PowerScale: La autenticación de SMB mediante LDAP requiere NTLM en OneFS 6.5 y versiones posteriores

Summary: La autenticación de bloque de mensajes del servidor mediante LDAP requiere NTLM en OneFS 6.5 y versiones posteriores.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Problema

Los usuarios de SMB que se autentican mediante el protocolo ligero de acceso a directorios (LDAP) ya no pueden usar contraseñas de texto sin formato. Si utiliza LDAP para la autenticación de SMB en OneFS 6.5 y versiones posteriores, debe usar NT LAN Manager (NTLM).

Cause

Causa

El protocolo SMB no es compatible con la autenticación LDAP, a menos que se habiliten hashes NTLM (consulte la solución a continuación). La mayoría de los esquemas LDAP, incluido RFC 2307, el esquema LDAP más común, no son compatibles con hashes NTLM y no se pueden utilizar para la autenticación LDAP.

En las versiones de OneFS anteriores a 6.5, los usuarios no necesitaban usar NTLM si usaban contraseñas de texto sin formato. Las contraseñas de texto sin formato permitían la autenticación con orígenes locales porque el servidor podía cifrar la contraseña y comparar el resultado con la contraseña cifrada almacenada. Sin embargo, el uso de contraseñas de texto sin formato para la autenticación se deshabilitó en OneFS 6.5 y versiones posteriores porque las contraseñas de texto sin formato no son seguras.

Este artículo se aplica tanto a los usuarios de Microsoft ® Windows ® como a los que no utilizan Windows. SMB se implementa con mayor frecuencia en Windows. En la siguiente sección, se proporciona información específica de Windows.

Cómo maneja Microsoft Windows la autenticación:

Las contraseñas no se envían por cable de ninguna forma reconocible. Los clientes de Windows ya no envían contraseñas de texto sin formato de manera predeterminada. A menos que se realicen cambios en el registro de Windows, los clientes de Windows se autentican mediante uno de dos métodos:

  • Active Directory (AD) (Kerberos 5 y LDAP) Si el cliente está unido a un dominio de AD y el nombre del recurso compartido utiliza una ruta de estilo de dominio (por ejemplo, \server.domain.com\share).
  • NTLMEste hipervínculo lo redirige a un sitio web fuera de Dell Technologies. (v1 o v2) Si el cliente no forma parte del dominio o la ruta utiliza un nombre corto/dirección IP (por ejemplo, \10.0.3.144\share).

Resolution

Solución

A fin de usar LDAP para la autenticación de SMB, primero debe asegurarse de que el esquema de LDAP sea compatible con hashes NTLM. Una vez hecho esto, puede configurar OneFS para utilizar el atributo ntPasswdHash adecuado.

OneFS 7.0 y versiones posteriores

  1. Confirme que el esquema de LDAP sea compatible con hashes NTLM. Si no es así, modifique el ajuste de LDAP NOTA: La solución LDAP recomendada es ldapsam, ya que admite hashes NTLM "listos para usar". Para obtener información sobre cómo configurar ldapsam, consulte http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.

  2. En la interfaz de administración web de OneFS, haga clic en Cluster Management > Access Management > LDAP your LDAP ><>server.

  3. Haga clic en Ver detalles y, a continuación, haga clic en Configuración avanzada de LDAP

  4. En el campo Atributo de contraseña de Windows , haga clic en Editar y verifique que el valor esté configurado en: sambaNTPassword.

  5. Haga clic en Submit (Enviar). 


OneFS 6.5 y versiones anteriores

  1. Confirme que el esquema de LDAP sea compatible con hashes NTLM. Si no es así, modifique la configuración de LDAP.
    NOTA
    La solución LDAP recomendada es ldapsam, ya que es compatible con hashes NTLM "listos para usar". Para obtener información sobre cómo configurar ldapsam, consulte http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.

  2. En la interfaz de administración web de OneFS, haga clic en Uso compartido > de archivos LDAP de origen > de autenticación.

  3. Si utiliza ldapsam:

    1. En la sección LDAP Provider Settings, en la lista Attribute map, haga clic en ldapsam para completar los campos de filtro de usuarioy ntPasswdHash que se describen en los próximos pasos.

    2. En la sección LDAP Provider Settings , haga clic en el enlace Show advanced settings .

    3. Marque la casilla de verificación del atributontPasswdHash y verifique que el valor esté establecido en: sambaNTPassword.

    4. Seleccione la casilla de verificación user filter y verifique que el valor esté establecido en: (objectClass=sambaSamAccount).

    5. Haga clic en Submit (Enviar).

  4. Si no utiliza ldapsam:

    1. En la sección LDAP Provider Settings , haga clic en el enlace Show advanced settings .

    2. Seleccione la casilla de verificación del atributontPasswdHash.

    3. Configure el atributontPasswdHash en el atributo del esquema LDAP que contiene los hashes NTLM para el usuario.

    4. Haga clic en Submit (Enviar).

 

Información adicional

Para obtener una breve descripción de la autenticación en el protocolo SMB, consulte la página Autenticación Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies. del protocolo SMB de Microsoft.

Para obtener más información acerca de NTLM, consulte la página NTLM de MicrosoftEste hipervínculo lo redirige a un sitio web fuera de Dell Technologies.

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000059264
Article Type: Solution
Last Modified: 06 Sept 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.