Introduction
Este documento fornece informações sobre como validar a configuração do Lightweight Diretory Access Protocol (LDAP) no Unified Computing System Manager (UCSM) e as etapas para investigar problemas de falha de autenticação LDAP.
Guias de configuração:
UCSM configurando a autenticação
Exemplo de configuração do Ative Diretory (AD)
Verificar a configuração LDAP do UCSM
Verifique se o UCSM implantou a configuração com êxito, verificando o status da Finite State Machine (FSM) e se ela mostra concluída em 100%.
Do contexto da Interface de Linha de Comando (CLI - Command Line Interface) do UCSM
ucs # scope security
ucs /security # scope ldap
ucs /security/ldap # show configuration
ucs /security/ldap # show fsm status
Do contexto da CLI do Nexus Operating System (NX-OS)
ucs # scope security
ucs(nxos)# show ldap-server
ucs(nxos)# show ldap-server groups
Práticas recomendadas de configuração LDAP
1. Criar domínios de autenticação adicionais em vez de alterar o território de "autenticação nativa"
2. Sempre use o território local para 'autenticação de console'. Caso o usuário seja bloqueado por usar 'autenticação nativa', admin ainda poderá acessá-la do console.
3. O UCSM sempre retorna à autenticação local se todos os servidores em determinado domínio de autenticação não responderem durante a tentativa de login (não aplicável para o comando test aaa ) .
Validando a configuração LDAP
Teste a autenticação LDAP usando o comando NX-OS. O comando 'test aaa' está disponível somente na interface CLI do NX-OS.
1. Valide a configuração específica do grupo LDAP.
O comando a seguir passa pela lista de todos os servidores LDAP configurados com base em sua ordem configurada.
ucs(nxos)# test aaa group ldap <username> <password>
2. Validar a configuração específica do servidor LDAP
ucs(nxos)# test aaa server ldap <LDAP-server-IP-address or FQDN> <username> <password>
NOTA 1: A string <password> será exibida no terminal.
NOTA 2: O IP ou FQDN do servidor LDAP deve corresponder a um provedor LDAP configurado.
Nesse caso, o UCSM testa a autenticação em um servidor específico e pode falhar se não houver um filtro configurado para o servidor LDAP especificado.
Troubleshooting de falhas de login LDAP
Esta seção fornece informações sobre como diagnosticar problemas de autenticação LDAP.
Cenário de problema 1 - Não é possível fazer login
Não é possível fazer login como usuário LDAP via GUI (Graphical User Interface, interface gráfica do usuário) UCSM e CLI
O usuário recebe "Erro ao autenticar no servidor" ao testar a autenticação LDAP.
(nxos)# test aaa server ldap <LDAP-server> <user-name> <password>
error authenticating to server
bind failed for <base DN>: Can't contact LDAP server
Recomendação
Verificar a conectividade de rede entre o servidor LDAP e a interface de gerenciamento da Interconexão de estrutura (FI) por ping do Internet Control Message Protocol (ICMP) e estabelecer a conexão telnet a partir do contexto de gerenciamento local
ucs# connect local
ucs-local-mgmt # ping <LDAP server-IP-address OR FQDN>
ucs-local-mgmt # telnet <LDAP-Server-IP-Address OR FQDN> <port-number>
Investigue a conectividade de rede do Internet Protocol (IP) se o UCSM não puder fazer ping no servidor LDAP ou abrir sessão telnet para o servidor LDAP.
Verifique se o Domain Name Service (DNS) retorna o endereço IP correto para UCS para o nome de host do servidor LDAP e certifique-se de que o tráfego LDAP não esteja bloqueado entre esses dois dispositivos.
Cenário de problema 2 - É possível fazer login na GUI, não é possível fazer login no SSH
O usuário LDAP pode fazer login via GUI UCSM, mas não pode abrir sessão SSH para FI.
Recomendação
Ao estabelecer sessão SSH para FI como usuário LDAP, o UCSM exige que " ucs- " seja precedido antes do nome de domínio LDAP
* Da máquina Linux / MAC
ssh ucs-<domain-name>\\<username>@<UCSM-IP-Address>
ssh -l ucs-<domain-name>\\<username> <UCSM-IP-address>
ssh <UCSM-IP-address> -l ucs-<domain-name>\\<username>
* Do cliente putty
Login as: ucs-<domain-name>\<username>
NOTE: O nome de domínio diferencia maiúsculas de minúsculas e deve corresponder ao nome de domínio configurado no UCSM. O comprimento máximo do nome de usuário pode ser de 32 caracteres, incluindo o nome de domínio.
"ucs-<nome de domínio>\<nome de usuário>" = 32 caracteres.
Cenário de problema 3 - O usuário tem privilégios somente leitura
O usuário LDAP pode fazer login, mas tem privilégios somente leitura, mesmo que os mapas ldap-group estejam configurados corretamente no UCSM.
Recomendação
Se nenhuma função foi recuperada durante o processo de login LDAP, o usuário remoto é permitido com a função padrão ( acesso somente leitura ) ou o acesso negado ( sem login ) para fazer login no UCSM, com base na política de login remoto.
Quando o usuário remoto faz login e recebe acesso somente leitura, verifique os detalhes da associação ao grupo de usuários no LDAP/AD.
Por exemplo, podemos usar o utilitário ADSIEDIT para MS Ative Diretory. ou ldapserach no caso do Linux/Mac.
Também pode ser verificado com o comando " test aaa " do shell do NX-OS.
