PowerScale : L’authentification SMB à l’aide de LDAP nécessite NTLM dans OneFS 6.5 et versions ultérieures

Summary: L’authentification Server Message Block à l’aide de LDAP nécessite NTLM dans OneFS 6.5 et versions ultérieures.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Problème

Les utilisateurs SMB qui s’authentifient à l’aide du protocole LDAP (Lightweight Directory Access Protocol) ne peuvent plus utiliser de mots de passe en texte brut. Si vous utilisez LDAP pour l’authentification SMB dans OneFS 6.5 et versions ultérieures, vous devez utiliser NT LAN Manager (NTLM).

Cause

Cause

Le protocole SMB ne prend pas en charge l’authentification LDAP, sauf si les hachages NTLM sont activés (voir Solution ci-dessous). La plupart des schémas LDAP, y compris RFC 2307, le schéma LDAP le plus courant, ne prennent pas en charge les hachages NTLM et ne peuvent pas être utilisés pour l’authentification LDAP.

Dans les versions de OneFS antérieures à 6.5, les utilisateurs n’avaient pas besoin d’utiliser NTLM s’ils utilisaient des mots de passe en texte brut. Les mots de passe en clair permettaient l’authentification auprès de sources locales, car le serveur pouvait chiffrer le mot de passe et comparer le résultat au mot de passe chiffré stocké. Toutefois, l’utilisation de mots de passe en clair pour l’authentification a été désactivée dans OneFS 6.5 et les versions ultérieures, car les mots de passe en texte brut ne sont pas sécurisés.

Cet article s’applique aux utilisateurs Microsoft ® Windows ® et non Windows. SMB est le plus souvent implémenté sous Windows. La section suivante fournit des informations spécifiques à Windows.

Gestion de l’authentification par Microsoft Windows :

Les mots de passe ne sont pas envoyés sur le réseau sous quelque forme reconnaissable que ce soit. Par défaut, les clients Windows n’envoient plus de mots de passe en texte brut. À moins que des modifications du registre Windows ne soient apportées, les clients Windows s’authentifient à l’aide de l’une des deux méthodes suivantes :

  • Active Directory (AD) (Kerberos 5 et LDAP) Si le client est joint à un domaine AD et que le nom du partage utilise un chemin de style domaine (par exemple, \server.domain.com\share).
  • NTLMCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies. (v1 ou v2) Si le client ne fait pas partie du domaine ou si le chemin utilise un nom abrégé/une adresse IP (par exemple, \10.0.3.144\share).

Resolution

Solution

Pour utiliser LDAP pour l’authentification SMB, vous devez d’abord vous assurer que votre schéma LDAP prend en charge les hachages NTLM. Une fois cette opération effectuée, vous pouvez configurer OneFS pour utiliser l’attribut ntPasswdHash approprié.

OneFS 7.0 et versions ultérieures

  1. Vérifiez que votre schéma LDAP prend en charge les hachages NTLM. Si ce n’est pas le cas, modifiez votre paramètre LDAP REMARQUE : la solution LDAP recommandée est ldapsam, car elle prend en charge les hachages NTLM prêts à l’emploi. Pour plus d’informations sur la configuration de ldapsam, reportez-vous à la section http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

  2. Dans l’interface d’administration Web OneFS, cliquez sur Cluster Management > Access Management LDAP > your LDAP ><server>.

  3. Cliquez sur Afficher les détails, puis sur Paramètres LDAP avancés

  4. Dans le champ Windows Password Attribute , cliquez sur Edit et vérifiez que la valeur est définie sur : sambaNTPassword.

  5. Cliquez sur Submit (Soumettre). 


OneFS 6.5 et versions antérieures

  1. Vérifiez que votre schéma LDAP prend en charge les hachages NTLM. Si ce n’est pas le cas, modifiez vos paramètres LDAP.
    NOTE
    La solution LDAP recommandée est ldapsam, car elle prend en charge les hachages NTLM « prêts à l’emploi ». Pour plus d’informations sur la configuration de ldapsam, reportez-vous à la section http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

  2. Dans l’interface d’administration Web OneFS, cliquez sur File Sharing > Authentication Source > LDAP.

  3. Si vous utilisez ldapsam :

    1. Dans la section LDAP Provider Settings , accédez à la liste Attribute map et cliquez sur ldapsam pour renseigner les champs ntPasswdHash et user filter décrits dans les étapes suivantes.

    2. Dans la section LDAP Provider Settings , cliquez sur le lien Show advanced settings .

    3. Cochez la case de l’attributntPasswdHash et vérifiez que la valeur est définie sur : sambaNTPassword.

    4. Cochez la case du filtre d’utilisateur et vérifiez que la valeur est définie sur : (objectClass=sambaSamAccount).

    5. Cliquez sur Submit (Soumettre).

  4. Si vous n’utilisez pas ldapsam :

    1. Dans la section LDAP Provider Settings , cliquez sur le lien Show advanced settings .

    2. Cochez la case de l’attributntPasswdHash.

    3. Définissez l’attributntPasswdHash sur l’attribut de votre schéma LDAP qui contient les hachages NTLM de l’utilisateur.

    4. Cliquez sur Submit (Soumettre).

 

Informations supplémentaires

Pour obtenir une brève description de l’authentification dans le protocole SMB, reportez-vous à la page Microsoft SMB Protocol AuthenticationCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies. .

Pour plus d’informations sur NTLM, consultez la page Microsoft NTLMCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000059264
Article Type: Solution
Last Modified: 06 Sept 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.