Guia de solução de problemas do UCSM LDAP
Opções de download
Bias-Free Language
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
Sobre esta tradução
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Contents
Introduction
Este documento fornece informações sobre como validar a configuração do Lightweight Diretory Access Protocol (LDAP) no Unified Computing System Manager (UCSM) e as etapas para investigar problemas de falha de autenticação LDAP.
Guias de configuração:
UCSM configurando a autenticação
Exemplo de configuração do Ative Diretory (AD)
Verificar a configuração LDAP do UCSM
Verifique se o UCSM implantou a configuração com êxito, verificando o status da Finite State Machine (FSM) e se ela mostra concluída em 100%.
Do contexto da Interface de Linha de Comando (CLI - Command Line Interface) do UCSM
ucs # scope security
ucs /security # scope ldap
ucs /security/ldap # show configuration
ucs /security/ldap # show fsm status
Do contexto da CLI do Nexus Operating System (NX-OS)
ucs # scope security
ucs(nxos)# show ldap-server
ucs(nxos)# show ldap-server groups
Práticas recomendadas de configuração LDAP
1. Criar domínios de autenticação adicionais em vez de alterar o território de "autenticação nativa"
2. Sempre use o território local para 'autenticação de console'. Caso o usuário seja bloqueado por usar 'autenticação nativa', admin ainda poderá acessá-la do console.
3. O UCSM sempre retorna à autenticação local se todos os servidores em determinado domínio de autenticação não responderem durante a tentativa de login (não aplicável para o comando test aaa ) .
Validando a configuração LDAP
Teste a autenticação LDAP usando o comando NX-OS. O comando 'test aaa' está disponível somente na interface CLI do NX-OS.
1. Valide a configuração específica do grupo LDAP.
O comando a seguir passa pela lista de todos os servidores LDAP configurados com base em sua ordem configurada.
ucs(nxos)# test aaa group ldap <username> <password>
2. Validar a configuração específica do servidor LDAP
ucs(nxos)# test aaa server ldap <LDAP-server-IP-address or FQDN> <username> <password>
NOTA 1: A string <password> será exibida no terminal.
NOTA 2: O IP ou FQDN do servidor LDAP deve corresponder a um provedor LDAP configurado.
Nesse caso, o UCSM testa a autenticação em um servidor específico e pode falhar se não houver um filtro configurado para o servidor LDAP especificado.
Troubleshooting de falhas de login LDAP
Esta seção fornece informações sobre como diagnosticar problemas de autenticação LDAP.
Cenário de problema 1 - Não é possível fazer login
Não é possível fazer login como usuário LDAP via GUI (Graphical User Interface, interface gráfica do usuário) UCSM e CLI
O usuário recebe "Erro ao autenticar no servidor" ao testar a autenticação LDAP.
(nxos)# test aaa server ldap <LDAP-server> <user-name> <password>
error authenticating to server
bind failed for <base DN>: Can't contact LDAP server
Recomendação
Verificar a conectividade de rede entre o servidor LDAP e a interface de gerenciamento da Interconexão de estrutura (FI) por ping do Internet Control Message Protocol (ICMP) e estabelecer a conexão telnet a partir do contexto de gerenciamento local
ucs# connect local
ucs-local-mgmt # ping <LDAP server-IP-address OR FQDN>
ucs-local-mgmt # telnet <LDAP-Server-IP-Address OR FQDN> <port-number>
Investigue a conectividade de rede do Internet Protocol (IP) se o UCSM não puder fazer ping no servidor LDAP ou abrir sessão telnet para o servidor LDAP.
Verifique se o Domain Name Service (DNS) retorna o endereço IP correto para UCS para o nome de host do servidor LDAP e certifique-se de que o tráfego LDAP não esteja bloqueado entre esses dois dispositivos.
Cenário de problema 2 - É possível fazer login na GUI, não é possível fazer login no SSH
O usuário LDAP pode fazer login via GUI UCSM, mas não pode abrir sessão SSH para FI.
Recomendação
Ao estabelecer sessão SSH para FI como usuário LDAP, o UCSM exige que " ucs- " seja precedido antes do nome de domínio LDAP
* Da máquina Linux / MAC
ssh ucs-<domain-name>\\<username>@<UCSM-IP-Address>
ssh -l ucs-<domain-name>\\<username> <UCSM-IP-address>
ssh <UCSM-IP-address> -l ucs-<domain-name>\\<username>
* Do cliente putty
Login as: ucs-<domain-name>\<username>
NOTE: O nome de domínio diferencia maiúsculas de minúsculas e deve corresponder ao nome de domínio configurado no UCSM. O comprimento máximo do nome de usuário pode ser de 32 caracteres, incluindo o nome de domínio.
"ucs-<nome de domínio>\<nome de usuário>" = 32 caracteres.
Cenário de problema 3 - O usuário tem privilégios somente leitura
O usuário LDAP pode fazer login, mas tem privilégios somente leitura, mesmo que os mapas ldap-group estejam configurados corretamente no UCSM.
Recomendação
Se nenhuma função foi recuperada durante o processo de login LDAP, o usuário remoto é permitido com a função padrão ( acesso somente leitura ) ou o acesso negado ( sem login ) para fazer login no UCSM, com base na política de login remoto.
Quando o usuário remoto faz login e recebe acesso somente leitura, verifique os detalhes da associação ao grupo de usuários no LDAP/AD.
Por exemplo, podemos usar o utilitário ADSIEDIT para MS Ative Diretory. ou ldapserach no caso do Linux/Mac.
Também pode ser verificado com o comando " test aaa " do shell do NX-OS.
