PowerScale: A autenticação SMB usando LDAP requer NTLM no OneFS 6.5 e posterior

Summary: A autenticação do Server Message Block usando LDAP requer NTLM no OneFS 6.5 e posterior.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Problema

Os usuários SMB que se autenticam usando LDAP (Lightweight Directory Access Protocol) não podem mais usar senhas com texto sem formatação. Se você usar o LDAP para autenticação SMB no OneFS 6.5 e versões posteriores, deverá usar o NT LAN Manager (NTLM).

Cause

Causa

O protocolo SMB não dá suporte à autenticação LDAP, a menos que os hashes NTLM estejam ativados (consulte a solução abaixo). A maioria dos esquemas LDAP, incluindo o RFC 2307, o esquema LDAP mais comum, não tem suporte para hashes NTLM e não pode ser usado para autenticação LDAP.

Nas versões do OneFS anteriores à 6.5, os usuários não precisavam usar NTLM se usassem senhas de texto sem formatação. As senhas de texto sem formatação permitiam a autenticação em origens locais porque o servidor poderia criptografar a senha e comparar o resultado com a senha criptografada armazenada. No entanto, o uso de senhas de texto sem formatação para autenticação foi desativado no OneFS 6.5 e versões posteriores porque senhas de texto sem formatação não são seguras.

Este artigo se aplica a usuários do Microsoft ® Windows ® e de terceiros. O SMB é mais comumente implementado no Windows. A seção a seguir fornece informações específicas do Windows.

Como o Microsoft Windows lida com autenticação:

As senhas não são enviadas pela rede em qualquer formato reconhecível. Os clients Windows não enviam mais senhas de texto sem formatação por padrão. A menos que sejam feitas alterações no registro do Windows, os clients Windows se autenticam usando um dos dois métodos:

  • Active Directory (AD) (Kerberos 5 e LDAP) Se o client ingressar em um domínio do AD e o nome do compartilhamento usar um caminho de estilo de domínio (por exemplo, \server.domain.com\share).
  • NTLMEsse hiperlink direcionará você para um site fora da Dell Technologies. (v1 ou v2) Se o client não fizer parte do domínio ou se o caminho usar um nome curto/endereço IP (por exemplo, \10.0.3.144\share).

Resolution

Solução

Para usar o LDAP para autenticação SMB, você deve primeiro garantir que seu esquema LDAP ofereça suporte a hashes NTLM. Feito isso, você poderá configurar o OneFS para usar o atributo ntPasswdHash adequado.

OneFS 7.0 e posterior

  1. Confirme se o esquema LDAP é compatível com hashes NTLM. Caso contrário, modifique sua configuração de LDAP NOTA: A solução LDAP recomendada é o ldapsam, pois ele oferece suporte a hashes NTLM "prontos para uso". Para obter informações sobre como configurar o ldapsam, consulte http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Esse hiperlink direcionará você para um site fora da Dell Technologies.

  2. Na interface Web de administração do OneFS, clique em Gerenciamento de > Clusters Gerenciamento de Acesso LDAP > do servidor LDAP ><.>

  3. Clique em View details e, em seguida, clique em Advanced LDAP settings

  4. No campo Windows Password Attribute , clique em Edit e verifique se o valor está definido como: sambaNTPassword.

  5. Clique em Submit


OneFS 6.5 e versões anteriores

  1. Confirme se o esquema LDAP é compatível com hashes NTLM. Caso contrário, modifique as configurações do LDAP.
    NOTA
    A solução LDAP recomendada é o ldapsam, pois ele dá suporte a hashes NTLM "prontos para uso". Para obter informações sobre como configurar o ldapsam, consulte http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Esse hiperlink direcionará você para um site fora da Dell Technologies.

  2. Na interface Web de administração do OneFS, clique em File Sharing > Authentication Source > LDAP.

  3. Se você estiver usando ldapsam:

    1. Na seção LDAP Provider Settings , na lista Attribute map , clique em ldapsam para preencher os campos ntPasswdHash e user filter descritos nas próximas etapas.

    2. Na seção LDAP Provider Settings , clique no link Show advanced settings .

    3. Marque a caixa de seleção do atributontPasswdHash e verifique se o valor está definido como: sambaNTPassword.

    4. Marque a caixa de seleção User filter e verifique se o valor está definido como: (objectClass=sambaSamAccount).

    5. Clique em Submit.

  4. Se você não estiver usando ldapsam:

    1. Na seção LDAP Provider Settings , clique no link Show advanced settings .

    2. Marque a caixa de seleção ntPasswdHashattribute .

    3. Defina o atributontPasswdHash como o atributo no esquema LDAP que contém os hashes NTLM para o usuário.

    4. Clique em Submit.

 

Informações adicionais

Para obter uma breve descrição da autenticação no protocolo SMB, consulte a página Microsoft SMB Protocol AuthenticationEsse hiperlink direcionará você para um site fora da Dell Technologies. .

Para obter informações sobre NTLM, consulte a página Microsoft NTLMEsse hiperlink direcionará você para um site fora da Dell Technologies.

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000059264
Article Type: Solution
Last Modified: 06 Sept 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.