简介


    本文档提供有关在统一计算系统管理器(UCSM)上验证轻量级目录访问协议(LDAP)配置的信息,以及调查LDAP身份验证故障问题的步骤。

    配置指南:

    UCSM配置身份验证

    Active Directory(AD)配置示例

    验证UCSM LDAP配置

    通过检查有限状态机(FSM)状态,确保UCSM已成功部署配置,并显示完成率为100%。

    从UCSM命令行界面(CLI)上下文

    ucs # scope security
    ucs /security # scope ldap 
    ucs /security/ldap # show configuration
    ucs /security/ldap # show fsm status


    从Nexus操作系统(NX-OS)CLI环境

    ucs # scope security 
    ucs(nxos)# show ldap-server
    ucs(nxos)# show ldap-server groups

    LDAP配置最佳实践


    1.创建其他身份验证域,而不是更改“本地身份验证”领域

    2.始终使用本地领域进行“控制台身份验证”。如果用户使用“本地身份验证”被锁定,管理员仍可从控制台访问。

    3.如果给定auth-domain中的所有服务器在登录尝试期间都未能响应,则UCSM始终无法返回本地身份验证(不适用于test aaa命令)。

    验证LDAP配置


    使用NX-OS命令测试LDAP身份验证。“test aaa”命令仅从NX-OS CLI界面可用。

    1.验证LDAP组特定配置。

    以下命令根据所有已配置的LDAP服务器的配置顺序浏览其列表。

    ucs(nxos)# test aaa group ldap <username> <password>


    2.验证特定LDAP服务器配置

    ucs(nxos)# test aaa server ldap <LDAP-server-IP-address or FQDN> <username> <password>


    注释 1:<password>字符串将显示在终端上。

    注释 2:LDAP服务器IP或FQDN必须与已配置的LDAP提供程序匹配。

    在这种情况下,UCSM会针对特定服务器测试身份验证,如果没有为指定LDAP服务器配置过滤器,则可能会失败。

    排除LDAP登录故障


    本节提供有关诊断LDAP身份验证问题的信息。

    问题场景#1 — 无法登录

    无法通过UCSM图形用户界面(GUI)和CLI以LDAP用户身份登录

    用户在测试LDAP身份验证时收到“向服务器进行身份验证时出错”。

    (nxos)# test aaa server ldap <LDAP-server> <user-name> <password>
    error authenticating to server
    bind failed for <base DN>: Can't contact LDAP server


    建议
    通过互联网控制消息协议(ICMP)ping检验LDAP服务器和交换矩阵互联(FI)管理接口之间的网络连接,并从本地管理情景建立telnet连接

    ucs# connect local
    ucs-local-mgmt # ping <LDAP server-IP-address OR FQDN>
    ucs-local-mgmt # telnet <LDAP-Server-IP-Address OR FQDN> <port-number> 

    如果UCSM无法ping通LDAP服务器或打开到LDAP服务器的telnet会话,请检查Internet协议(IP)网络连接。

    验证域名服务(DNS)是否为LDAP服务器主机名将正确的IP地址返回给UCS,并确保这两台设备之间未阻止LDAP流量。

    问题场景#2 — 可以登录GUI,无法登录SSH

    LDAP用户可以通过UCSM GUI登录,但无法打开到FI的SSH会话。 


    建议

    当以LDAP用户身份建立到FI的SSH会话时,UCSM要求在LDAP域名之前预置“ ucs — ”

    *从Linux/MAC计算机 

    ssh ucs-<domain-name>\\<username>@<UCSM-IP-Address>
    ssh -l ucs-<domain-name>\\<username> <UCSM-IP-address>
    ssh <UCSM-IP-address> -l ucs-<domain-name>\\<username>


    *从putty客户端

    Login as: ucs-<domain-name>\<username>


    NOTE:域名区分大小写,并且应与UCSM中配置的域名匹配。最大用户名长度可以是包含域名的32个字符。

    "ucs-<domain-name>\<user-name>" = 32个字符。

    问题场景#3 — 用户具有只读权限

    LDAP用户可以登录,但具有只读权限,即使UCSM中正确配置了ldap组映射。


    建议
    如果在LDAP登录过程中未检索到任何角色,则根据远程登录策略允许远程用户使用默认角色(只读访问)或拒绝访问(无登录)登录UCSM。

    当远程用户登录并授予用户只读访问权限时,在这种情况下,请验证LDAP/AD中的用户组成员身份详细信息。
    例如,我们可以对MS Active Directory使用ADSIEDIT实用程序。或ldapserach。

