PowerScale: SMB-godkjenning ved hjelp av LDAP krever NTLM i OneFS 6.5 og nyere

Summary: Godkjenning av servermeldingsblokk ved hjelp av LDAP krever NTLM i OneFS 6.5 og nyere.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Problem

SMB-brukere som godkjennes ved hjelp av LDAP (Lightweight Directory Access Protocol), kan ikke lenger bruke passord i ren tekst. Hvis du bruker LDAP for SMB-godkjenning i OneFS 6.5 og nyere, må du bruke NTLM (NTLM).

Cause

Årsak

SMB-protokollen støtter ikke LDAP-godkjenning med mindre NTLM-hasher er aktivert (se løsning nedenfor). De fleste LDAP-skjemaer, inkludert RFC 2307, det vanligste LDAP-skjemaet, mangler støtte for NTLM-hasher og kan ikke brukes til LDAP-godkjenning.

I OneFS-versjoner som var eldre enn 6.5, trengte ikke brukerne å bruke NTLM hvis de brukte passord i ren tekst. Klartekstpassord tillot godkjenning mot lokale kilder fordi serveren kunne kryptere passordet og sammenligne resultatet med det lagrede krypterte passordet. Bruk av klartekstpassord for godkjenning er imidlertid deaktivert i OneFS 6.5 og nyere fordi klartekstpassord ikke er sikre.

Denne artikkelen gjelder både Microsoft ® Windows ®- og ikke-Windows-brukere. SMB implementeres oftest på Windows. Følgende del inneholder informasjon som er spesifikk for Windows.

Slik håndterer Microsoft Windows godkjenning:

Passord sendes ikke over ledningen i noen gjenkjennelig form. Windows-klienter sender ikke lenger passord i ren tekst som standard. Med mindre det gjøres endringer i Windows-registret, godkjennes Windows-klienter ved hjelp av én av to metoder:

  • Active Directory (AD) (Kerberos 5 og LDAP) Hvis klienten er koblet til et AD-domene, og navnet på den delte ressursen bruker en bane med domenestil (for eksempel \server.domain.com\delt ressurs).
  • NTLMDenne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies. (v1 eller v2) Hvis klienten ikke er en del av domenet, eller banen bruker et kortnavn/IP-adresse (for eksempel \10.0.3.144\deling).

Resolution

Løsning

Hvis du vil bruke LDAP for SMB-godkjenning, må du først kontrollere at LDAP-skjemaet støtter NTLM-hasher. Når dette er gjort, kan du konfigurere OneFS til å bruke riktig ntPasswdHash-attributt.

OneFS 7.0 og nyere

  1. Bekreft at LDAP-skjemaet støtter NTLM-hasher. Hvis ikke, endrer du LDAP-innstillingen MERK: Den anbefalte LDAP-løsningen er ldapsam, fordi den støtter NTLM-hasher «rett ut av esken». Hvis du vil ha informasjon om hvordan du konfigurerer ldapsam, kan du se http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies.

  2. Fra OneFS-grensesnittet for webadministrasjon klikker du på Tilgangsadministrasjon > for klyngeadministrasjon > LDAP ><for LDAP-serveren>.

  3. Klikk på Vis detaljer, og klikk deretter på Avanserte LDAP-innstillinger

  4. I feltet Windows-passordattributt klikker du Rediger og kontrollerer at verdien er satt til: sambaNTPassword.

  5. Klikk på Send inn


OneFS 6.5 og eldre

  1. Bekreft at LDAP-skjemaet støtter NTLM-hasher. Hvis ikke, endrer du LDAP-innstillingene.
    NOTAT
    Den anbefalte LDAP-løsningen er ldapsam, fordi den støtter NTLM-hash "ut av esken". Hvis du vil ha informasjon om hvordan du konfigurerer ldapsam, kan du se http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies.

  2. Fra OneFS-grensesnittet for webadministrasjon klikker du på Godkjenningskilde > for fildeling > LDAP.

  3. Dersom du bruker ldapsam:

    1. I delen LDAP-leverandørinnstillinger klikker du på ldapsam for å fylle ut ntPasswdHash- og brukerfilterfeltene som er beskrevet i de neste trinnene.

    2. I delen Innstillinger for LDAP-leverandør klikker du på koblingen Vis avanserte innstillinger .

    3. Merk av for ntPasswdHash-attributtet, og kontroller at verdien er satt til: sambaNTPassword.

    4. Merk av for brukerfilter , og kontroller at verdien er satt til: (objectClass=sambaSamAccount).

    5. Klikk på Send inn.

  4. Dersom du ikke bruker ldapsam:

    1. I delen Innstillinger for LDAP-leverandør klikker du på koblingen Vis avanserte innstillinger .

    2. Merk av for ntPasswdHash-attributtet.

    3. Sett ntPasswdHash-attributtet til attributtet i LDAP-skjemaet som inneholder NTLM-hashene for brukeren.

    4. Klikk på Send inn.

 

Tilleggsinformasjon

Hvis du vil ha en kort beskrivelse av godkjenning i SMB-protokollen, kan du se siden Microsoft SMB-protokollgodkjenningDenne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies. .

Hvis du vil ha informasjon om NTLM, kan du se Microsoft NTLM-sidenDenne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies.

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000059264
Article Type: Solution
Last Modified: 06 Sept 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.