تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوفر هذا المستند معلومات حول التحقق من صحة تكوين بروتوكول الوصول إلى الدليل (LDAP) في Unified Computing System Manager (UCSM) والخطوات اللازمة للتحقيق في مشاكل فشل مصادقة LDAP.
أدلة التكوين:
نموذج تكوين Active Directory (AD)
تأكد من أن UCSM قد نشر التكوين بنجاح من خلال التحقق من حالة جهاز الحالة المحدودة (FSM) ومن أنه يظهر مكتملا بنسبة 100٪.
من سياق واجهة سطر أوامر UCSM (CLI)
ucs # scope security
ucs /security # scope ldap
ucs /security/ldap # show configuration
ucs /security/ldap # show fsm status
من سياق واجهة سطر الأوامر (CLI) لنظام تشغيل Nexus (NX-OS)
ucs # scope security
ucs(nxos)# show ldap-server
ucs(nxos)# show ldap-server groups
1. قم بإنشاء مجالات مصادقة إضافية بدلا من تغيير نطاق "المصادقة الأصلية"
2. أستخدم المجال المحلي دائما ل "مصادقة وحدة التحكم"، في حالة منع المستخدم من إستخدام "المصادقة الأصلية"، سيظل المسؤول قادرا على الوصول إليها من وحدة التحكم.
3. يفشل UCSM دائما في الرجوع إلى المصادقة المحلية إذا فشلت جميع الخوادم الموجودة في مجال مصادقة محدد في الاستجابة أثناء محاولة تسجيل الدخول (غير قابلة للتطبيق على أمر AAA للاختبار ) .
اختبر مصادقة LDAP باستخدام أمر NX-OS. يتوفر الأمر 'test aaa' فقط من واجهة واجهة واجهة سطر الأوامر (CLI) لنظام التشغيل NX-OS.
1. التحقق من صحة التكوين الخاص بمجموعة LDAP.
يمر الأمر التالي عبر قائمة جميع خوادم LDAP التي تم تكوينها استنادا إلى الأمر الذي تم تكوينه.
ucs(nxos)# test aaa group ldap <username> <password>
2. التحقق من صحة تكوين خادم LDAP المحدد
ucs(nxos)# test aaa server ldap <LDAP-server-IP-address or FQDN> <username> <password>
ملاحظة 1: سيتم عرض السلسلة <password> على المحطة الطرفية.
ملاحظة 2: يجب أن يطابق LDAP server IP أو FQDN موفر LDAP تم تكوينه.
في هذه الحالة، يختبر UCSM المصادقة مقابل خادم معين وقد يفشل إذا لم يوجد عامل تصفية تم تكوينه لخادم LDAP المحدد.
يوفر هذا القسم معلومات حول تشخيص مشاكل مصادقة LDAP.
لا يمكن تسجيل الدخول كمستخدم LDAP عبر كل من واجهة المستخدم الرسومية UCSM (GUI) و CLI
يتلقى المستخدم "خطأ في المصادقة على الخادم" أثناء إختبار مصادقة LDAP.
(nxos)# test aaa server ldap <LDAP-server> <user-name> <password>
error authenticating to server
bind failed for <base DN>: Can't contact LDAP server
توصية
التحقق من اتصال الشبكة بين خادم LDAP وواجهة إدارة الاتصال البيني للبنية (FI) من خلال إختبار اتصال بروتوكول رسائل التحكم في الإنترنت (ICMP) وإنشاء اتصال برنامج Telnet من سياق الإدارة المحلية
ucs# connect local
ucs-local-mgmt # ping <LDAP server-IP-address OR FQDN>
ucs-local-mgmt # telnet <LDAP-Server-IP-Address OR FQDN> <port-number>
تحقق من اتصال شبكة بروتوكول الإنترنت (IP) إذا تعذر على UCSM إختبار اتصال خادم LDAP أو فتح جلسة عمل برنامج Telnet لخادم LDAP.
تحقق مما إذا كانت خدمة اسم المجال (DNS) ترجع عنوان IP الصحيح إلى UCS لاسم مضيف خادم LDAP وتأكد من عدم حظر حركة مرور LDAP بين هذين الجهازين.
يمكن لمستخدم LDAP تسجيل الدخول عبر واجهة المستخدم الرسومية (GUI) الخاصة بنظام UCSM ولكنه لا يمكنه فتح جلسة SSH إلى FI.
