PowerScale: Ověřování SMB pomocí protokolu LDAP vyžaduje protokol NTLM v systému OneFS 6.5 a novějším.

Summary: Ověřování Server Message Block pomocí protokolu LDAP vyžaduje protokol NTLM v systému OneFS 6.5 a novějším.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Problém

Uživatelé SMB, kteří se ověřují pomocí protokolu LDAP (Lightweight Directory Access Protocol), již nemohou používat hesla ve formátu prostého textu. Pokud používáte protokol LDAP pro ověřování SMB v systému OneFS 6.5 a novějším, je nutné použít nástroj NT LAN Manager (NTLM).

Cause

Příčina

Protokol SMB nepodporuje ověřování LDAP, pokud nejsou povoleny hodnoty hash NTLM (viz řešení níže). Většina schémat LDAP, včetně RFC 2307, nejběžnějšího schématu LDAP, postrádá podporu pro hodnoty hash NTLM a nelze je použít pro ověřování LDAP.

Ve verzích systému OneFS starších než 6.5 uživatelé nemuseli používat protokol NTLM, pokud používali hesla ve formátu prostého textu. Hesla ve formátu prostého textu umožňovala ověřování proti místním zdrojům, protože server mohl heslo zašifrovat a výsledek porovnat s uloženým zašifrovaným heslem. Používání hesel ve formátu prostého textu k ověřování však bylo v systému OneFS 6.5 a novějších zakázáno, protože hesla ve formátu prostého textu nejsou bezpečná.

Tento článek platí pro uživatele systému Microsoft ® Windows ® i bez něj. SMB se nejčastěji implementuje ve Windows. Následující část obsahuje informace specifické pro systém Windows.

Jak systém Microsoft Windows zpracovává ověřování:

Hesla se neposílají po drátě v žádné rozpoznatelné podobě. Klienti se systémem Windows již ve výchozím nastavení neodesílají hesla ve formátu prostého textu. Pokud nedojde ke změnám registru systému Windows, klienti systému Windows se ověřují pomocí jedné ze dvou metod:

  • Active Directory (AD) (Kerberos 5 a LDAP) Pokud je klient připojen k doméně AD a název sdílené složky používá cestu ve stylu domény (například \server.domain.com\share).
  • NTLM (NTLM)Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies. (v1 nebo v2) Pokud klient není součástí domény nebo cesta používá zkrácený název nebo IP adresu (například \10.0.3.144\share).

Resolution

Chcete-li

použít protokol LDAP pro ověřování pomocí protokolu SMB, je nutné nejprve zajistit, aby schéma LDAP podporovalo hodnoty hash protokolu NTLM. Poté můžete nakonfigurovat systém OneFS tak, aby používal správný atribut ntPasswdHash.

OneFS 7.0 nebo pozdější

  1. Ověřte, zda vaše schéma LDAP podporuje hodnoty hash NTLM. Pokud tomu tak není, upravte nastavení LDAP POZNÁMKA: Doporučeným řešením LDAP je ldapsam, protože podporuje hashe NTLM "po vybalení". Informace o nastavení ldapsam naleznete v http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.

  2. Ve webovém rozhraní pro správu OneFS klikněte na položku Správa clusteru > , Správa > přístupu, LDAP ><, váš server> LDAP.

  3. Klikněte na Zobrazit podrobnosti a potom na Pokročilá nastavení LDAP

  4. V poli Atribut hesla systému Windows klikněte na tlačítko Upravit a ověřte, zda je hodnota nastavena na: sambaNTPassword.

  5. Klikněte na tlačítko Submit


OneFS 6.5 a starší

  1. Ověřte, zda vaše schéma LDAP podporuje hodnoty hash NTLM. Pokud ne, upravte nastavení LDAP.
    POZNÁMKA
    Doporučeným řešením LDAP je ldapsam, protože podporuje hashe NTLM "po vybalení". Informace o nastavení ldapsam naleznete v http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.

  2. Ve webovém rozhraní pro správu OneFS klikněte na možnost File Sharing > Authentication Source > LDAP.

  3. Pokud používáte ldapsam:

    1. V části Nastavení zprostředkovatele LDAP klikněte v seznamu Mapa atributů na položku ldapsam a vyplňte pole ntPasswdHash a uživatelský filtr popsaná v následujících krocích.

    2. V části Nastavení poskytovatele LDAP klikněte na odkaz Zobrazit rozšířená nastavení .

    3. Zaškrtněte políčko atributuntPasswdHash a ověřte, zda je hodnota nastavena na: sambaNTPassword.

    4. Zaškrtněte políčko filtru uživatelů a ověřte, zda je hodnota nastavena na: (objectClass=sambaSamAccount).

    5. Klikněte na tlačítko Submit.

  4. Pokud nepoužíváte ldapsam:

    1. V části Nastavení poskytovatele LDAP klikněte na odkaz Zobrazit rozšířená nastavení .

    2. Zaškrtněte políčko atributntPasswdHash.

    3. Nastavte atributntPasswdHash na atribut ve schématu LDAP, který obsahuje hodnoty hash NTLM pro uživatele.

    4. Klikněte na tlačítko Submit.

 

Doplňkové informace

Stručný popis ověřování v protokolu SMB naleznete na stránce Ověřování Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.pomocí protokolu SMB společnosti Microsoft.

Informace o protokolu NTLM naleznete na stránce Microsoft NTLMTento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000059264
Article Type: Solution
Last Modified: 06 Sept 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.