Cenário de problema 4 - Não é possível fazer login com a 'Autenticação remota'
O usuário não pode fazer login ou tem acesso somente leitura ao UCSM como usuário remoto quando a " Autenticação nativa " foi alterada para mecanismo de autenticação remota ( LDAP etc )
Recomendação
À medida que o UCSM retorna à autenticação local para acesso de console quando ele não pode acessar o servidor de autenticação remota, podemos seguir as etapas abaixo para recuperá-lo.
1. Desconecte o cabo da interface mgmt do FI principal ( show cluster state indica qual está atuando como Primário )
2. Conectar ao console do FI principal
3. Execute os seguintes comandos para alterar a autenticação nativa
scope security
show authentication
set authentication console local
set authentication default local
commit-buffer
4. Conecte o cabo da interface mgmt
5. Faça login via UCSM usando a conta local e crie domínio de autenticação para o grupo de autenticação remota (ex LDAP).
NOTE: Desconectar a interface de gerenciamento NÃO afetaria nenhum tráfego de plano de dados.
Cenário de problema 4 - A autenticação LDAP funciona, mas não com SSL habilitado
A autenticação LDAP está funcionando bem sem SSL (Secure Socket Layer), mas falha quando a opção SSL está ativada.
Recomendação
O cliente LDAP do UCSM usa os pontos de confiança configurados (certificados da autoridade de certificação (CA)) ao estabelecer a conexão SSL.
1. Verifique se o ponto de confiança foi configurado corretamente.
2. O campo de identificação em cert deve ser o " hostname" do servidor LDAP. Certifique-se de que o nome de host configurado no UCSM corresponda ao nome de host presente no certificado e seja válido.
3. Certifique-se de que o UCSM esteja configurado com 'hostname' e não 'ipaddress' do servidor LDAP e de que ele possa ser recuperado da interface local-mgmt.
Cenário de problema nº 5 - A autenticação falha após alterações no provedor LDAP
A autenticação falha após excluir um servidor LDAP antigo e adicionar um novo servidor LDAP
Recomendação
Quando o LDAP está sendo usado no domínio de autenticação, a exclusão e a adição de novos servidores não são permitidas. Na versão do UCSM 2.1, isso resultaria em falha do FSM.
As etapas a serem seguidas ao remover/adicionar novos servidores na mesma transação são
1. Verifique se todos os domínios de autenticação usando ldap foram alterados para local e salvos na configuração.
2. Atualize os servidores LDAP e verifique se o status do FSM foi concluído com êxito.
3. Altere os domínios de autenticação modificados na etapa 1 para LDAP.
Para todos os outros cenários de problema - Depurando LDAP
Ative as depurações, tente fazer login como usuário LDAP e reúna os logs a seguir junto com o suporte técnico do UCSM que captura o evento de login com falha.
1) Abra uma sessão SSH para FI e faça login como usuário local e altere para o contexto da CLI do NX-OS.
ucs # connect nxos
2) Ative os seguintes flags de depuração e salve a saída da sessão SSH no arquivo de log.
ucs(nxos)# debug aaa all <<< not required, incase of debugging authentication problems.
ucs(nxos)# debug aaa aaa-requests
ucs(nxos)# debug ldap all <<< not required, incase of debugging authentication problems.
ucs(nxos)# debug ldap aaa-request-lowlevel
ucs(nxos)# debug ldap aaa-request
3) Agora abra uma nova GUI ou sessão CLI e tente fazer login como usuário remoto (LDAP)
4) Depois de receber a mensagem de falha de login, desative as depurações.
ucs(nxos)# undebug all
Captura de pacote de tráfego LDAP
Nos cenários em que a captura de pacotes é necessária, o Ethanalyzer pode ser usado para capturar o tráfego LDAP entre o servidor FI e LDAP.
ucs(nxos)# ethanalyzer local interface mgmt capture-filter "host
" detail limit-captured-frames 0 write /bootflash/sysdebug/diagnostics/test-ldap.pcap
No comando acima, o arquivo pcap é salvo no diretório /workspace/diagnostics e pode ser recuperado do FI através do contexto CLI de gerenciamento local
O comando acima pode ser usado para capturar pacotes para qualquer tráfego de autenticação remota ( LDAP, TACACS, RADIUS ).
5. Logs relevantes no pacote de suporte técnico do UCSM
No suporte técnico do UCSM, os registros relevantes estão localizados no <diretório FI>/var/sysmgr/sam_logs
httpd.log
svc_sam_dcosAG
svc_sam_pamProxy.log
NX-OS commands or from <FI>/sw_techsupport log file
ucs-(nxos)# show system internal ldap event-history errors
ucs-(nxos)# show system internal ldap event-history msgs
ucs-(nxos)# show log
Caveats conhecidos
CSCth96721
o rootdn do servidor ldap no sam deve permitir mais de 128 caracteres
A versão do UCSM anterior à 2.1 tem limitação de 127 caracteres para DN base / string DN de associação.
http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/cli/config/guide/2.0/b_UCSM_CLI_Configuration_Guide_2_0_chapter_0111.html#task_0FC4E8245C6D4A64B5A1F575DAEC6127
— recorte —
O nome distinto específico na hierarquia LDAP em que o servidor deve iniciar uma pesquisa quando um usuário remoto faz login e o sistema tenta obter o DN do usuário com base no nome de usuário. O comprimento máximo suportado da cadeia é de 127 caracteres.
—
O problema é corrigido na versão 2.1.1 e superior
CSCuf19514
daemon LDAP travado
O cliente LDAP pode travar ao inicializar a biblioteca ssl se a chamada ldap_start_tls_s levar mais de 60 segundos para concluir a inicialização. Isso pode acontecer somente no caso de entrada/atrasos de DNS inválidos na resolução de DNS.
Siga os passos para resolver os atrasos e erros na resolução de DNS.
Colaborado por engenheiros da Cisco
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)