PowerScale: AD sudo-Befehle funktionieren nach dem Upgrade nicht mehr
Summary: Beim Upgrade von PowerScale OneFS fordern sudo-Befehle dreimal zur Eingabe eines Kennworts auf und können dann den Befehl mit "sudo: 3 falsche Passwortversuche"
Symptoms
Der Active Directory-Nutzer (in diesem Fall lautet der AD-Nutzername "PowerScale") in der Rolle "System Admin" lässt weiterhin den SSH-Eintrag zu, der Befehl schlägt wie folgt fehl:
cluster-1# ssh DOMAIN\\PowerScale@cluster-1
(DOMAIN\PowerScale@cluster-1) Password:
PowerScale OneFS 9.12.0.1
Could not chdir to home directory /ifs/home/DOMAIN/PowerScale: No such file or directory
cluster-1% sudo -s
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
For security reasons, the password you type will not be visible.
Password:
Sorry, try again.
Password:
Sorry, try again.
Password:
sudo: 3 incorrect password attempts
cluster0-1% Fehler in /var/log/auth.log ähneln folgenden Kategorien:
2026-01-09T14:08:46.964341-05:00 <4.6> isi-9510-1(id1) sshd[9292]: Accepted keyboard-interactive/pam for DOMAIN\PowerScale from 10.20.48.1 port 31599 ssh2
2026-01-09T14:09:02.165862-05:00 <4.1> isi-9510-1(id1) sudo[9315]: DOMAIN\PowerScale : 3 incorrect password attempts ; TTY=pts/1 ; PWD=/ ; USER=root ; COMMAND=/bin/zsCause
Ein Update auf sudo führte dazu, dass Active Directory-Nutzernamen in Großbuchstaben fehlschlugen. Beachten Sie, dass dies nur für Umgebungen gilt, in denen Active Directory-Nutzer zur Eingabe eines Kennworts aufgefordert werden müssen. Kennwortlose sudo-Befehle sollten davon nicht betroffen sein. Kennwortgeschützte Eingabeaufforderungen haben Einträge in 'isi_visudo' So:
DOMAIN\\powerscale ALL=(ALL) PASSWD: ALLResolution
Die technische Abteilung von PowerScale hat dieses Problem erkannt und arbeitet an einer dauerhaften Lösung. Nutzer können den Nutzernamen in Active Directory so bearbeiten, dass er komplett in Kleinbuchstaben geschrieben ist:
Wie bei allen Active Directory-Bearbeitungen kann es einige Zeit dauern, bis die Änderungen übernommen werden. Wenn der Nutzer immer noch nicht arbeitet, initiieren Sie eine Protokollerfassung und wenden Sie sich an den PowerScale-Support.