PowerScale: Active Directory kullanıcıları için OneFS 9.5 veya sonraki bir sürüme yükseltme sonrasında tanımlanmamış öznitelik kimlik doğrulama hatası

Bir küme OneFS 9.5'e yükseltilirse ve makine hesabı özniteliğinin değeri msDS-SupportedEncryptionTypes ayarlanmamışsa kimlik doğrulama başarısız olabilir. Active Directory sağlayıcısı, biçimlendirilmemiş bir durumda görünebilir veya 'da bulunmayabilir isi auth Durum çıktısı.

Varsayılan olarak, küme Active Directory'ye ilk katıldığında bu değer 31 (veya onaltılık olarak 0xF1) olarak ayarlanır. Dell Desteği PowerScale OneFS Ürün Sayfasında bulunan OneFS 9.5 Güvenlik Yapılandırma Rehberine göre, SMB ve Kerberos için desteklenen birçok şifreleme türümüz vardır.
 

Şekil 1: Şunun değeri: msDS-SupportedEncryptionTypes Öznitelik ayarlanmamış> olarak <görünür.

Powershell'den örnek:

DistinguishedName : CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
DNSHostName       : ninefiveoh.testdomain.local
Enabled           : True
Name              : NINEFIVEOH
ObjectClass       : computer
ObjectGUID        : 8dbed342-6a12-41ff-889f-8249cc39b673
SamAccountName    : NINEFIVEOH$
SID               : S-1-5-21-3532647020-1821455699-3245163308-1110
UserPrincipalName :

Yukarıdaki çıktı, öznitelik için bir alan içermez msDS-SupportedEncryptionTypes, genellikle bir tamsayı değeri bildirir.

Aşağıda, öznitelik için set değerinin doldurulduğunu gördüğümüz başka bir kümeden bir örnek verilmiştir:

DistinguishedName             : CN=COREBUDDY,CN=Computers,DC=testdomain,DC=local
DNSHostName                   : corebuddy.testdomain.local
Enabled                       : True
msDS-SupportedEncryptionTypes : 31   <<<<<<<<<<<<<<<<
Name                          : COREBUDDY
ObjectClass                   : computer
ObjectGUID                    : e29236a7-cc36-4686-bca9-010ba4143ca3
SamAccountName                : COREBUDDY$
SID                           : S-1-5-21-3532647020-1821455699-3245163308-1104
UserPrincipalName             :

Başka bir belirti, doldurulan belirli mesajların olmasıdır. /var/log/lsass.d.log dosya aşağıda gösterildiği gibidir:

2023-04-14T02:40:07.877593+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
2023-04-14T02:40:07.877656+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.
2023-04-14T02:40:23.903189+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
2023-04-14T02:40:23.903268+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.

Sorunun bu olduğunu doğrulamak için yöneticinin Active Directory içindeki kümenin makine hesabı nesnesini kontrol etmesi gerekir. Bu, iki yoldan biriyle yapılabilir:

• Bir DC üzerinde, Active Directories Users and Computers (ADUC) öğesini açın.
  1. Pencerenin üst şeridinde Görünüm'ü seçin ve Gelişmiş Özellikler'e tıklayın.
  2. Nesneye sağ tıklayın ve Öznitelik Düzenleyicisi sekmesine gidin ve msDS-SupportedEncryptionTypes Öznitelik.
  3. Attribute alanına çift tıklayın ve yeni pencerede bildirilen ondalık sayıyı inceleyin.
• Doğru makine hesabı adına sahip bir DC'de aşağıdaki Powershell komutunu kullanın.

  Get-ADComputer -Identity <machine account name> -Properties msDS-SupportedEncryptionTypes

Yukarıdakilerde, yöneticilerin sorunu çözmek için Active Directory'de etki alanı düzeyinde ayrıcalıklara sahip bir hesap kullanmaları gerekir.

Manuel olarak silme msDS-SupportedEncryptionTypes özniteliği, kümenin makine hesabı nesnesinde Active Directory'nin NULL değeri bildirmesine neden olur. Bu, daha iyi güvenlik desteği için bir dizi geliştirmenin bir parçası olarak yeni koddaki kontrollerde başarısız olur.

Bu değeri ayarlamadan Active Directory'ye katılan daha eski kümeler de bu sorundan etkilenebilir. Bunun nedeni, Active Directory'ye yeniden birleştirme işlemi gerçekleştirilmedikçe hiçbir değerin ayarlanmamış olmasıdır.

Geçici çözüm:
Özniteliği boş değer dışında bir değerle değiştirin. Güvenli bir seçenek, güvenlik gereksinimlerine bağlı olarak varsayılan değer olan 31 veya 24'ü seçmektir. Bu, kullanıcı arabirimi veya PowerShell aracılığıyla yapılır. 

Değerlerin listesi ve hangi şifreleme türlerini destekledikleri Microsoft Web Sitesi blogunda bulunur.  

Aşağıdaki komut (doğru makine hesabı adı ve tamsayı eklenmiş şekilde), özniteliğe bir değer atamak için kullanıcı arayüzü yerine DC'de bir Active Directory yöneticisi tarafından kullanılabilir.

Set-ADComputer -Identity COMPUTERNAME$ -Add @{'msDS-SupportedEncryptionTypes'="<INTEGER>"}

Aşağıdaki örnek, msDS-SupportedEncryptionTypes Küme makine hesabı için varsayılan değer olan 31'e öznitelik NINEFIVEOH$:

Set-ADComputer -Identity NINEFIVEOH$ -Add @{'msDS-SupportedEncryptionTypes'="31"}

Değişiklikler uygulandıktan sonra Active Directory ortamındaki tüm etki alanı denetleyicilerine çoğaltılmalıdır. Daha sonra durumu temizlemek için kümede bir kimlik doğrulama yenilemesi veya hedefli LSASS yeniden başlatması gerekebilir. 

Dell Mühendislik ekibi, OneFS 9.5.0.3 te bu sorunu gideren kod geliştirmeleri yayınlamıştır. Yöneticiler, yükseltmeden önce bir değer ayarlanmamışsa IOCA yükseltme ön denetimlerinin başarısız olduğunu görebilir. Bir yönetici, öznitelikleri değiştirmek için AD'deki küme ayrıcalıklarını sınırladıysa, herhangi bir yükseltme etkinliği gerçekleşmeden önce özniteliği manuel olarak GÜNCELLEMELİDİR. Küme bunu yapmak için yeterli ayrıcalıklara sahip olmadığında yükseltmeden önce özniteliğin güncellenememesi veri noksanlığına neden olur.

Bu konuyla ilgili ilginizi çekebilecek bazı önerilen kaynaklar şunlardır:

• PowerScale: IOCA Küme Analiz Aracını Çalıştırma 
• Mevcut PowerScale OneFS Yamaları