PowerScale: SMB-autentisering med LDAP kräver NTLM i OneFS 6.5 och senare

Summary: Server Message Block-autentisering med LDAP kräver NTLM i OneFS 6.5 och senare.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Problem

SMB-användare som autentiserar med LDAP (Lightweight Directory Access Protocol) kan inte längre använda lösenord i klartext. Om du använder LDAP för SMB-autentisering i OneFS 6.5 och senare måste du använda NT LAN Manager (NTLM).

Cause

Orsak

SMB-protokollet stöder inte LDAP-autentisering om inte NTLM-hashvärden är aktiverade (se lösning nedan). De flesta LDAP-scheman, inklusive RFC 2307, det vanligaste LDAP-schemat, saknar stöd för NTLM-hashvärden och kan inte användas för LDAP-autentisering.

I OneFS-versioner tidigare än 6.5 behövde användarna inte använda NTLM om de använde lösenord i klartext. Lösenord i klartext tillät autentisering mot lokala källor eftersom servern kunde kryptera lösenordet och jämföra resultatet med det lagrade krypterade lösenordet. Användningen av lösenord i klartext för autentisering har dock inaktiverats i OneFS 6.5 och senare eftersom lösenord i klartext inte är säkra.

Den här artikeln gäller både Microsoft ® Windows ®- och icke-Windows-användare. SMB implementeras oftast i Windows. Följande avsnitt innehåller information som är specifik för Windows.

Så här hanteras autentisering i Microsoft Windows:

Lösenord skickas inte via kabel i någon igenkännbar form. Windows-klienter skickar inte längre lösenord i klartext som standard. Om inte Windows-registerändringar görs autentiseras Windows-klienterna med någon av två metoder:

  • Active Directory (AD) (Kerberos 5 och LDAP) Om klienten är ansluten till en AD-domän och resursnamnet använder en sökväg i domänformat (till exempel \server.domain.com\share).
  • NTLMDen här hyperlänken tar dig till en webbplats utanför Dell Technologies. (v1 eller v2) Om klienten inte är en del av domänen eller om sökvägen använder ett kortnamn/en IP-adress (till exempel \10.0.3.144\share).

Resolution

Lösning

Om du vill använda LDAP för SMB-autentisering måste du först se till att LDAP-schemat stöder NTLM-hashvärden. När detta är gjort kan du konfigurera OneFS för att använda rätt ntPasswdHash-attribut.

OneFS 7.0 och senare

  1. Bekräfta att LDAP-schemat stöder NTLM-hashvärden. Om den inte gör det ändrar du LDAP-inställningen Obs! Den rekommenderade LDAP-lösningen är ldapsam, eftersom den stöder NTLM-hashvärden "direkt vid leverans". För information om hur du ställer in ldapsam, se http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.

  2. I OneFS-webbadministrationsgränssnittet klickar du på Cluster Management > Access Management > LDAP ><din LDAP-server>.

  3. Klicka på Visa detaljer och sedan på Avancerade LDAP-inställningar

  4. I fältet Windows-lösenordsattribut klickar du på Redigera och kontrollerar att värdet är inställt på: sambaNTPassword.

  5. Klicka på Skickat


OneFS 6.5 och tidigare

  1. Bekräfta att LDAP-schemat stöder NTLM-hashvärden. Om den inte gör det ändrar du LDAP-inställningarna.
    NOT
    Den rekommenderade LDAP-lösningen är ldapsam, eftersom den stöder NTLM-hashvärden "direkt". För information om hur du ställer in ldapsam, se http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.

  2. I OneFS-webbadministrationsgränssnittet klickar du på Fildelning > Autentiseringskälla > LDAP.

  3. Om du använder ldapsam:

    1. I avsnittet LDAP-providerinställningar går du till listan Attributmappning och klickar på ldapsam för att fylla i fälten ntPasswdHash och användarfilter som beskrivs i nästa steg.

    2. I avsnittet LDAP-providerinställningar klickar du på länken Visa avancerade inställningar .

    3. Markera kryssrutan ntPasswdHashattribut och kontrollera att värdet är inställt på: sambaNTPassword.

    4. Markera kryssrutan för användarfilter och kontrollera att värdet är inställt på: (objectClass=sambaSamAccount).

    5. Klicka på Skickat.

  4. Om du inte använder ldapsam:

    1. I avsnittet LDAP-providerinställningar klickar du på länken Visa avancerade inställningar .

    2. Markera kryssrutan ntPasswdHashattribut .

    3. Ange attributet ntPasswdHash till attributet i LDAP-schemat som innehåller NTLM-hashvärdena för användaren.

    4. Klicka på Skickat.

 

Ytterligare information

En kort beskrivning av autentisering i SMB-protokollet finns på sidan Microsoft SMB Protocol AuthenticationDen här hyperlänken tar dig till en webbplats utanför Dell Technologies. .

Information om NTLM finns på Microsoft NTLM-sidanDen här hyperlänken tar dig till en webbplats utanför Dell Technologies.

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000059264
Article Type: Solution
Last Modified: 06 Sept 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.