PowerScale: SMB-Authentifizierung über LDAP erfordert NTLM in OneFS 6.5 und höher

Summary: Die Server Message Block-Authentifizierung über LDAP erfordert NTLM in OneFS 6.5 und höher.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Problem

SMB-Nutzer, die sich mit LDAP (Lightweight Directory Access Protocol) authentifizieren, können keine Klartextkennwörter mehr verwenden. Wenn Sie LDAP für die SMB-Authentifizierung in OneFS 6.5 und höher verwenden, müssen Sie NT LAN Manager (NTLM) verwenden.

Cause

Ursache

Das SMB-Protokoll unterstützt keine LDAP-Authentifizierung, es sei denn, NTLM-Hashes sind aktiviert (siehe Lösung unten). Die meisten LDAP-Schemata, einschließlich RFC 2307, dem häufigsten LDAP-Schema, bieten keine Unterstützung für NTLM-Hashes und können nicht für die LDAP-Authentifizierung verwendet werden.

In OneFS-Versionen vor 6.5 mussten Nutzer NTLM nicht verwenden, wenn sie Klartextkennwörter verwendeten. Klartextkennwörter ermöglichten die Authentifizierung anhand lokaler Quellen, da der Server das Kennwort verschlüsseln und das Ergebnis mit dem gespeicherten verschlüsselten Kennwort vergleichen konnte. Die Verwendung von Klartextkennwörtern für die Authentifizierung wurde jedoch in OneFS 6.5 und höher deaktiviert, da Klartextkennwörter nicht sicher sind.

Dieser Artikel gilt sowohl für Microsoft ® Windows ®- als auch für Nicht-Windows-Nutzer. SMB wird am häufigsten unter Windows implementiert. Der folgende Abschnitt enthält Informationen speziell für Windows.

So handhabt Microsoft Windows die Authentifizierung:

Kennwörter werden nicht in erkennbarer Form über das Internet gesendet. Windows-Clients senden standardmäßig keine Klartextkennwörter mehr. Sofern keine Änderungen an der Windows-Registrierung vorgenommen werden, authentifizieren sich Windows-Clients mit einer von zwei Methoden:

  • Active Directory (AD) (Kerberos 5 und LDAP) Wenn der Client mit einer AD-Domain verbunden ist und der Freigabename einen Pfad im Domainstil verwendet (z. B. \server.domain.com\share).
  • NTLMDieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies. (v1 oder v2) Wenn der Client nicht Teil der Domain ist oder der Pfad einen Kurznamen/eine IP-Adresse verwendet (z. B. \10.0.3.144\share).

Resolution

LösungUm LDAP für die SMB-Authentifizierung zu verwenden, müssen Sie zunächst sicherstellen, dass Ihr LDAP-Schema NTLM-Hashes

unterstützt. Danach können Sie OneFS so konfigurieren, dass das richtige ntPasswdHash-Attribut verwendet wird.

OneFS 7.0 und höher

  1. Vergewissern Sie sich, dass Ihr LDAP-Schema NTLM-Hashes unterstützt. Wenn dies nicht der Fall ist, ändern Sie Ihre LDAP-Einstellungen. HINWEIS: Die empfohlene LDAP-Lösung ist ldapsam, da es NTLM-Hashes "out of the box" unterstützt. Weitere Informationen zum Einrichten von LDAPSAM finden Sie unter http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.

  2. Klicken Sie in der OneFS-Webverwaltungsschnittstelle auf Cluster Management > Access Management > LDAP ><Ihren LDAP-Server>.

  3. Klicken Sie auf Details anzeigen und dann auf Erweiterte LDAP-Einstellungen

  4. Klicken Sie im Feld Windows-Kennwortattribut auf Bearbeiten und überprüfen Sie, ob der Wert auf Folgendes festgelegt ist: sambaNTPassword.

  5. Klicken Sie auf Submit


OneFS 6.5 und früher

  1. Vergewissern Sie sich, dass Ihr LDAP-Schema NTLM-Hashes unterstützt. Ist dies nicht der Fall, ändern Sie Ihre LDAP-Einstellungen.
    ANMERKUNG
    Die empfohlene LDAP-Lösung ist ldapsam, da es NTLM-Hashes "out of the box" unterstützt. Weitere Informationen zum Einrichten von LDAPSAM finden Sie unter http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.

  2. Klicken Sie in der OneFS-Webverwaltungsschnittstelle auf Dateifreigabe > Authentifizierungsquelle > LDAP.

  3. Wenn Sie LDAPSAM verwenden:

    1. Klicken Sie im Abschnitt LDAP Provider Settings in der Liste Attribute map auf ldapsam zum Ausfüllen der in den nächsten Schritten beschriebenen ntPasswdHash - und user filter-Felder .

    2. Klicken Sie im Abschnitt LDAP Provider Settings auf den Link Show advanced settings .

    3. Aktivieren Sie das AttributntPasswdHash und überprüfen Sie, ob der Wert auf Folgendes festgelegt ist: sambaNTPassword.

    4. Aktivieren Sie das Kontrollkästchen user filter und überprüfen Sie, ob der Wert auf Folgendes festgelegt ist: (objectClass=sambaSamAccount).

    5. Klicken Sie auf Submit.

  4. Wenn Sie LDAPSAM nicht verwenden:

    1. Klicken Sie im Abschnitt LDAP Provider Settings auf den Link Show advanced settings .

    2. Aktivieren Sie das Kontrollkästchen ntPasswdHashattribute .

    3. Legen Sie das AttributntPasswdHash auf das Attribut in Ihrem LDAP-Schema fest, das die NTLM-Hashes für den Nutzer enthält.

    4. Klicken Sie auf Submit.

 

Weitere Informationen

Eine kurze Beschreibung der Authentifizierung im SMB-Protokoll finden Sie auf der Seite Microsoft SMB-ProtokollauthentifizierungDieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies. .

Weitere Informationen zu NTLM finden Sie auf der Seite Microsoft NTLMDieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000059264
Article Type: Solution
Last Modified: 06 Sept 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.