PowerScale:LDAPを使用したSMB認証には、OneFS 6.5以降でNTLMが必要

Summary: LDAP を使用したサーバー メッセージ ブロック認証には、OneFS 6.5 以降で NTLM が必要です。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

課題

Lightweight Directory Access Protocol (LDAP)を使用して認証するSMBユーザーは、プレーンテキストのパスワードを使用できなくなりました。OneFS 6.5以降でSMB認証にLDAPを使用する場合は、NT LAN Manager(NTLM)を使用する必要があります。

Cause

原因

NTLMハッシュが有効になっていない限り、SMBプロトコルはLDAP認証をサポートしません(以下の解決策を参照)。最も一般的な LDAP スキーマである RFC 2307 を含むほとんどの LDAP スキーマは、NTLM ハッシュをサポートしていないため、LDAP 認証には使用できません。

6.5より前のOneFSバージョンでは、プレーンテキストのパスワードを使用する場合、NTLMを使用する必要はありませんでした。プレーンテキストのパスワードでは、サーバーがパスワードを暗号化し、その結果を保存されている暗号化されたパスワードと比較できるため、ローカルソースに対する認証が可能でした。ただし、平文パスワードは安全でないため、OneFS 6.5以降では、認証に平文パスワードを使用することは無効になっています。

この記事は、Microsoft ® Windows®ユーザーとWindows以外のユーザーの両方に適用されます。SMBは、Windowsで最も一般的に実装されています。次のセクションでは、Windowsに固有の情報を提供します。

Microsoft Windowsが認証を処理する方法:

パスワードは、認識可能な形式でネットワーク経由で送信されることはありません。Windowsクライアントは、デフォルトではプレーンテキストのパスワードを送信しなくなりました。Windowsレジストリが変更されない限り、Windowsクライアントは次の2つの方法のいずれかを使用して認証されます。

  • AD(Active Directory)(Kerberos 5およびLDAP): クライアントがADドメインに参加しており、共有名がドメイン形式のパス( たとえば、\server.domain.com\share)を使用している場合。
  • NTLMこのハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。 (v1またはv2) クライアントがドメインの一部でない場合、またはパスに短い名前/IPアドレス( たとえば、\10.0.3.144\share)が使用されている場合。

Resolution

解決方法

SMB 認証に LDAP を使用するには、まず LDAP スキーマが NTLM ハッシュをサポートしていることを確認する必要があります。これが完了したら、適切なntPasswdHash属性を使用するようにOneFSを構成できます。

OneFS 7.0以降

  1. LDAPスキーマがNTLMハッシュをサポートしていることを確認します。そうでない場合は、LDAP設定を変更しますメモ:推奨されるLDAPソリューションはldapsamです。これは、NTLMハッシュを「すぐに使用できる」ようにサポートしているためです。ldapsamのセットアップ方法の詳細については、「http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073」を参照してください。このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

  2. OneFS Web管理インターフェイスで、Cluster Management>Access Management > LDAP ><LDAPサーバー>の順にクリックします。

  3. 詳細の表示をクリックしてから、LDAPの詳細設定をクリックします。 

  4. [Windows Password Attribute]フィールドで、[Edit]をクリックし、値が次のように設定されていることを確認します。 sambaNTパスワードです。

  5. [送信]をクリックします。 


OneFS 6.5以前

  1. LDAPスキーマがNTLMハッシュをサポートしていることを確認します。そうでない場合は、LDAP設定を変更します。
    メモ
     推奨されるLDAPソリューションはldapsamです。これは、NTLMハッシュを「すぐに使える」ようにサポートしているためです。ldapsamのセットアップ方法の詳細については、「 http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073」を参照してください。このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

  2. OneFS Web管理インターフェイスで、 File Sharing > Authentication Source > LDAP をクリックします

  3. ldapsamを使用している場合:

    1. [ LDAP Provider Settings ]セクションの[ Attribute map ]リストから[ ldapsam ]をクリックして、次の手順で説明する ntPasswdHash フィールドと user filter フィールドにデータを入力します。

    2. LDAPプロバイダー設定セクションで、詳細設定の表示リンクをクリックします。

    3. ntPasswdHash属性チェック ボックスを選択し、値が次のように設定されていることを確認します。 sambaNTパスワードです。

    4. ユーザー フィルターのチェック ボックスをオンにして、値が次のように設定されていることを確認します。 (objectClass=sambaSamAccount)です。

    5. [送信]をクリックします。

  4. ldapsamを使用していない場合は、次の手順を実行します。

    1. LDAPプロバイダー設定セクションで、詳細設定の表示リンクをクリックします。

    2. ntPasswdHash属性チェック ボックスを選択します。

    3. ntPasswdHash属性を、ユーザーの NTLM ハッシュを含む LDAP スキーマの属性に設定します。

    4. [送信]をクリックします。

 

追加情報

SMBプロトコルでの認証の簡単な説明については、「 Microsoft SMBプロトコル認証このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。 」ページを参照してください。

NTLMの詳細については、Microsoft NTLMのページを参照してくださいこのハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000059264
Article Type: Solution
Last Modified: 06 Sept 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.