Dell Unity: 신뢰할 수 있는 도메인의 사용자가 Unity NAS 서버에 액세스할 수 없음(사용자가 수정 가능)
Shrnutí: 신뢰할 수 있는 도메인의 사용자는 도메인 신뢰 구성에서 선택적 인증이 활성화된 Unity NAS 서버에 액세스할 수 없습니다. 선택적 인증이 활성화된 경우 신뢰할 수 있는 도메인의 사용자는 특별한 사용 권한이 부여된 경우에만 NAS 서버에 액세스할 수 있습니다.
Příznaky
- 신뢰할 수 있는 도메인 정보는 CIFS 서버의 pdc 덤프에서 사용할 수 있습니다.
spb:/cores/service/user# svc_cifssupport dan -pdcdump
dan : commands processed: 1
command(s) succeeded
output is complete
1660184568: SMB: 6: Dump DC for dom='CATEST' OrdNum=0
1660184568: SMB: 6: Domain=CATEST Next trusted domains update in 642 seconds
1660184568: SMB: 6: oldestDC:DomCnt=0,2 Time=Thu Aug 11 02:17:18 2022
1660184568: SMB: 6: Trusted domain info from DC='DC-1' (258 seconds ago)
1660184568: SMB: 6: Trusted domain:trust.local [TRUST]
GUID:00000000-0000-0000-0000-000000000000
1660184568: SMB: 6: Flags=0x22 Ix=0 Type=0x2 Attr=0x8
1660184568: SMB: 6: SID=S-1-5-15-dda732ea-ea90ce96-61bcbf65
1660184568: SMB: 6: DC='-'
1660184568: SMB: 6: Status Flags=0x0 DCStatus=0x547,0
>DC=DC0x0004e9bd18 DC-1[CATEST](10.10.100.100) ref=4 time(dns)=143 ms LastUpdt=Thu Aug 11 02:17:18 2022
KrbAccount=DAN$@CATEST.LOCAL Status=OK lifetime:34788 seconds credUsage=0x1
AccCred=0x0010089f08,0x001010c408 Buf=0x00063e3f58 L=2582 Flags=0x7
Pid=0000 Tid=0001 Uid=500004000071 SMB=0x210
Cnx=SUCCESS,DC request succeeded
logon=SecureChannelOK 1 SecureChannel(s):
[DAN] Fid=0x14000000a4 CallID=0x14 NLFlags=0x4107414d SessionKey:AES authV:[PRIVACY,sign:HMAC_SHA256,seal:AES128] Status=SUCCESS/SecureChannelOK
Capa=0x0 MxBufSz=0xffff MawRwSz=0xffff Nego=0x0000000000,L=0 Chal=0x0000000000,L=0,W2kFlags=0x3f3fd
refCount=4 newElectedDC=0x0000000000 forceInvalid=0
Discovered from: DNS
Command succeeded
- /EMC/C4Core/log/c4_safe_ktrace.log에서 SamLogon 요청이 실패하고 "AUTHENTICATION_FIREWALL_FAILED" 오류가 발생했습니다.
2022/08/10-02:34:41.193175 2 7F3E68B41700 sade:SMB: 6:[dan] authenticate trust\administrator S=22 SamLogonInvalidReply 2022/08/10-02:34:41.193182 2 7F3E68B41700 sade:SMB: 6:[dan] authLogon=SamLogonInvalidReply Es=0x0 Em=AUTHENTICATION_FIREWALL_FAILED U='administrator' D='trust' 2022/08/10-02:34:41.193194 5 7F3E68B41700 sade:SMB: 6:[dan] 2SMB470 SamLogon[0] DC=DC-1 'DC authn error' NTstatus=AUTHENTICATION_FIREWALL_FAILED LogonSt
- SamLogon 오류는 디버그 로그가 활성화된 경우에만 ktrace에 표시됩니다.
디버그 로그를 활성화하는 명령:
/nas/bin/.server_config -v "logsys set severity SMB=LOG_DBG3"
디버그 로그를 비활성화하는 명령:
/nas/bin/.server_config -v "logsys set severity SMB=LOG_PRINTF"
Příčina
- 자세한 내용은 Microsoft 문서에서 확인할 수 있습니다.
신뢰에 대한 보안 고려 사항: 도메인 및 포리스트 트러스트 | Microsoft 학습
선택적 인증은 상호 포레스트 트러스트에 설정할 수 있는 보안 설정입니다. 신뢰할 수 있는 포리스트를 관리하는 Active Directory 관리자가 신뢰할 수 있는 포리스트의 사용자 그룹이 신뢰할 수 있는 포리스트의 공유 리소스에 액세스할 수 있는 제어 기능을 제공합니다. 외부 또는 포리스트 트러스트를 생성하면 모든 인증 요청이 포리스트 사이를 이동하는 경로를 제공하기 때문에 관리자가 조직의 포리스트에 있는 공유 리소스에 대한 액세스 권한을 다른 조직의 포리스트에 있는 제한된 사용자 세트에 부여해야 하는 경우 이러한 제어가 특히 중요합니다.
이러한 작업 자체가 반드시 포리스트에 위협이 되지는 않지만, 모든 보안 통신이 경로를 통해 이루어지기 때문에 외부 또는 포리스트 신뢰는 신뢰할 수 있는 포리스트에 위치한 악의적인 사용자가 더 큰 표면을 공격하도록 노출합니다. 선택적 인증은 Active Directory 관리자가 리소스 도메인의 컴퓨터 객체에 대해 다른 조직의 포리스트에 있는 특정 사용자 계정에 대해 새 인증 권한을 부여하도록 함으로써 이 노출 영역을 최소화하는 데 도움이 됩니다.
Řešení
- 두 가지 솔루션이 있습니다. 고객은 환경 요구 사항에 따라 둘 중 하나를 선택할 수 있습니다.
1. 도메인 신뢰 구성에서 "선택적 인증" 을 비활성화합니다.
외부 트러스트를 통해 선택적 인증을 활성화합니다. 도메인 및 포리스트 트러스트 | Microsoft 학습
2. 신뢰할 수 있는 도메인에 있는 사용자에게 "Allowed to Authenticate" 권한을 부여합니다.
신뢰할 수 있는 도메인 또는 포리스트의 컴퓨터에 대한 인증 허용 권한을 부여합니다. | Microsoft 학습