PowerScale: L'autenticazione SMB tramite LDAP richiede NTLM in OneFS 6.5 e versioni successive

Summary: L'autenticazione Server Message Block tramite LDAP richiede NTLM in OneFS 6.5 e versioni successive.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Problema

Gli utenti SMB che eseguono l'autenticazione tramite LDAP (Lightweight Directory Access Protocol) non possono più utilizzare password in testo normale. Se si utilizza LDAP per l'autenticazione SMB in OneFS 6.5 e versioni successive, è necessario utilizzare NTLM (NT LAN Manager).

Cause

Causa

Il protocollo SMB non supporta l'autenticazione LDAP a meno che non siano abilitati gli hash NTLM (vedere la soluzione riportata di seguito). La maggior parte degli schemi LDAP, incluso RFC 2307, lo schema LDAP più comune, non supporta gli hash NTLM e non può essere utilizzata per l'autenticazione LDAP.

Nelle versioni di OneFS precedenti alla 6.5, gli utenti non dovevano utilizzare NTLM se utilizzavano password con testo normale. Le password in chiaro consentivano l'autenticazione su fonti locali perché il server poteva crittografare la password e confrontare il risultato con la password crittografata archiviata. Tuttavia, l'utilizzo di password non crittografate per l'autenticazione è stato disabilitato in OneFS 6.5 e versioni successive perché le password non crittografate non sono protette.

Questo articolo si applica sia agli utenti Microsoft ® Windows ® che a utenti non Windows. SMB è più comunemente implementato su Windows. La sezione seguente fornisce informazioni specifiche su Windows.

Modalità di gestione dell'autenticazione in Microsoft Windows:

Le password non vengono inviate via cavo in alcun formato riconoscibile. Per impostazione predefinita, i client Windows non inviano più password in testo normale. A meno che non vengano apportate modifiche al Registro di sistema di Windows, i client Windows eseguono l'autenticazione utilizzando uno dei due metodi seguenti:

  • Active Directory (AD) (Kerberos 5 e LDAP) se il client viene aggiunto a un dominio AD e il nome della share utilizza un percorso di tipo dominio (ad esempio, \server.domain.com\share).
  • NTLMQuesto link ipertestuale indirizza a un sito web esterno a Dell Technologies. (v1 o v2) se il client non fa parte del dominio o il percorso utilizza un nome breve/indirizzo IP (ad esempio, \10.0.3.144\share).

Resolution

Soluzione

Per utilizzare LDAP per l'autenticazione SMB, è innanzitutto necessario assicurarsi che lo schema LDAP supporti gli hash NTLM. Al termine di questa operazione, è possibile configurare OneFS in modo che utilizzi l'attributo ntPasswdHash corretto.

OneFS 7.0 e versioni successive

  1. Verificare che lo schema LDAP supporti gli hash NTLM. In caso contrario, modificare l'impostazione LDAP NOTA: la soluzione LDAP consigliata è ldapsam, perché supporta hash NTLM "out-of-the-box". Per informazioni su come configurare ldapsam, consultare http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

  2. Dall'interfaccia di amministrazione web di OneFS, cliccare su Cluster Management > Access Management > LDAP ><sul server> LDAP.

  3. Cliccare su View details, quindi su Advanced LDAP settings

  4. Nel campo Windows Password Attribute , cliccare su Edit e verificare che il valore sia impostato su: sambaNTPassword.

  5. Cliccare su Submit


OneFS 6.5 e versioni precedenti

  1. Verificare che lo schema LDAP supporti gli hash NTLM. In caso contrario, modificare le impostazioni LDAP.
    NOTA
    La soluzione LDAP consigliata è ldapsam, perché supporta hash NTLM "out-of-the-box". Per informazioni su come configurare ldapsam, consultare http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

  2. Dall'interfaccia di amministrazione web di OneFS, cliccare su File Sharing > Authentication Source > LDAP.

  3. Se si sta usando ldapsam:

    1. Nella sezione LDAP Provider Settings , dall'elenco Attribute map , cliccare su ldapsam per popolare i campi ntPasswdHash e del filtro utente descritti nei passaggi successivi.

    2. Nella sezione LDAP Provider Settings , cliccare sul link Show advanced settings .

    3. Selezionare la casella di controllo dell'attributontPasswdHash e verificare che il valore sia impostato su: sambaNTPassword.

    4. Selezionare la casella di controllo del filtro utente e verificare che il valore sia impostato su: (objectClass=sambaSamAccount).

    5. Cliccare su Submit.

  4. Se non sta usando ldapsam:

    1. Nella sezione LDAP Provider Settings , cliccare sul link Show advanced settings .

    2. Selezionare la casella di controllo dell'attributontPasswdHash.

    3. Impostare l'attributontPasswdHash sull'attributo nello schema LDAP che contiene gli hash NTLM per l'utente.

    4. Cliccare su Submit.

 

Informazioni aggiuntive

Per una breve descrizione dell'autenticazione nel protocollo SMB, vedere la pagina Autenticazione Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies. del protocollo SMB Microsoft.

Per informazioni su NTLM, vedere la pagina Microsoft NTLMQuesto link ipertestuale indirizza a un sito web esterno a Dell Technologies.

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000059264
Article Type: Solution
Last Modified: 06 Sept 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.