PowerScale. Для аутентификации SMB с использованием LDAP требуется NTLM в OneFS 6.5 и более поздних версиях

Summary: Для проверки подлинности блока сообщений сервера с использованием LDAP требуется NTLM в OneFS 6.5 и более поздних версиях.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Проблема

Пользователи SMB, которые выполняют аутентификацию с помощью протокола LDAP (Lightweight Directory Access Protocol), больше не могут использовать пароли в открытом виде. Если в OneFS 6.5 и более поздних версиях для аутентификации SMB используется LDAP, необходимо использовать NTLM (NT LAN Manager).

Cause

Причина

Протокол SMB не поддерживает аутентификацию LDAP, если не активированы хэши NTLM (см. раздел «Решение» ниже). Большинство схем LDAP, включая RFC 2307, самую распространенную схему LDAP, не поддерживают хэши NTLM и не могут использоваться для аутентификации LDAP.

В версиях OneFS до 6.5 пользователям не нужно было использовать NTLM, если они использовали пароли в виде простого текста. Пароли в открытом виде позволяли проводить аутентификацию по локальным источникам, так как сервер мог зашифровать пароль и сравнить результат с сохраненным зашифрованным паролем. Однако в OneFS 6.5 и более поздних версиях использование паролей в виде простого текста для проверки подлинности отключено, поскольку пароли в виде простого текста не являются безопасными.

Данная статья предназначена как для пользователей Microsoft ® Windows ®, так и для пользователей других версий. Протокол SMB чаще всего реализован в Windows. В следующем разделе приведены сведения, относящиеся к Windows.

Как Microsoft Windows обрабатывает проверку подлинности.

Пароли не передаются по сети в какой-либо узнаваемой форме. Клиенты Windows больше не отправляют пароли в виде простого текста по умолчанию. Если не внесены изменения в реестр Windows, клиенты Windows выполняют аутентификацию одним из двух методов:

  • Active Directory (AD) (Kerberos 5 и LDAP) Если клиент присоединен к домену AD, а для имени общего ресурса используется путь в стиле домена (например, \server.domain.com\share).
  • NTLMЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies. (v1 или v2) Если клиент не является частью домена или в пути используется короткое имя/IP-адрес (например, \10.0.3.144\share).

Resolution

Решение

Чтобы использовать LDAP для аутентификации SMB, необходимо сначала убедиться, что схема LDAP поддерживает хэши NTLM. После этого можно настроить OneFS для использования правильного атрибута ntPasswdHash.

OneFS 7.0 и выше

  1. Убедитесь, что схема LDAP поддерживает хэши NTLM. Если это не так, измените параметр LDAP ПРИМЕЧАНИЕ. Рекомендуемым решением LDAP является ldapsam, так как оно поддерживает хэши NTLM «из коробки». Сведения о настройке ldapsam см. в разделе http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

  2. В веб-интерфейсе администрирования OneFS выберите Cluster Management > Access Management > LDAP ><сервера> LDAP.

  3. Нажмите Просмотр сведений, затем Дополнительные параметры LDAP

  4. В поле Атрибут пароля Windows нажмите Изменить и убедитесь, что задано следующее значение: sambaNTPassword.

  5. Нажмите кнопку Submit


OneFS 6.5 и более ранние версии

  1. Убедитесь, что схема LDAP поддерживает хэши NTLM. Если это не так, измените параметры LDAP.
    ЗАМЕТКА
    Рекомендуется использовать решение LDAP ldapsam, так как оно «из коробки» поддерживает хэши NTLM. Сведения о настройке ldapsam см. в разделе http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

  2. В веб-интерфейсе администрирования OneFS выберите File Sharing File Sharing > Authentication Source > LDAP.

  3. Если вы используете ldapsam:

    1. В разделе Настройки поставщика LDAP в списке Карта атрибутов выберите ldapsam , чтобы заполнить поля ntPasswdHash и фильтра пользователя , описанные в следующих шагах.

    2. В разделе Настройки поставщика LDAP нажмите ссылку Показать дополнительные параметры .

    3. Установите флажок атрибутаntPasswdHash и убедитесь, что задано следующее значение: sambaNTPassword.

    4. Установите флажок пользовательского фильтра и убедитесь, что установлено следующее значение: (objectClass=sambaSamAccount).

    5. Нажмите кнопку Submit.

  4. Если вы не используете ldapsam:

    1. В разделе Настройки поставщика LDAP нажмите ссылку Показать дополнительные параметры .

    2. Установите флажок атрибутаntPasswdHash.

    3. Присвойте атрибутуntPasswdHash значение атрибута в схеме LDAP, который содержит хэши NTLM для пользователя.

    4. Нажмите кнопку Submit.

 

Дополнительная информация

Краткое описание проверки подлинности в протоколе SMB см. на странице проверки подлинностиЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies. протокола Microsoft SMB.

Дополнительные сведения о NTLM см . на странице Microsoft NTLMЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000059264
Article Type: Solution
Last Modified: 06 Sept 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.