Пользователь root не может войти в WebUI/CLI в версии 8.x, если установлен домен по умолчанию

При входе в кластер с помощью веб-интерфейса пользователя или интерфейса командной строки происходит сбой с ошибкой пароля.

Это относится к OneFS 8.x, если в домене имеется дублирующийся пользователь (например, root).

Вы по-прежнему можете войти в систему, используя домен unix_users:

UNIX_USERS\root

Убедитесь, что в рассматриваемом домене установлен домен по умолчанию:

#isi auth ads view --provider-name=<domain> --verbose | grep "Assume Default Domain"
    Assume Default Domain: Yes

Если задан домен по умолчанию, OneFS сначала обратится к домену, чтобы аутентифицировать локального пользователя. В данном случае мы используем root. Если пользователь существует в домене, OneFS попытается аутентифицировать пользователя через домен.

Если учетная запись отключена, то при попытке входа вы увидите ошибку.

В версии 8.x можно добавить необнаруживаемых пользователей на любой контроллер домена с помощью следующей команды:

# isi auth ads modify --provider-name=<domain> --add-unfindable-users=<list of users we don't want found(to include domain name and FQDN) --restrict-findable=yes

Чтобы убедиться, что настройки выполнены, снова запустите представление auth:

# isi auth ads view --provider-name=<domain> --verbose
--you are looking for this output:
         Unfindable Users: <FQDN>\root, <Domain>\root, 0, root
          Findable Groups: -
           Findable Users: -
        Restrict Findable: Yes

Для того, чтобы кластер гарантированно отфильтровывал необнаруживаемых пользователей, необходимо включить ограничение обнаружимого доступа.