PowerScale: OneFS: Autenticação seletiva: ERROR_AUTHENTICATION_FIREWALL_FAILED

Ao tentar consultar objetos do Active Directory a partir de um domínio confiável, um cluster do PowerScale em um domínio confiável produz um erro. Isso pode resultar na impossibilidade de adicionar objetos de usuário a permissões de compartilhamento, ACLs etc.

As seguintes entradas são exibidas nos logs do lsass:

lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)

Esse erro pode aparecer durante a execução do comando, token de mapeamento isi auth para o objeto de usuário no domínio confiável:

# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user

Esse erro é exibido no exemplo de adição de um objeto de usuário às permissões de compartilhamento:
 

# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'

As capturas de pacotes mostram o seguinte:
 

347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839

Esse problema ocorre como resultado da habilitação da autenticação seletiva nas relações de confiança do AD. A autenticação seletiva é um recurso pelo qual o administrador do domínio pode gerenciar relações de confiança de forma granular.

As relações de confiança podem ser verificadas da seguinte maneira:

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN

Ponta: O Netdom fornece a melhor saída para solucionar esse problema.

A autenticação seletiva é habilitada nas relações de confiança relevantes nos objetos de Domínios e Relações de Confiança do Active Directory. O recurso é descrito em detalhes nos artigos abaixo:

Considerações de segurança para relações de confiança:

https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx

Definindo configurações de autenticação seletiva:

https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx

Adicione o usuário ou grupo em questão à permissão Allowed to Authenticate para o objeto de cluster ou remova a autenticação seletiva por kb abaixo:

A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)

https://support.microsoft.com/en-us/kb/2959395

Conceda a permissão "Permitir autenticação" em computadores no domínio confiável ou na floresta:

https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx