PowerScale: Uwierzytelnianie SMB przy użyciu protokołu LDAP wymaga protokołu NTLM w OneFS w wersji 6.5 lub nowszej

Summary: Uwierzytelnianie bloku komunikatów serwera przy użyciu protokołu LDAP wymaga protokołu NTLM w OneFS w wersji 6.5 lub nowszej.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Problem

Użytkownicy SMB, którzy uwierzytelniają się przy użyciu protokołu LDAP (Lightweight Directory Access Protocol), nie mogą już używać haseł w postaci zwykłego tekstu. Jeśli używasz protokołu LDAP do uwierzytelniania SMB w OneFS 6.5 i nowszych, musisz użyć NT LAN Manager (NTLM).

Cause

Powód

Protokół SMB nie obsługuje uwierzytelniania LDAP, chyba że włączono skróty NTLM (patrz rozwiązanie poniżej). Większość schematów LDAP, w tym najczęściej spotykany schemat LDAP RFC 2307, nie obsługuje skrótów NTLM i nie można ich używać do uwierzytelniania LDAP.

W OneFS w wersji starszej niż 6.5 użytkownicy nie musieli używać NTLM, jeśli używali haseł w postaci zwykłego tekstu. Hasła w postaci zwykłego tekstu umożliwiały uwierzytelnianie w źródłach lokalnych, ponieważ serwer mógł zaszyfrować hasło i porównać wynik z zapisanym zaszyfrowanym hasłem. Jednak używanie haseł w postaci zwykłego tekstu do uwierzytelniania zostało wyłączone w OneFS 6.5 i nowszych, ponieważ hasła w postaci zwykłego tekstu nie są bezpieczne.

Ten artykuł dotyczy zarówno użytkowników systemu Microsoft ® Windows ®, jak i użytkowników innych systemów. Protokół SMB jest najczęściej implementowany w systemie Windows. Poniższa sekcja zawiera informacje dotyczące systemu Windows.

Jak system Microsoft Windows obsługuje uwierzytelnianie:

Hasła nie są przesyłane przez sieć w żadnej rozpoznawalnej formie. Klienci systemu Windows nie wysyłają już domyślnie haseł w postaci zwykłego tekstu. O ile nie zostaną wprowadzone zmiany w rejestrze systemu Windows, klienci z systemem Windows uwierzytelniają się przy użyciu jednej z dwóch metod:

  • Usługa Active Directory (AD) (Kerberos 5 i LDAP) Jeśli klient jest przyłączony do domeny AD, a nazwa udziału używa ścieżki w stylu domeny (na przykład \server.domain.com\udział).
  • NTLMKliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies. (wersja 1 lub 2) Jeśli klient nie jest częścią domeny lub ścieżka używa krótkiej nazwy/adresu IP (na przykład \10.0.3.144\share).

Resolution

Rozwiązanie

Aby używać protokołu LDAP do uwierzytelniania SMB, należy najpierw upewnić się, że schemat LDAP obsługuje skróty NTLM. Po wykonaniu tej czynności można skonfigurować OneFS tak, aby używał właściwego atrybutu ntPasswdHash.

OneFS 7.0 i nowszy

  1. Upewnij się, że schemat LDAP obsługuje skróty NTLM. Jeśli tak nie jest, zmodyfikuj ustawienie LDAP UWAGA: zalecanym rozwiązaniem LDAP jest ldapsam, ponieważ obsługuje skróty NTLM "od razu po wyjęciu z pudełka". Aby uzyskać informacje na temat konfigurowania protokołu ldapsam, zobacz http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.

  2. W sieciowym interfejsie administracyjnym OneFS kliknij kolejno opcje Zarządzanie klastrem > Zarządzanie > dostępem LDAP LDAP ><serwer>.

  3. Kliknij opcję Wyświetl szczegóły, a następnie kliknij opcję Zaawansowane ustawienia LDAP

  4. W polu Atrybut hasła systemu Windows kliknij przycisk Edytuj i sprawdź, czy wartość jest ustawiona na: sambaNTPassword.

  5. Kliknij przycisk Prześlij


OneFS 6.5 i starsze wersje

  1. Upewnij się, że schemat LDAP obsługuje skróty NTLM. Jeśli nie, zmodyfikuj ustawienia LDAP.
    NUTA
    Zalecanym rozwiązaniem LDAP jest ldapsam, ponieważ obsługuje skróty NTLM "od razu po wyjęciu z pudełka". Aby uzyskać informacje na temat konfigurowania protokołu ldapsam, zobacz http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.

  2. W sieciowym interfejsie administracyjnym OneFS kliknij opcję Udostępnianie > plików Źródło > uwierzytelniania LDAP.

  3. Jeśli używasz ldapsam:

    1. W sekcji Ustawienia dostawcy LDAP na liście Mapa atrybutów kliknij pozycję ldapsam , aby wypełnić pola ntPasswdHash i filtru użytkownika opisane w następnych krokach.

    2. W sekcji Ustawienia dostawcy LDAP kliknij łącze Pokaż ustawienia zaawansowane .

    3. Zaznacz pole wyboru atrybutntPasswdHash i sprawdź, czy wartość jest ustawiona na: sambaNTPassword.

    4. Zaznacz pole wyboru filtr użytkownika i sprawdź, czy wartość jest ustawiona na: (objectClass=sambaSamAccount).

    5. Kliknij przycisk Prześlij.

  4. Jeśli nie korzystasz z ldapsam:

    1. W sekcji Ustawienia dostawcy LDAP kliknij łącze Pokaż ustawienia zaawansowane .

    2. Zaznacz pole wyboru atrybutntPasswdHash.

    3. Ustaw atrybutntPasswdHash na atrybut w schemacie LDAP, który zawiera skróty NTLM dla użytkownika.

    4. Kliknij przycisk Prześlij.

 

Informacje dodatkowe

Aby zapoznać się z krótkim opisem uwierzytelniania w protokole SMB, zobacz stronę Uwierzytelnianie Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.protokołu SMB firmy Microsoft.

Aby uzyskać informacje o protokole NTLM, zobacz stronę Microsoft NTLMKliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000059264
Article Type: Solution
Last Modified: 06 Sept 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.