توصية
عند إنشاء جلسة SSH إلى FI كمستخدم LDAP، يتطلب UCSM وجود " UCS- " قبل اسم مجال LDAP
* من جهاز لينوكس / ماك
ssh ucs-<domain-name>\\<username>@<UCSM-IP-Address>
ssh -l ucs-<domain-name>\\<username> <UCSM-IP-address>
ssh <UCSM-IP-address> -l ucs-<domain-name>\\<username>
* من عميل PuTTY
Login as: ucs-<domain-name>\<username>
ملاحظة: اسم المجال حساس لحالة الأحرف ويجب أن يطابق اسم المجال الذي تم تكوينه في UCSM. يمكن أن يكون الحد الأقصى لطول اسم المستخدم هو 32 حرفا يتضمن اسم المجال.
"UCS-<domain-name>\<user-name>" = 32 حرفا.
يمكن لمستخدم LDAP تسجيل الدخول ولكنه يتمتع بامتيازات القراءة فقط على الرغم من تكوين خرائط مجموعة LDAP بشكل صحيح في UCSM.
توصية
إذا لم يتم إسترداد أية أدوار أثناء عملية تسجيل دخول LDAP، يتم السماح للمستخدم البعيد إما بالدور الافتراضي ( وصول للقراءة فقط ) أو رفض الوصول ( عدم تسجيل الدخول ) لتسجيل الدخول إلى UCSM، استنادا إلى نهج تسجيل الدخول عن بعد.
عند تسجيل دخول المستخدم البعيد ومنح المستخدم حق الوصول للقراءة فقط، تحقق في هذه الحالة من تفاصيل عضوية مجموعة المستخدمين في LDAP/AD.
على سبيل المثال، يمكننا إستخدام الأداة المساعدة ADSIEDIT ل MS Active Directory. أو Ldapserach في حالة Linux/Mac.
كما يمكن التحقق منها باستخدام الأمر " test aaa " من طبقة NX-OS.
يتعذر على المستخدم تسجيل الدخول أو لديه حق الوصول للقراءة فقط إلى UCSM كمستخدم بعيد عندما تم تغيير " المصادقة الأصلية " إلى آلية المصادقة عن بعد ( LDAP وما إلى ذلك )
توصية
بينما يقوم UCSM بإرجاع المصادقة المحلية للوصول إلى وحدة التحكم عندما لا يتمكن من الوصول إلى خادم المصادقة عن بعد، يمكننا اتباع الخطوات التالية لاسترداده.
1. قطع اتصال كبل واجهة الإدارة الخاص ب FI الأساسي ( show cluster state يشير إلى أي من يعمل كأساسي )
2. الاتصال بوحدة تحكم FI الأساسية
3. قم بتنفيذ الأوامر التالية لتغيير المصادقة الأصلية
scope security
show authentication
set authentication console local
set authentication default local
commit-buffer
4. قم بتوصيل كبل واجهة الإدارة
5. تسجيل الدخول عبر UCSM باستخدام حساب محلي وإنشاء مجال مصادقة لمجموعة المصادقة عن بعد (ex LDAP).
ملاحظة: لن يؤثر قطع اتصال واجهة الإدارة على أي حركة مرور لمستوى البيانات.
تعمل مصادقة LDAP بشكل جيد بدون طبقة مأخذ التوصيل الآمنة (SSL) ولكنها تفشل عند تمكين خيار SSL.
توصية
يستخدم عميل UCSM LDAP شهادات نقاط الاعتماد (CA) التي تم تكوينها أثناء إنشاء اتصال SSL.
1. تأكد من تكوين نقطة الثقة بشكل صحيح.
2. يجب أن يكون حقل التعريف الموجود في المرجع هو اسم المضيف الخاص بخادم LDAP. تأكد من أن اسم المضيف الذي تم تكوينه في UCSM يطابق اسم المضيف الموجود في الشهادة وهو صالح.
3. تأكد من تكوين UCSM باستخدام 'hostname' وليس 'ipaddress' لخادم LDAP ومن أنه قابل لإعادة تكوينه من واجهة الإدارة المحلية.
تفشل المصادقة بعد حذف خادم LDAP القديم وإضافة خادم LDAP جديد
توصية
عند إستخدام LDAP في نطاق المصادقة، لا يسمح بحذف الخوادم الجديدة وإضافتها. من إصدار UCSM 2.1، قد يؤدي ذلك إلى فشل FSM.