    也可以使用NX-OS外壳的“ test aaa”命令来验证。

    问题场景#4 — 无法使用“远程身份验证”登录

    当“本地身份验证”更改为远程身份验证机制(LDAP等)时,用户无法登录或具有对UCSM的只读访问权限 


    建议
    当UCSM无法到达远程身份验证服务器时,会回退到控制台访问的本地身份验证,因此,我们可以按照以下步骤恢复它。

    1.断开主FI的mgmt接口电缆(show cluster state将指示充当主FI的管理接口电缆)
    2.连接到主FI的控制台
    3.执行以下命令以更改本机身份验证

    scope security
    show authentication
    set authentication console local
    set authentication default local
    commit-buffer

    4.连接mgmt接口电缆
    5.使用本地帐户通过UCSM登录并创建用于远程身份验证(例如LDAP)组的身份验证域。
    NOTE:断开管理接口不会影响任何数据平面流量。

    问题场景#4 - LDAP身份验证工作,但不启用SSL

    没有安全套接字层(SSL),LDAP身份验证工作正常,但启用SSL选项时失败。


    建议
    UCSM LDAP客户端在建立SSL连接时使用已配置的信任点(证书颁发机构(CA)证书)。

    1.确保正确配置了信任点。

    2.证书中的标识字段应为LDAP服务器的“主机名”。确保在UCSM中配置的主机名与证书中存在的主机名匹配且有效。

    3.确保UCSM配置了LDAP服务器的“hostname”而不是“ipaddress”,并且可以从本地管理接口重新检查。

    问题场景#5 - LDAP提供程序更改后身份验证失败

    删除旧LDAP服务器并添加新LDAP服务器后,身份验证失败 


    建议
    当LDAP用于身份验证领域时,不允许删除和添加新服务器。从UCSM 2.1版本中,它将导致FSM故障。

    在同一事务中删除/添加新服务器时要遵循的步骤是

    1.确保使用ldap的所有身份验证领域都更改为本地并保存配置。
    2.更新LDAP服务器并验证FSM状态是否已成功完成。
    3.将步骤1中修改的域的身份验证领域更改为LDAP。

    对于所有其他问题场景 — 调试LDAP

    打开调试,尝试以LDAP用户身份登录,并收集以下日志以及捕获失败登录事件的UCSM技术支持。

    1)打开到FI的SSH会话,以本地用户身份登录并更改为NX-OS CLI上下文。 

    ucs # connect nxos

    2)启用以下调试标志并将SSH会话输出保存到日志文件。

    ucs(nxos)# debug aaa all <<< not required, incase of debugging authentication problems.
    ucs(nxos)# debug aaa aaa-requests

    ucs(nxos)# debug ldap all <<< not required, incase of debugging authentication problems.
    ucs(nxos)# debug ldap aaa-request-lowlevel
    ucs(nxos)# debug ldap aaa-request


    3)现在打开新的GUI或CLI会话并尝试以远程(LDAP)用户身份登录
    4)收到登录失败消息后,关闭调试。

    ucs(nxos)# undebug all

    LDAP流量的数据包捕获

    在需要捕获数据包的情况下,Ethanalyzer可用于捕获FI和LDAP服务器之间的LDAP流量。

    ucs(nxos)# ethanalyzer local interface mgmt capture-filter "host 
     
     
       
       
       
        
        
        
       " detail limit-captured-frames 0 write /bootflash/sysdebug/diagnostics/test-ldap.pcap


    在上述命令中,pcap文件保存在/workspace/diagnostics目录下,可通过本地管理CLI上下文从FI中检索

    以上命令可用于捕获任何远程(LDAP、TACACS、RADIUS)身份验证流量的数据包。
    5. UCSM技术支持捆绑包中的相关日志

    在UCSM技术支持中,相关日志位于<FI>/var/sysmgr/sam_logs目录下

    httpd.log
    svc_sam_dcosAG
    svc_sam_pamProxy.log 
    NX-OS commands or from <FI>/sw_techsupport log file

    ucs-(nxos)# show system internal ldap event-history errors 
    ucs-(nxos)# show system internal ldap event-history msgs 
    ucs-(nxos)# show log

    已知问题说明

    CSCth96721
    sam上ldap服务器的rootdn应允许128个字符以上

    低于2.1的UCSM版本对基本DN /绑定DN字符串有127个字符的限制。

    http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/cli/config/guide/2.0/b_UCSM_CLI_Configuration_Guide_2_0_chapter_0111.html#task_0FC4E8245C6D4A64B5A1F575DAEC6127

    — 剪刀 —
    LDAP层次结构中的特定可分辨名称,当远程用户登录且系统尝试根据用户名获取用户的DN时,服务器应开始搜索。支持的最大字符串长度为127个字符。


    问题在2.1.1及更高版本中已解决


    CSCuf19514
    LDAP守护程序崩溃

    如果ldap_start_tls_s调用需要60秒以上才能完成初始化,则LDAP客户端在初始化ssl库时可能崩溃。这只有在DNS解析中出现无效DNS条目/延迟时才会发生。

    采取措施解决DNS解析延迟和错误。