)# ethanalyzer local interface mgmt capture-filter "host <LDAP-server-IP-address>" detail limit-captured-frames 0 write /bootflash/sysdebug/diagnostics/test-ldap.pcap

في الأمر المذكور أعلاه، يتم حفظ ملف PCAP ضمن دليل /workspace/diagnostics ويمكن إسترداده من ملف fi عبر سياق واجهة سطر الأوامر (CLI) المحلي لإدارة الملفات

يمكن إستخدام الأمر أعلاه لالتقاط الحزم لأي حركة مرور مصادقة بعيدة ( LDAP، TACACS، RADIUS ).
5. السجلات ذات الصلة في حزمة الدعم الفني ل UCSM

في دعم تقنية UCSM، توجد السجلات ذات الصلة ضمن <FI>/var/sysmgr/sam_log directory

httpd.log
svc_sam_dcosAG
svc_sam_pamProxy.log 

NX-OS commands or from <FI>/sw_techsupport log file

ucs-(nxos)# show system internal ldap event-history errors 
ucs-(nxos)# show system internal ldap event-history msgs 
ucs-(nxos)# show log

المحاذير المعروفة

CSCth96721
يجب أن يسمح إصدار خادم LDAP على SAM بأكثر من 128 حرفا

يحتوي إصدار UCSM الأقدم من 2.1 على تحديد من 127 حرفا لسلسلة DN / BIND الأساسية.

http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/cli/config/guide/2.0/b_UCSM_CLI_Configuration_Guide_2_0_chapter_0111.html#task_0FC4E8245C6D4A64B5A1F575DAEC6127

— snip —
الاسم المميز المحدد في التدرج الهرمي LDAP حيث يجب أن يبدأ الخادم البحث عندما يقوم مستخدم بعيد بتسجيل الدخول ويحاول النظام الحصول على DN الخاص بالمستخدم استنادا إلى اسم المستخدم الخاص به. الحد الأقصى لطول السلسلة المدعومة هو 127 حرفا.
—

تم إصلاح المشكلة في الإصدار 2.1.1 والإصدار أعلاه


CSCuf19514
تعطل برنامج LDAP

قد يتعطل عميل LDAP أثناء تهيئة مكتبة ssl إذا كان إستدعاء ldap_start_tls_s يستغرق أكثر من 60 ثانية لإكمال التهيئة. قد يحدث هذا فقط في حالة إدخال DNS غير صالح / تأخيرات في تحليل DNS.

إتخاذ خطوات لمعالجة التأخيرات والأخطاء في تحليل DNS.

CSCvt31344 - يفشل LDAP الآمن بعد ترقية UCS الواردة من 4.0.4 إلى 4.1

أدت تحديثات LDAP في البرنامج الثابت للبنية الأساسية 4.1 والإصدارات اللاحقة إلى متطلبات تكوين LDAP أكثر صرامة في UCSM. بعد ترقية UCSM، قد تفشل مصادقة LDAP، حتى يتم ضبط التكوين. راجع ملاحظات الإصدار الخاصة ب CSCvt31344 للحصول على تفاصيل.