الخطوات التي يجب اتباعها عند إزالة/إضافة خوادم جديدة في نفس المعاملة هي
1. تأكد من تغيير جميع معاملات المصادقة التي تستخدم LDAP إلى المحلية وحفظ التكوين.
2. قم بتحديث خوادم LDAP وتحقق من أن حالة FSM قد اكتملت بنجاح.
3. تغيير مجالات المصادقة المعدلة في الخطوة 1، إلى LDAP.
قم بتشغيل تصحيح الأخطاء، وحاول تسجيل الدخول كمستخدم LDAP وتجميع السجلات التالية مع دعم تقنية UCSM التي تلتقط حدث تسجيل الدخول الفاشل.
1) فتح جلسة SSH إلى FI وتسجيل الدخول كمستخدم محلي وتغيير سياق واجهة سطر الأوامر (CLI) لنظام التشغيل NX.
ucs # connect nxos
2) قم بتمكين علامات تصحيح الأخطاء التالية وحفظ إخراج جلسة SSH إلى ملف السجل.
ucs(nxos)# debug aaa all <<< not required, incase of debugging authentication problems.
ucs(nxos)# debug aaa aaa-requests
ucs(nxos)# debug ldap all <<< not required, incase of debugging authentication problems.
ucs(nxos)# debug ldap aaa-request-lowlevel
ucs(nxos)# debug ldap aaa-request
3) افتح الآن واجهة مستخدم رسومية (GUI) جديدة أو جلسة واجهة سطر الأوامر (CLI) وحاول تسجيل الدخول كمستخدم بعيد (LDAP)
4) بمجرد إستلام رسالة فشل تسجيل الدخول، قم بإيقاف تشغيل تصحيح الأخطاء.
ucs(nxos)# undebug all
في السيناريوهات التي يكون فيها التقاط الحزمة مطلوبا، يمكن إستخدام Ethanalyzer لالتقاط حركة مرور LDAP بين FI وخادم LDAP.
ucs(nxos)# ethanalyzer local interface mgmt capture-filter "host" detail limit-captured-frames 0 write /bootflash/sysdebug/diagnostics/test-ldap.pcap
في الأمر المذكور أعلاه، يتم حفظ ملف PCAP ضمن دليل /workspace/diagnostics ويمكن إسترداده من ملف fi عبر سياق واجهة سطر الأوامر (CLI) المحلي لإدارة الملفات
يمكن إستخدام الأمر أعلاه لالتقاط الحزم لأي حركة مرور مصادقة بعيدة ( LDAP، TACACS، RADIUS ).
5. السجلات ذات الصلة في حزمة الدعم الفني ل UCSM
في دعم تقنية UCSM، توجد السجلات ذات الصلة ضمن <FI>/var/sysmgr/sam_log directory
httpd.log
svc_sam_dcosAG
svc_sam_pamProxy.log
NX-OS commands or from <FI>/sw_techsupport log file
ucs-(nxos)# show system internal ldap event-history errors
ucs-(nxos)# show system internal ldap event-history msgs
ucs-(nxos)# show log
CSCth96721
يجب أن يسمح إصدار خادم LDAP على SAM بأكثر من 128 حرفا
يحتوي إصدار UCSM الأقدم من 2.1 على تحديد من 127 حرفا لسلسلة DN / BIND الأساسية.
http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/cli/config/guide/2.0/b_UCSM_CLI_Configuration_Guide_2_0_chapter_0111.html#task_0FC4E8245C6D4A64B5A1F575DAEC6127
— snip —
الاسم المميز المحدد في التدرج الهرمي LDAP حيث يجب أن يبدأ الخادم البحث عندما يقوم مستخدم بعيد بتسجيل الدخول ويحاول النظام الحصول على DN الخاص بالمستخدم استنادا إلى اسم المستخدم الخاص به. الحد الأقصى لطول السلسلة المدعومة هو 127 حرفا.
—
تم إصلاح المشكلة في الإصدار 2.1.1 والإصدار أعلاه
CSCuf19514
تعطل برنامج LDAP
قد يتعطل عميل LDAP أثناء تهيئة مكتبة ssl إذا كان إستدعاء ldap_start_tls_s يستغرق أكثر من 60 ثانية لإكمال التهيئة. قد يحدث هذا فقط في حالة إدخال DNS غير صالح / تأخيرات في تحليل DNS.
إتخاذ خطوات لمعالجة التأخيرات والأخطاء في تحليل DNS.