Шкала потужності: Автентифікація SMB за допомогою LDAP вимагає NTLM у OneFS 6.5 і пізніших версіях

Summary: Автентифікація за допомогою блоку повідомлень сервера за допомогою LDAP вимагає NTLM у OneFS 6.5 і пізніших версіях.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Випуск

Користувачі малого та середнього бізнесу, які автентифікуються за допомогою полегшеного протоколу доступу до каталогів (LDAP), більше не можуть використовувати паролі у вигляді простого тексту. Якщо ви використовуєте LDAP для автентифікації SMB у OneFS 6.5 і пізніших версіях, потрібно використовувати NT LAN Manager (NTLM).

Cause

Причиною

Протокол SMB не підтримує автентифікацію LDAP, якщо не ввімкнено NTLM-хеші (див. Рішення нижче). Більшість схем LDAP, включно з RFC 2307, найпоширенішою схемою LDAP, не підтримують NTLM-хеші та не можуть використовуватися для автентифікації LDAP.

У версіях OneFS раніше 6.5 користувачам не потрібно було використовувати NTLM, якщо вони використовували паролі у вигляді простого тексту. Паролі у вигляді простого тексту дозволяли автентифікацію з локальних джерел, оскільки сервер міг зашифрувати пароль і порівняти результат зі збереженим зашифрованим паролем. Однак використання паролів у відкритому тексті для автентифікації було вимкнено в OneFS 6.5 і пізніших версіях, оскільки паролі з відкритим текстом не є безпечними.

Ця стаття стосується як Microsoft Windows ®, так ® і користувачів, які не використовують Windows. SMB найчастіше впроваджується у Windows. У наведеному нижче розділі наведено відомості про Windows.

Як Microsoft Windows обробляє автентифікацію:

Паролі не надсилаються по дроту в будь-якій впізнаваній формі. Клієнти Windows більше не надсилають паролі у вигляді простого тексту за замовчуванням. Якщо не внесено зміни до реєстру Windows, клієнти Windows проходять автентифікацію одним із двох способів:

  • Active Directory (AD) (Kerberos 5 і LDAP) Якщо клієнт приєднується до домену AD, а ім'я спільного ресурсу використовує шлях у стилі домену (наприклад, \server.domain.com\share).
  • НТЛМЦе гіперпосилання веде вас на веб-сайт за межами Dell Technologies. (v1 або v2) Якщо клієнт не є частиною домену, або шлях використовує коротке ім'я/IP-адресу (наприклад, \10.0.3.144\share).

Resolution

Рішення

Щоб використовувати LDAP для автентифікації SMB, спочатку потрібно переконатися, що ваша схема LDAP підтримує хеші NTLM. Як тільки це буде зроблено, ви можете налаштувати OneFS на використання належного атрибута ntPasswdHash.

OneFS 7.0 і новіші версії

  1. Переконайтеся, що ваша схема LDAP підтримує NTLM-хеші. Якщо це не так, змініть налаштування LDAP ПРИМІТКА: Рекомендованим рішенням LDAP є ldapsam, оскільки він підтримує NTLM-хеші «з коробки». Щоб дізнатися більше про те, як налаштувати ldapsam, перегляньте http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.

  2. В інтерфейсі веб-адміністрування OneFS виберіть пункт Керування > доступом до кластера Керування > доступом LDAP ><вашого сервера> LDAP.

  3. Клацніть «Докладніше», а потім — «Додаткові параметри LDAP». 

  4. У полі «Атрибут пароля Windows » натисніть «Редагувати » та переконайтеся, що для цього значення встановлено: sambaNTПасворд.

  5. Натисніть Надіслати


OneFS 6.5 і раніших версій

  1. Переконайтеся, що ваша схема LDAP підтримує NTLM-хеші. Якщо це не так, змініть параметри LDAP.
    ПРИМІТКА
    Рекомендованим рішенням LDAP є ldapsam, оскільки він підтримує NTLM-хеші «з коробки». Щоб дізнатися більше про те, як налаштувати ldapsam, перегляньте http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073.Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.

  2. В інтерфейсі веб-адміністрування OneFS виберіть пункт Джерело > автентифікації спільного доступу до > файлів LDAP.

  3. Якщо ви використовуєте ldapsam:

    1. У розділі «Параметри постачальника LDAP » у списку «Карта атрибутів » натисніть кнопку ldapsam , щоб заповнити поля ntPasswdHash і фільтра користувача , описані в наступних кроках.

    2. У розділі «Параметри постачальника LDAP » натисніть посилання «Показати додаткові параметри ».

    3. Установіть прапорець атрибут ntPasswdHash і переконайтеся, що для нього встановлено значення: sambaNTПасворд.

    4. Установіть прапорець Фільтр користувачів і переконайтеся, що для нього встановлено таке значення: (objectClass=sambaSamAccount).

    5. Натисніть Надіслати.

  4. Якщо ви не використовуєте ldapsam:

    1. У розділі «Параметри постачальника LDAP » натисніть посилання «Показати додаткові параметри ».

    2. Установіть прапорецьатрибут ntPasswdHash.

    3. Встановіть атрибутntPasswdHash на атрибут у вашій схемі LDAP, який містить NTLM-хеші для користувача.

    4. Натисніть Надіслати.

 

Додаткова інформація

Короткий опис автентифікації в протоколі SMB наведено на сторінці АвтентифікаціяЦе гіперпосилання веде вас на веб-сайт за межами Dell Technologies. за протоколом Microsoft SMB.

Відомості про NTLM можна знайти на сторінці Microsoft NTLMЦе гіперпосилання веде вас на веб-сайт за межами Dell Technologies.

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000059264
Article Type: Solution
Last Modified: 06 Sept 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.