PowerScale: Selhání ověřování nedefinovaného atributu po upgradu na OneFS 9.5 nebo novější pro uživatele služby Active Directory

Pokud je cluster upgradován na OneFS 9.5 a hodnota atributu účtu počítače msDS-SupportedEncryptionTypes není nastaveno, ověřování může selhat. Poskytovatel služby Active Directory se může jevit jako nestylovaný nebo může chybět v isi auth stavový výstup.

Ve výchozím nastavení je tato hodnota nastavena na 31 (nebo 0xF1 v šestnáctkové soustavě) při prvním připojení clusteru ke službě Active Directory. Podle průvodce konfigurací zabezpečení systému OneFS 9.5, který se nachází na stránce produktů podpory společnosti Dell PowerScale OneFS, máme mnoho podporovaných typů šifrování pro protokoly SMB a Kerberos.
 

Obrázek 1: Hodnota pro msDS-SupportedEncryptionTypes atribut se zobrazuje jako <not-set>.

Příklad z PowerShellu:

DistinguishedName : CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
DNSHostName       : ninefiveoh.testdomain.local
Enabled           : True
Name              : NINEFIVEOH
ObjectClass       : computer
ObjectGUID        : 8dbed342-6a12-41ff-889f-8249cc39b673
SamAccountName    : NINEFIVEOH$
SID               : S-1-5-21-3532647020-1821455699-3245163308-1110
UserPrincipalName :

Výše uvedený výstup neobsahuje pole pro atribut msDS-SupportedEncryptionTypes, který by obvykle hlásil celočíselnou hodnotu.

Níže je uveden příklad z jiného clusteru, kde vidíme, že se nastavená hodnota naplní pro atribut:

DistinguishedName             : CN=COREBUDDY,CN=Computers,DC=testdomain,DC=local
DNSHostName                   : corebuddy.testdomain.local
Enabled                       : True
msDS-SupportedEncryptionTypes : 31   <<<<<<<<<<<<<<<<
Name                          : COREBUDDY
ObjectClass                   : computer
ObjectGUID                    : e29236a7-cc36-4686-bca9-010ba4143ca3
SamAccountName                : COREBUDDY$
SID                           : S-1-5-21-3532647020-1821455699-3245163308-1104
UserPrincipalName             :

Dalším příznakem je, že se vyplňují konkrétní zprávy /var/log/lsass.d.log souboru, jak je znázorněno níže:

2023-04-14T02:40:07.877593+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
2023-04-14T02:40:07.877656+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.
2023-04-14T02:40:23.903189+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
2023-04-14T02:40:23.903268+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.

Aby správce potvrdil, že se jedná o problém, musí zkontrolovat objekt účtu počítače pro cluster ve službě Active Directory. To lze provést jedním ze dvou způsobů:

• Na řadiči domény otevřete modul Uživatelé a počítače služby Active Directory (ADUC).
  1. Na horním pásu karet okna vyberte Zobrazit a klikněte na Pokročilé funkce.
  2. Klikněte pravým tlačítkem myši na objekt , přejděte na kartu Editor atributů a posunutím vyhledejte msDS-SupportedEncryptionTypes atribut.
  3. Dvakrát klikněte na pole Atribut a zkontrolujte desetinné číslo uvedené v novém okně.
• Použijte následující příkaz PowerShellu na řadiči domény se správným názvem účtu počítače.

  Get-ADComputer -Identity <machine account name> -Properties msDS-SupportedEncryptionTypes

V případě výše uvedeného musí správci k vyřešení problému použít účet ve službě Active Directory s oprávněními na úrovni domény.

Ruční odstranění msDS-SupportedEncryptionTypes atribut objektu účtu počítače clusteru způsobí, že služba Active Directory hlásí hodnotu NULL. Tím selžou kontroly v novějším kódu v rámci sady vylepšení pro lepší podporu zabezpečení.

Starší clustery, které se připojily ke službě Active Directory bez nastavení této hodnoty, mohou být také náchylné k tomuto problému. Je to proto, že není nastavena žádná hodnota, pokud nebylo provedeno opětovné připojení ke službě Active Directory.

Alternativní řešení:
Změňte atribut na jinou než prázdnou hodnotu. Bezpečnou možností je zvolit výchozí hodnotu 31 nebo 24 v závislosti na požadavcích na zabezpečení. To se provádí prostřednictvím uživatelského rozhraní nebo PowerShellu. 

Seznam hodnot a typů šifrování, které podporují, najdete na blogu webu Microsoft.  

Následující příkaz (se správným vloženým názvem účtu počítače a celým číslem) může správce služby Active Directory na řadiči domény namísto uživatelského rozhraní použít k přiřazení hodnoty atributu.

Set-ADComputer -Identity COMPUTERNAME$ -Add @{'msDS-SupportedEncryptionTypes'="<INTEGER>"}

V následujícím příkladu je nastavena msDS-SupportedEncryptionTypes výchozí hodnota 31 pro účet počítače clusteru NINEFIVEOH$:

Set-ADComputer -Identity NINEFIVEOH$ -Add @{'msDS-SupportedEncryptionTypes'="31"}

Jakmile se změny použijí, musí se replikovat do všech řadičů domény v prostředí Active Directory. K následnému vymazání podmínky může být nutné aktualizovat ověřování nebo cílené restartování služby LSASS v clusteru. 

Společnost Dell Engineering zveřejnila vylepšení kódu v systému OneFS 9.5.0.3, která tento problém řeší. Správci mohou přesto vidět, že předběžné kontroly upgradu IOCA selžou, pokud nemají před upgradem nastavenou hodnotu. Pokud správce omezil oprávnění clusteru ve službě AD k úpravě atributů, MUSÍ atribut ručně aktualizovat před provedením jakéhokoli upgradu. Pokud cluster nemá dostatečná oprávnění, pokud cluster nemá dostatečná oprávnění, atribut se před upgradem neaktualizuje, způsobí to nedostupnost dat.

Zde je několik doporučených zdrojů k tomuto tématu, které by vás mohly zajímat:

• PowerScale: Jak spustit nástroj IOCA Cluster Analysis Tool 
• Aktuální opravy systému PowerScale OneFS