Хорошо

HMM и LDAP Популярное

Последний ответ июл 21, 2021 14:05:54 7901 1 2 0 0

Коллеги, добрый вечер.

 

Сегодня хотим поделиться с Вами случаем из нашей профессиональной практики.

 

Наш пользователь столкнулся с проблемой при настройке LDAP для MM910 на шасси E9000.

 

Описание проблемы

 

Инициатор заявки хотел настроить LDAP для HMM (Hyper Management Module). Он уже настроил LDAP в iBMC для blade-серверов, используя свою конфигурацию, но при попытке применить её в HMM столкнулся с ошибкой.

 

Согласно инструкции, пользователю нужно войти в System Management > Account Management > LDAP.

Далее включить LDAP, не использовать сертификат, использовать протокол LDAPS, затем указать порт и IP-адрес DC. В поле «User Domain» указываете CN=users, и две настройки DCDC=orgname и DC=ru. Настройки были успешно применены.  

 

Далее при добавлении роли в группе LDAP выходила ошибка, что указано неверное значение «invalid parameter value»

 

(CN = ORG_ADM, OU = ..., OU = …, DC = orgname, DC = ru) – данные изменены в целях сохранения конфиденциальности данных пользователя.


HMM LDAP

 

Пользователь попросил нас помочь решить данную задачу.

 

Анализ проблемы

 

Мы попросили инициатора заявки посмотреть свойства пользователя и группы, а также сделать скриншоты. Наша задача была определить путь к контейнерам пользователей и группы соответственно.

 

Huawei Docs


Из полученных от пользователя данных мы выяснили, что в пути содержатся буквы кириллицы, не только латиницы, а также в пути к контейнерам были пробелы.

Предоставленный путь (изменён в целях сохранения конфиденциальности данных):

CN=SrvAdmins,OU=IT_Admins,OU=Admins Accounts,OU=Нью Васюки,OU=OUname,DC=SOMEorg,DC=ru.

Чтобы определить местонахождение проблемы, нужно точно знать расположение объектов в сервере AD (Active Directory), в AD только «built-in» папки могут выступать в роли CN (Common Name), созданные папки могут быть только OU (Organization Unit). В нашем примере, очевидно, что «SrvAdmins» должны быть группой, а контейнером должна быть «IT_Admins».   

 

AD Path

 

Изображение отредактировано, но главное выделено красным J

 

Структура должна выглядеть вот так:


HMM LDAP


 

 

 

Так как первая картинка отредактирована, Вам не видно, что имя группы не совпадает с именем группы CN сегмента. Так быть не должно.

 

В принципе, CNORG_ADM, можно удалить.

 

Ещё один важный момент: дата, время и часовой пояс должны быть одинаковы на сервере LDAP и в iBMC\HMM и должны совпадать с текущими. Если это условие не будет выполнено, то аутентификация LDAP не будет работать.

 

Решение проблемы

 

Был выработан алгоритм дальнейших действий для инициатора завки:

 

1.    Убрать русские буквы, пробелы из пути AD.

2.    Исправить путь в AD согласно предоставленным выше рекомендациям.

3.    Выставить корректное дату\время в HMM и на сервере LDAP.

 

 

HMM и iBMC blade-серверов имеют разные механизмы работы с LDAP, это объясняет почему одинаковая конфигурация не подошла для работы с HMM.

 

Ссылка на инструкцию по работе с LDAP:

https://support.huawei.com/enterprise/en/doc/EDOC1000015900/50fd510b/optional-configuring-ldap

После того, как пользователь выполнил все наши рекомендации, LDAP в HMM начал работать исправно.


Пост синхронизирован: Серверы - обмен опытом

  • x

Vorobushek
Опубликовано 2021-7-21 14:05:54

>>Так как первая картинка отредактирована, Вам не видно, что имя группы не совпадает с име>>нем группы CN сегмента. Так быть не должно.

Имя группы насколько я понял - это как она отображается в HMM и может быть абсолютно любым (из разрешенных знаков и длинны)
Я у себя не смог указать имя группы именно такое, как в АД. Так как оно содержит знаки "-", которые HMM  отказывается принимать на отрез.

Тем не менее все работает, настроить кстати удалось после данной статьи. За что спасибо


PS: да и пробел у меня 1 все-таки имеется в пути к группе

Развернуть
  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.