Cenário de problema 4 - Não é possível fazer login com a 'Autenticação remota'
O usuário não pode fazer login ou tem acesso somente leitura ao UCSM como usuário remoto quando a " Autenticação nativa " foi alterada para mecanismo de autenticação remota ( LDAP etc )
Recomendação
À medida que o UCSM retorna à autenticação local para acesso de console quando ele não pode acessar o servidor de autenticação remota, podemos seguir as etapas abaixo para recuperá-lo.
1. Desconecte o cabo da interface mgmt do FI principal ( show cluster state indica qual está atuando como Primário )
2. Conectar ao console do FI principal
3. Execute os seguintes comandos para alterar a autenticação nativa
scope security
show authentication
set authentication console local
set authentication default local
commit-buffer
4. Conecte o cabo da interface mgmt
5. Faça login via UCSM usando a conta local e crie domínio de autenticação para o grupo de autenticação remota (ex LDAP).
NOTE: Desconectar a interface de gerenciamento NÃO afetaria nenhum tráfego de plano de dados.
Cenário de problema 4 - A autenticação LDAP funciona, mas não com SSL habilitado
A autenticação LDAP está funcionando bem sem SSL (Secure Socket Layer), mas falha quando a opção SSL está ativada.
Recomendação
O cliente LDAP do UCSM usa os pontos de confiança configurados (certificados da autoridade de certificação (CA)) ao estabelecer a conexão SSL.
1. Verifique se o ponto de confiança foi configurado corretamente.
2. O campo de identificação em cert deve ser o " hostname" do servidor LDAP. Certifique-se de que o nome de host configurado no UCSM corresponda ao nome de host presente no certificado e seja válido.
3. Certifique-se de que o UCSM esteja configurado com 'hostname' e não 'ipaddress' do servidor LDAP e de que ele possa ser recuperado da interface local-mgmt.
Cenário de problema nº 5 - A autenticação falha após alterações no provedor LDAP
A autenticação falha após excluir um servidor LDAP antigo e adicionar um novo servidor LDAP
Recomendação
Quando o LDAP está sendo usado no domínio de autenticação, a exclusão e a adição de novos servidores não são permitidas. Na versão do UCSM 2.1, isso resultaria em falha do FSM.
As etapas a serem seguidas ao remover/adicionar novos servidores na mesma transação são
1. Verifique se todos os domínios de autenticação usando ldap foram alterados para local e salvos na configuração.
2. Atualize os servidores LDAP e verifique se o status do FSM foi concluído com êxito.
3. Altere os domínios de autenticação modificados na etapa 1 para LDAP.
Para todos os outros cenários de problema - Depurando LDAP
Ative as depurações, tente fazer login como usuário LDAP e reúna os logs a seguir junto com o suporte técnico do UCSM que captura o evento de login com falha.
1) Abra uma sessão SSH para FI e faça login como usuário local e altere para o contexto da CLI do NX-OS.
ucs # connect nxos
2) Ative os seguintes flags de depuração e salve a saída da sessão SSH no arquivo de log.
ucs(nxos)# debug aaa all <<< not required, incase of debugging authentication problems.
ucs(nxos)# debug aaa aaa-requests
ucs(nxos)# debug ldap all <<< not required, incase of debugging authentication problems.
ucs(nxos)# debug ldap aaa-request-lowlevel
ucs(nxos)# debug ldap aaa-request
3) Agora abra uma nova GUI ou sessão CLI e tente fazer login como usuário remoto (LDAP)
4) Depois de receber a mensagem de falha de login, desative as depurações.
ucs(nxos)# undebug all
Captura de pacote de tráfego LDAP
Nos cenários em que a captura de pacotes é necessária, o Ethanalyzer pode ser usado para capturar o tráfego LDAP entre o servidor FI e LDAP.
ucs(nxos)# ethanalyzer local interface mgmt capture-filter "host
" detail limit-captured-frames 0 write /bootflash/sysdebug/diagnostics/test-ldap.pcap
No comando acima, o arquivo pcap é salvo no diretório /workspace/diagnostics e pode ser recuperado do FI através do contexto CLI de gerenciamento local
O comando acima pode ser usado para capturar pacotes para qualquer tráfego de autenticação remota ( LDAP, TACACS, RADIUS ).
5. Logs relevantes no pacote de suporte técnico do UCSM
No suporte técnico do UCSM, os registros relevantes estão localizados no <diretório FI>/var/sysmgr/sam_logs
httpd.log
svc_sam_dcosAG
svc_sam_pamProxy.log
NX-OS commands or from <FI>/sw_techsupport log file
ucs-(nxos)# show system internal ldap event-history errors
ucs-(nxos)# show system internal ldap event-history msgs
ucs-(nxos)# show log
Caveats conhecidos
CSCth96721
o rootdn do servidor ldap no sam deve permitir mais de 128 caracteres
A versão do UCSM anterior à 2.1 tem limitação de 127 caracteres para DN base / string DN de associação.
http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/cli/config/guide/2.0/b_UCSM_CLI_Configuration_Guide_2_0_chapter_0111.html#task_0FC4E8245C6D4A64B5A1F575DAEC6127
— recorte —
O nome distinto específico na hierarquia LDAP em que o servidor deve iniciar uma pesquisa quando um usuário remoto faz login e o sistema tenta obter o DN do usuário com base no nome de usuário. O comprimento máximo suportado da cadeia é de 127 caracteres.
—
O problema é corrigido na versão 2.1.1 e superior
CSCuf19514
daemon LDAP travado
O cliente LDAP pode travar ao inicializar a biblioteca ssl se a chamada ldap_start_tls_s levar mais de 60 segundos para concluir a inicialização. Isso pode acontecer somente no caso de entrada/atrasos de DNS inválidos na resolução de DNS.
Siga os passos para resolver os atrasos e erros na resolução de DNS.