(強制)ChannelBindingが原因で、Secure LDAPを使用した操作が失敗しました
環境
- ONTAP 9
- Microsoft LDAPサーバ
- セキュアなLDAP
- LDAPS
- Start-TLSの実行
問題
- ONTAP とMS LDAPサーバ間のLDAP接続を必要とする処理(たとえば、ADサイト検出)が失敗します。
- ファイルのACLの変更(Windowsクライアント側のエラーメッセージ)
cannot determine whether the computer is joined to a domain
- でポート636のLDAPクライアントを有効にすると
vserver services name-service ldap client modify
失敗します -
LDAPサーバではユーザバインドパラメータを設定する必要があります
[-bind-dn <ldap_dn>] - Bind DN (User)
- EMSおよびSECDのログ
Invalid credentials
には、セキュアLDAP接続を開始するときの障害に関連しているように見えます。
EMS
secd: secd.conn.auth.failure:notice]: Vserver (<vserver>) could not authenticate over the network to server (
). Error: Invalid credentials (Service: LDAP (Active Directory), Operation: SiteDiscovery).
- LDAPSまたはStart-TLSのどちらを使用するかによって、SECDログ内にそれ自体がわずかに異なる形で記録されます。
SecD(AD LDAP接続用のLDAPS)
00000013.007e944b 0fc9a7d2 Mon Nov 02 2020 06:14:14 +01:00 [kern_secd:info:8211] Failure Summary:
00000013.007e944c 0fc9a7d2 Mon Nov 02 2020 06:14:14 +01:00 [kern_secd:info:8211] Error: User authentication procedure failed
00000013.007e944d 0fc9a7d2 Mon Nov 02 2020 06:14:14 +01:00 [kern_secd:info:8211] CIFS SMB2 Share mapping - Client Ip = 1.2.3.4
00000013.007e944e 0fc9a7d2 Mon Nov 02 2020 06:14:14 +01:00 [kern_secd:info:8211] ...
00000013.007e944f 0fc9a7d2 Mon Nov 02 2020 06:14:14 +01:00 [kern_secd:info:8211] [ 9988] Successfully connected to ip 1.2.3.51, port 636 using TCP
00000013.007e9450 0fc9a7d2 Mon Nov 02 2020 06:14:14 +01:00 [kern_secd:info:8211] [ 10202] Unable to start LDAPS: Invalid credentials
00000013.007e9451 0fc9a7d2 Mon Nov 02 2020 06:14:14 +01:00 [kern_secd:info:8211] [ 10202] Additional info: 80090346: LdapErr: DSID-0C090588, comment: AcceptSecurityContext error, data 80090346, v2580
00000013.007e9452 0fc9a7d2 Mon Nov 02 2020 06:14:14 +01:00 [kern_secd:info:8211] [ 10202] Unable to connect to LDAP (Active Directory) service on <server.domain> (Error: Invalid credentials)
up.
SecD(AD LDAP接続のStart-TLS)
00000013.007e944b 0fc9a7d2 Mon Nov 02 2020 06:14:14 +01:00 [kern_secd:info:8211] Failure Summary:
00000013.007e944c 0fc9a7d2 Mon Nov 02 2020 06:14:14 +01:00 [kern_secd:info:8211] Error: User authentication procedure failed
00000013.007e944d 0fc9a7d2 Mon Nov 02 2020 06:14:14 +01:00 [kern_secd:info:8211] CIFS SMB2 Share mapping - Client Ip = 1.2.3.4
00000013.007e944e 0fc9a7d2 Mon Nov 02 2020 06:14:14 +01:00 [kern_secd:info:8211] ...
00000013.007e944f 0fc9a7d2 Mon Nov 02 2020 06:14:14 +01:00 [kern_secd:info:8211] [ 9988] Successfully connected to ip 1.2.3.51, port 389 using TCP
00000013.007e9450 0fc9a7d2 Mon Nov 02 2020 06:14:14 +01:00 [kern_secd:info:8211] [ 10202] Unable to start LDAPS: Invalid credentials
00000013.007e9452 0fc9a7d2 Mon Nov 02 2020 06:14:14 +01:00 [kern_secd:info:8211] [ 10202] Unable to connect to LDAP (Active Directory) service on <server.domain> (Error: Invalid credentials)