PowerScale: Active Directory -käyttäjien määrittämättömän määritteen todennusvirhe OneFS 9.5 -päivityksen tai sitä uudemman version jälkeen

Jos klusteri on päivitetty OneFS 9.5:een ja Machine Account -määritteen arvo msDS-SupportedEncryptionTypes ei ole määritetty, todennus voi epäonnistua. Active Directory -palveluntarjoaja saattaa näyttää olevan tyylittömässä tilassa tai se saattaa puuttua isi auth Tilan tulos.

Oletusarvon mukaan tämä arvo on 31 (tai heksadesimaaliluku 0xF1), kun klusteri liittyy Active Directoryyn ensimmäisen kerran. Dellin PowerScale OneFS -tuotesivulla olevan OneFS 9.5 Security Configuration Guide -oppaan mukaan käytettävissä on useita tuettuja PK-yritysten ja Kerberojen salaustyyppejä.
 

Kuva 1: Arvo msDS-SupportedEncryptionTypes Määritteen tilana <näkyy not-set>.

Esimerkki Powershellistä:

DistinguishedName : CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
DNSHostName       : ninefiveoh.testdomain.local
Enabled           : True
Name              : NINEFIVEOH
ObjectClass       : computer
ObjectGUID        : 8dbed342-6a12-41ff-889f-8249cc39b673
SamAccountName    : NINEFIVEOH$
SID               : S-1-5-21-3532647020-1821455699-3245163308-1110
UserPrincipalName :

Edellä oleva tulos ei sisällä määritteen kenttää msDS-SupportedEncryptionTypes, joka yleensä ilmoittaa kokonaislukuarvon.

Alla on esimerkki toisesta klusterista, jossa nähdään, että määritetty arvo täytetään määritteelle:

DistinguishedName             : CN=COREBUDDY,CN=Computers,DC=testdomain,DC=local
DNSHostName                   : corebuddy.testdomain.local
Enabled                       : True
msDS-SupportedEncryptionTypes : 31   <<<<<<<<<<<<<<<<
Name                          : COREBUDDY
ObjectClass                   : computer
ObjectGUID                    : e29236a7-cc36-4686-bca9-010ba4143ca3
SamAccountName                : COREBUDDY$
SID                           : S-1-5-21-3532647020-1821455699-3245163308-1104
UserPrincipalName             :

Toinen oire on, että tietyt viestit täyttyvät /var/log/lsass.d.log tiedosto alla olevan kuvan mukaisesti:

2023-04-14T02:40:07.877593+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
2023-04-14T02:40:07.877656+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.
2023-04-14T02:40:23.903189+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
2023-04-14T02:40:23.903268+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.

Järjestelmänvalvojan on tarkistettava ongelman syy tarkistamalla klusterin tietokonetiliobjekti Active Directoryssa. Tämä voidaan tehdä kahdella tavalla:

• Avaa DC:ssä Active Directorys Users and Computers (ADUC).
  1. Valitse ikkunan ylänauhasta View ja napsauta Lisäominaisuudet.
  2. Napsauta objektia hiiren kakkospainikkeella ja siirry Attribuuttieditori-välilehteen ja etsi msDS-SupportedEncryptionTypes ominaisuus.
  3. Kaksoisnapsauta Määrite-kenttää ja tarkastele uudessa ikkunassa ilmoitettua desimaalilukua.
• Käytä seuraavaa Powershell-komentoa ohjauskoneessa, jolla on oikea konetilin nimi.

  Get-ADComputer -Identity <machine account name> -Properties msDS-SupportedEncryptionTypes

Edellä mainitun vuoksi järjestelmänvalvojien on ratkaistava ongelma Active Directory -tilillä, jolla on toimialuetason oikeudet.

Manuaalinen poisto msDS-SupportedEncryptionTypes klusterin tietokonetiliobjektin määrite johtaa siihen, että Active Directory ilmoittaa tyhjäarvon. Tämä epäonnistuu uudemman koodin tarkistuksissa osana parannuspakettia, joka parantaa suojaustukea.

Myös vanhemmat klusterit, jotka ovat liittyneet Active Directoryyn määrittämättä tätä arvoa, voivat olla alttiita tälle ongelmalle. Tämä johtuu siitä, että arvoa ei aseteta, ellei Active Directoryyn ole liitytty uudelleen.

Tilapäisratkaisu:
Muuta määrite arvoksi muu kuin tyhjä arvo. Turvallinen vaihtoehto on valita oletusarvo 31 tai 24 turvallisuusvaatimuksista riippuen. Tämä tehdään käyttöliittymän tai Powershellin kautta. 

Luettelo arvoista ja niiden tukemista salaustyypeistä on Microsoftin verkkosivuston blogissa.  

Active Directory -järjestelmänvalvoja voi käyttää seuraavaa komentoa (johon on lisätty oikea konetilin nimi ja kokonaisluku) ohjauskoneessa käyttöliittymän sijaan arvon määrittämiseen määritteelle.

Set-ADComputer -Identity COMPUTERNAME$ -Add @{'msDS-SupportedEncryptionTypes'="<INTEGER>"}

Alla olevassa esimerkissä msDS-SupportedEncryptionTypes Klusterikonetilin oletusarvon 31 määrite NINEFIVEOH$:

Set-ADComputer -Identity NINEFIVEOH$ -Add @{'msDS-SupportedEncryptionTypes'="31"}

Kun muutokset on otettu käyttöön, ne on replikoitava kaikkiin Active Directory -ympäristön toimialueen ohjauskoneisiin. Todennuspäivitys tai klusterin kohdennettu LSASS-uudelleenkäynnistys voi olla tarpeen, jotta tilanne voidaan poistaa myöhemmin. 

Dell Engineering on julkaissut OneFS 9.5.0.3:ssa koodin parannuksia, jotka korjaavat tämän ongelman. Järjestelmänvalvojat saattavat silti nähdä IOCA-päivityksen esitarkistusten epäonnistuvan, jos heille ei ole määritetty arvoa ennen päivitystä. Jos järjestelmänvalvoja on rajoittanut määritteiden muokkaamista koskevia klusterioikeuksia AD:ssä, määrite TÄYTYY päivittää manuaalisesti ennen päivitystoimia. Jos määritettä ei päivitetä ennen päivitystä, kun klusterilla ei ole siihen riittäviä oikeuksia, tiedot eivät ole käytettävissä.

Seuraavassa on joitakin suositeltuja tähän aiheeseen liittyviä resursseja, jotka saattavat kiinnostaa:

• PowerScale: IOCA-klusterianalyysityökalun suorittaminen 
• Nykyiset PowerScale OneFS -korjaukset