PowerScale: SMB-godkendelse ved hjælp af LDAP kræver NTLM i OneFS 6.5 og nyere

Summary: Server Message Block-godkendelse ved hjælp af LDAP kræver NTLM i OneFS 6.5 og nyere.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Problem

SMB-brugere, der godkender ved hjælp af LDAP (Lightweight Directory Access Protocol), kan ikke længere bruge adgangskoder i klartekst. Hvis du bruger LDAP til SMB-godkendelse i OneFS 6.5 og nyere, skal du bruge NT LAN Manager (NTLM).

Cause

Årsag

SMB-protokollen understøtter ikke LDAP-godkendelse, medmindre NTLM-hashes er aktiveret (se løsning nedenfor). De fleste LDAP-skemaer, herunder RFC 2307, det mest almindelige LDAP-skema, mangler understøttelse af NTLM-hashes og kan ikke bruges til LDAP-godkendelse.

I OneFS-versioner tidligere end 6.5 behøvede brugerne ikke at bruge NTLM, hvis de brugte adgangskoder i klartekst. Adgangskoder i klartekst tillod godkendelse mod lokale kilder, fordi serveren kunne kryptere adgangskoden og sammenligne resultatet med den gemte krypterede adgangskode. Brug af klartekstadgangskoder til godkendelse er dog blevet deaktiveret i OneFS 6.5 og nyere, fordi adgangskoder i klartekst ikke er sikre.

Denne artikel gælder for både Microsoft ® Windows ®- og ikke-Windows-brugere. SMB implementeres oftest på Windows. Følgende afsnit indeholder oplysninger, der er specifikke for Windows.

Sådan håndterer Microsoft Windows godkendelse:

Adgangskoder sendes ikke over ledningen i nogen genkendelig form. Windows-klienter sender ikke længere adgangskoder i almindelig tekst som standard. Medmindre der foretages ændringer i Windows-registreringsdatabasen, godkendes Windows-klienter ved hjælp af en af to metoder:

  • Active Directory (AD) (Kerberos 5 og LDAP) Hvis klienten er knyttet til et AD-domæne, og sharenavnet bruger en domænestil (f.eks. \server.domain.com\share).
  • NTLMDette hyperlink fører dig til et websted uden for Dell Technologies. (v1 eller v2) Hvis klienten ikke er en del af domænet, eller stien bruger et kort navn/IP-adresse (f.eks. \10.0.3.144\share).

Resolution

Løsning

: Hvis du vil bruge LDAP til SMB-godkendelse, skal du først sikre dig, at LDAP-skemaet understøtter NTLM-hashværdier. Når dette er gjort, kan du konfigurere OneFS til at bruge den korrekte ntPasswdHash-attribut.

OneFS 7.0 og nyere

  1. Bekræft, at LDAP-skemaet understøtter NTLM-hashes. Hvis den ikke gør det, skal du ændre LDAP-indstillingen BEMÆRK: Den anbefalede LDAP-løsning er ldapsam, fordi den understøtter NTLM-hashes "som standard". Du kan finde oplysninger om, hvordan du konfigurerer ldapsam, i http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Dette hyperlink fører dig til et websted uden for Dell Technologies.

  2. Fra OneFS-webadministrationsgrænsefladen skal du klikke på Adgangsstyring til > klyngeadministration > LDAP ><din LDAP-server>.

  3. Klik på Vis oplysninger, og klik derefter på Avancerede LDAP-indstillinger

  4. Klik på Rediger i feltet Windows Password Attribut, og kontrollér, at værdien er angivet til: sambaNTPassword.

  5. Klik på Send


OneFS 6.5 og tidligere

  1. Bekræft, at LDAP-skemaet understøtter NTLM-hashes. Hvis ikke, skal du ændre LDAP-indstillingerne.
    SEDDEL
    Den anbefalede LDAP-løsning er ldapsam, fordi den understøtter NTLM-hashes "ud af kassen". Du kan finde oplysninger om, hvordan du konfigurerer ldapsam, i http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Dette hyperlink fører dig til et websted uden for Dell Technologies.

  2. Fra OneFS-webadministrationsgrænsefladen skal du klikke på Fildelingsgodkendelseskilde >> LDAP.

  3. Hvis du bruger ldapsam:

    1. Klik på ldapsam på listen Attributtilknytning i afsnittet Indstillinger for LDAP-udbyder for at udfylde de ntPasswdHash- og brugerfilterfelter, der er beskrevet i de næste trin.

    2. I afsnittet LDAP-udbyderindstillinger skal du klikke på linket Vis avancerede indstillinger .

    3. Markér afkrydsningsfeltet ntPasswdHash-attributten, og kontrollér, at værdien er angivet til: sambaNTPassword.

    4. Markér afkrydsningsfeltet Brugerfilter , og kontrollér, at værdien er angivet til: (objectClass=sambaSamAccount).

    5. Klik på Send.

  4. Hvis du ikke bruger ldapsam:

    1. I afsnittet LDAP-udbyderindstillinger skal du klikke på linket Vis avancerede indstillinger .

    2. Markér attributtenntPasswdHash.

    3. Indstil attributtenntPasswdHash til den egenskab i LDAP-skemaet, der indeholder NTLM-hashværdierne for brugeren.

    4. Klik på Send.

 

Yderligere oplysninger

Du kan finde en kort beskrivelse af godkendelsen i SMB-protokollen på siden Microsoft SMB Protocol AuthenticationDette hyperlink fører dig til et websted uden for Dell Technologies. .

Du kan finde oplysninger om NTLM på siden Microsoft NTLMDette hyperlink fører dig til et websted uden for Dell Technologies.

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000059264
Article Type: Solution
Last Modified: 06 Sept 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.