PowerScale: SMB-authenticatie met LDAP vereist NTLM in OneFS 6.5 en hoger

Summary: Server Message Block-verificatie met LDAP vereist NTLM in OneFS 6.5 en hoger.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Probleem

MKB-gebruikers die zich verifiëren met behulp van LDAP (Lightweight Directory Access Protocol) kunnen geen wachtwoorden meer gebruiken in platte tekst. Als u LDAP gebruikt voor SMB-verificatie in OneFS 6.5 en hoger, moet u NT LAN Manager (NTLM) gebruiken.

Cause

Oorzaak

Het SMB-protocol biedt geen ondersteuning voor LDAP-verificatie, tenzij NTLM-hashes zijn ingeschakeld (zie onderstaande oplossing). De meeste LDAP-schema's, waaronder RFC 2307, het meest voorkomende LDAP-schema, bieden geen ondersteuning voor NTLM-hashes en kunnen niet worden gebruikt voor LDAP-authenticatie.

In OneFS-versies ouder dan 6.5 hoefden gebruikers geen NTLM te gebruiken als ze wachtwoorden in platte tekst gebruikten. Wachtwoorden in platte tekst maakten authenticatie tegen lokale bronnen mogelijk, omdat de server het wachtwoord kon versleutelen en het resultaat kon vergelijken met het opgeslagen versleutelde wachtwoord. Het gebruik van wachtwoorden in platte tekst voor verificatie is echter uitgeschakeld in OneFS 6.5 en hoger omdat wachtwoorden in platte tekst niet veilig zijn.

Dit artikel is van toepassing op zowel Microsoft ® Windows ®- als niet-Windows-gebruikers. SMB wordt het meest geïmplementeerd op Windows. Het volgende gedeelte bevat informatie die specifiek is voor Windows.

Hoe Microsoft Windows omgaat met verificatie:

Wachtwoorden worden niet in een herkenbare vorm over de kabel verzonden. Windows-clients verzenden standaard geen wachtwoorden meer in platte tekst. Tenzij er wijzigingen in het Windows-register worden aangebracht, verifiëren Windows-clients zich via een van de volgende twee methoden:

  • Active Directory (AD) (Kerberos 5 en LDAP) Als de client is gekoppeld aan een AD-domein en de sharenaam een pad in domeinstijl gebruikt (bijvoorbeeld \server.domain.com\share).
  • NTLMDeze hyperlink leidt u naar een website buiten Dell Technologies. (v1 of v2) Als de client geen deel uitmaakt van het domein of als het pad een korte naam/IP-adres gebruikt (bijvoorbeeld \10.0.3.144\share).

Resolution

Oplossing

: Als u LDAP wilt gebruiken voor SMB-verificatie, moet u er eerst voor zorgen dat uw LDAP-schema NTLM-hashes ondersteunt. Zodra dit is gedaan, kunt u OneFS configureren om het juiste kenmerk ntPasswdHash te gebruiken.

OneFS 7.0 en hoger

  1. Controleer of uw LDAP-schema NTLM-hashes ondersteunt. Als dit niet het geval is, wijzigt u uw LDAP-instelling OPMERKING: De aanbevolen LDAP-oplossing is ldapsam, omdat deze 'out-of-the-box' NTLM-hashes ondersteunt. Zie http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073 voor informatie over het instellen van ldapsam.Deze hyperlink leidt u naar een website buiten Dell Technologies.

  2. Klik in de OneFS-webbeheerinterface op Cluster Management > Access Management > LDAP ><uw LDAP-server>.

  3. Klik op Details weergeven en klik vervolgens op Geavanceerde LDAP-instellingen

  4. Klik in het veld Windows Password Attribute op Edit en controleer of de waarde is ingesteld op: sambaNTPasswordte installeren.

  5. Klik op Verzenden


OneFS 6.5 en eerder

  1. Controleer of uw LDAP-schema NTLM-hashes ondersteunt. Als dit niet het geval is, wijzigt u uw LDAP-instellingen.
    NOTITIE
    De aanbevolen LDAP-oplossing is ldapsam, omdat deze 'kant-en-klare' NTLM-hashes ondersteunt. Zie http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073 voor informatie over het instellen van ldapsam.Deze hyperlink leidt u naar een website buiten Dell Technologies.

  2. Klik in de OneFS-webbeheerinterface op File Sharing > Authentication Source > LDAP.

  3. Als u ldapsam gebruikt:

    1. Klik in het gedeelte LDAP Provider Settings in de lijst Attribuutkaart op ldapsam om de ntPasswdHash - en gebruikersfiltervelden in te vullen die in de volgende stappen worden beschreven.

    2. Klik in het gedeelte LDAP-providerinstellingen op de koppeling Geavanceerde instellingen weergeven .

    3. Schakel het selectievakje ntPasswdHashattribuut in en controleer of de waarde is ingesteld op: sambaNTPasswordte installeren.

    4. Schakel het selectievakje Gebruikersfilter in en controleer of de waarde is ingesteld op: (objectClass=sambaSamAccount)te installeren.

    5. Klik op Verzenden.

  4. Als u ldapsam niet gebruikt:

    1. Klik in het gedeelte LDAP-providerinstellingen op de koppeling Geavanceerde instellingen weergeven .

    2. Schakel het selectievakje ntPasswdHashattribuut in.

    3. Stel het kenmerk ntPasswdHashin op het kenmerk in uw LDAP-schema dat de NTLM-hashes voor de gebruiker bevat.

    4. Klik op Verzenden.

 

Aanvullende informatie

Zie de pagina Verificatie Deze hyperlink leidt u naar een website buiten Dell Technologies. van het Microsoft SMB-protocol voor een korte beschrijving van verificatie in het SMB-protocol.

Zie de Microsoft NTLM-pagina voor meer informatie over NTLMDeze hyperlink leidt u naar een website buiten Dell Technologies.

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000059264
Article Type: Solution
Last Modified: 06 Sept 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.