PowerScale: OneFS: Autenticación selectiva: ERROR_AUTHENTICATION_FIREWALL_FAILED

Cuando se intenta consultar objetos de Active Directory desde un dominio de confianza, un clúster PowerScale en un dominio de confianza produce un error. Esto puede provocar que no se puedan agregar objetos de usuario a los permisos de uso compartido, las ACL, etc.

Las siguientes entradas aparecen en los registros de lsass:

lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)

Este error puede aparecer mientras se ejecuta el comando isi auth mapping token para el objeto de usuario en el dominio de confianza:

# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user

Este error aparece en el ejemplo de cómo agregar un objeto de usuario a los permisos de recurso compartido:
 

# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'

Las capturas de paquetes se muestran de la siguiente manera:
 

347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839

Este problema se produce como resultado de la habilitación de la autenticación selectiva en las confianzas de AD. La autenticación selectiva es una función mediante la cual el administrador de dominio puede administrar las confianzas de manera granular.

Los fideicomisos se pueden verificar de la siguiente manera:

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN

Propina: Netdom proporciona la mejor salida para solucionar este problema.

La autenticación selectiva está habilitada en las confianzas pertinentes en los dominios de Active Directory y los objetos de confianza. La función se describe en detalle en los siguientes artículos:

Consideraciones de seguridad para fideicomisos:

https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx

Configuración de los ajustes de autenticación selectiva:

https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx

Agregue el usuario o el grupo en cuestión al permiso Permitido para autenticar el objeto de clúster o elimine la autenticación selectiva según los artículos de la base de conocimientos que aparecen a continuación:

A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)

https://support.microsoft.com/en-us/kb/2959395

Otorgue el permiso "Permitido para autenticarse" en los equipos del bosque o dominio de confianza:

https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx