PowerScale:使用 LDAP 的 SMB 身份验证在 OneFS 6.5 及更高版本中需要 NTLM

Summary: 使用 LDAP 的服务器消息块身份验证需要 OneFS 6.5 及更高版本中的 NTLM。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

问题

使用轻量级目录访问协议 (LDAP) 进行身份验证的 SMB 用户不能再使用纯文本密码。如果在 OneFS 6.5 及更高版本中使用 LDAP 进行 SMB 身份验证,则必须使用 NT LAN Manager (NTLM)。

Cause

原因

除非启用了 NTLM 哈希,否则 SMB 协议不支持 LDAP 身份验证(请参阅下面的解决方案)。大多数 LDAP 架构(包括最常见的 LDAP 架构)缺少对 NTLM 哈希的支持,因此无法用于 LDAP 身份验证。

在 6.5 之前的 OneFS 版本中,如果用户使用纯文本密码,则不需要使用 NTLM。纯文本密码允许针对本地源进行身份验证,因为服务器可以对密码进行加密,并将结果与存储的加密密码进行比较。但是,OneFS 6.5 及更高版本中已禁用使用纯文本密码进行身份验证,因为纯文本密码不安全。

本文适用于 Microsoft ® Windows ® 和非 Windows 用户。SMB 最常在 Windows 上实现。以下部分提供特定于 Windows 的信息。

Microsoft Windows 如何处理身份验证:

密码不会以任何可识别的形式通过网络发送。默认情况下,Windows 客户端不再发送纯文本密码。除非更改了 Windows 注册表,否则 Windows 客户端将使用以下两种方法之一进行身份验证:

  • Active Directory (AD)(Kerberos 5 和 LDAP) 如果 客户端已加入 AD 域,并且共享名称使用域样式路径(例如, \server.domain.com\share)。
  • NTLM此超链接会将您带往 Dell Technologies 之外的网站。 (v1 或 v2)如果 客户端不是域的一部分,或者路径使用短名称/IP 地址(例如, \10.0.3.144\share)。

Resolution

解决方案

若要使用 LDAP 进行 SMB 身份验证,必须首先确保 LDAP 架构支持 NTLM 哈希。完成此操作后,您可以将 OneFS 配置为使用正确的 ntPasswdHash 属性。

OneFS 7.0 及更高版本

  1. 确认您的 LDAP 架构支持 NTLM 哈希。如果不是,请修改 LDAP 设置 注:建议的 LDAP 解决方案是 ldapsam,因为它支持“开箱即用”的 NTLM 哈希。有关如何设置 ldapsam 的信息,请参阅 http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073此超链接会将您带往 Dell Technologies 之外的网站。

  2. 从 OneFS Web 管理界面中,单击Cluster ManagementAccess > ManagementLDAP >><your LDAP server>。

  3. 单击 查看详细信息,然后单击 高级 LDAP 设置。 

  4. Windows 密码属性 字段中,单击 编辑 并验证该值是否设置为: sambaNTPassword

  5. 单击 Submit。 


OneFS 6.5 及更低版本

  1. 确认您的 LDAP 架构支持 NTLM 哈希。如果没有,请修改您的 LDAP 设置。
    注意
    建议的 LDAP 解决方案是 ldapsam,因为它支持“开箱即用”的 NTLM 哈希。有关如何设置 ldapsam 的信息,请参阅 http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2593073此超链接会将您带往 Dell Technologies 之外的网站。

  2. 从 OneFS Web 管理界面中,单击 文件共享 > 身份验证源 > LDAP

  3. 如果您使用的是 ldapsam:

    1. 在LDAP Provider Settings 部分的 Attribute map 列表中,单击 ldapsam 以填充后续步骤中所述的 ntPasswdHash用户筛选器 字段。

    2. LDAP Provider Settings 部分中,单击 Show advanced settings 链接。

    3. 选中 ntPasswdHash属性 复选框,并验证该值是否设置为: sambaNTPassword

    4. 选中 用户筛选器 复选框,并验证值是否设置为: (objectClass=sambaSamAccount)

    5. 单击 Submit

  4. 如果您未使用 ldapsam:

    1. LDAP Provider Settings 部分中,单击 Show advanced settings 链接。

    2. 选中 ntPasswdHash属性 复选框。

    3. ntPasswdHash属性 设置为包含用户的 NTLM 哈希的 LDAP 架构中的属性。

    4. 单击 Submit

 

其它信息

有关 SMB 协议中的身份验证的简要说明,请参阅 Microsoft SMB 协议身份验证此超链接会将您带往 Dell Technologies 之外的网站。 页。

有关 NTLM 的信息,请参阅 Microsoft NTLM 页面此超链接会将您带往 Dell Technologies 之外的网站。

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000059264
Article Type: Solution
Last Modified: 06 Sep 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.