Dell Unity : Les utilisateurs d’un domaine de confiance ne peuvent pas accéder au serveur NAS Unity (corrigible par l’utilisateur)

Summary: Les utilisateurs d’un domaine de confiance ne peuvent pas accéder au serveur NAS Unity avec l’authentification sélective activée dans la configuration de confiance du domaine. Lorsque l’authentification sélective est activée, les utilisateurs du domaine de confiance ne peuvent accéder au serveur NAS que s’ils disposent d’une autorisation spéciale. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

- Les utilisateurs d’un domaine de confiance ne peuvent pas accéder au serveur NAS Unity via ip ou FQDN. 

- Les informations de domaine de confiance sont disponibles dans le vidage PDC du serveur CIFS. 
  
spb:/cores/service/user# svc_cifssupport dan -pdcdump
  
dan : commands processed: 1
command(s) succeeded
output is complete

1660184568: SMB: 6: Dump DC for dom='CATEST' OrdNum=0
1660184568: SMB: 6: Domain=CATEST Next trusted domains update in 642 seconds
1660184568: SMB: 6:  oldestDC:DomCnt=0,2 Time=Thu Aug 11 02:17:18 2022

1660184568: SMB: 6:  Trusted domain info from DC='DC-1' (258 seconds ago)
1660184568: SMB: 6:   Trusted domain:trust.local [TRUST]
   GUID:00000000-0000-0000-0000-000000000000
1660184568: SMB: 6:    Flags=0x22 Ix=0 Type=0x2 Attr=0x8
1660184568: SMB: 6:    SID=S-1-5-15-dda732ea-ea90ce96-61bcbf65
1660184568: SMB: 6:    DC='-'
1660184568: SMB: 6:    Status Flags=0x0 DCStatus=0x547,0
>DC=DC0x0004e9bd18 DC-1[CATEST](10.10.100.100) ref=4 time(dns)=143 ms LastUpdt=Thu Aug 11 02:17:18 2022
    KrbAccount=DAN$@CATEST.LOCAL Status=OK lifetime:34788 seconds credUsage=0x1
     AccCred=0x0010089f08,0x001010c408 Buf=0x00063e3f58 L=2582 Flags=0x7
    Pid=0000 Tid=0001 Uid=500004000071 SMB=0x210
    Cnx=SUCCESS,DC request succeeded
    logon=SecureChannelOK 1 SecureChannel(s):
     [DAN] Fid=0x14000000a4 CallID=0x14 NLFlags=0x4107414d SessionKey:AES authV:[PRIVACY,sign:HMAC_SHA256,seal:AES128] Status=SUCCESS/SecureChannelOK
    Capa=0x0 MxBufSz=0xffff MawRwSz=0xffff Nego=0x0000000000,L=0 Chal=0x0000000000,L=0,W2kFlags=0x3f3fd
    refCount=4 newElectedDC=0x0000000000 forceInvalid=0
    Discovered from: DNS

Command succeeded

- À partir de /EMC/C4Core/log/c4_safe_ktrace.log, la demande SamLogon échouait avec l’erreur « AUTHENTICATION_FIREWALL_FAILED ». 
2022/08/10-02:34:41.193175    2     7F3E68B41700     sade:SMB: 6:[dan]  authenticate trust\administrator S=22 SamLogonInvalidReply
2022/08/10-02:34:41.193182    2     7F3E68B41700     sade:SMB: 6:[dan]  authLogon=SamLogonInvalidReply Es=0x0
Em=AUTHENTICATION_FIREWALL_FAILED U='administrator' D='trust'
2022/08/10-02:34:41.193194    5     7F3E68B41700     sade:SMB: 6:[dan]  2SMB470 SamLogon[0] DC=DC-1 'DC authn error' NTstatus=AUTHENTICATION_FIREWALL_FAILED LogonSt

- Veuillez noter que l’erreur SamLogon ne sera visible dans ktrace que lorsque le journal de débogage est activé. 

Commande pour activer le journal de débogage:
  
/nas/bin/.server_config  -v "logsys set severity SMB=LOG_DBG3"

Commande pour désactiver le journal de débogage:
  
/nas/bin/.server_config  -v "logsys set severity SMB=LOG_PRINTF"

Cause

- L’authentification sélective est activée sur la configuration de confiance. Les utilisateurs d’un domaine de confiance ne pourront pas accéder au serveur CIFS si l’autorisation « Autorisé à s’authentifier » n’est pas explicitement accordée. 

- Vous trouverez plus d’informations dans les articles Microsoft suivants: 

Considérations en matière de sécurité pour les approbations: Domaine et approbations de forêt | Microsoft Learn

L’authentification sélective est un paramètre de sécurité qui peut être défini sur les approbations interforestes. Il fournit aux administrateurs Active Directory qui gèrent une forêt de confiance plus de contrôle sur les groupes d’utilisateurs d’une forêt de confiance qui peuvent accéder aux ressources partagées dans une forêt de confiance. Ce contrôle accru est particulièrement important lorsque les administrateurs doivent accorder l’accès aux ressources partagées dans la forêt de leur organisation à un ensemble limité d’utilisateurs situés dans la forêt d’une autre organisation, car la création d’une relation de confiance externe ou en matière de forêt offre un chemin d’accès à toutes les demandes d’authentification pour se déplacer entre les forêts.

Bien que cette action en elle-même n’entraîne pas nécessairement une menace pour l’une ou l’autre des forêts, car toutes les communications sécurisées se produisent sur le chemin, une relation de confiance externe ou de forêt expose une surface plus grande à une attaque par tout utilisateur malveillant situé dans une forêt de confiance. L’authentification sélective permet de minimiser cette zone exposée en permettant aux administrateurs Active Directory d’accorder une nouvelle autorisation d’authentification (pour les objets informatiques du domaine de ressources) pour des comptes utilisateur spécifiques situés dans la forêt d’une autre organisation.



Resolution

- Il existe deux solutions: le client peut choisir l’une d’entre elles en fonction de ses besoins environnementaux. 

1. Désactivez l'« authentification sélective » dans la configuration de confiance de domaine. 

Activez l’authentification sélective sur une relation de confiance externe: Domaine et approbations de forêt | Microsoft Learn

2. Accordez aux utilisateurs du domaine de confiance l’autorisation « Autorisé à s’authentifier ». 

Accorder l’autorisation d’authentification sur les ordinateurs du domaine ou de la forêt de confiance | Microsoft Learn

Affected Products

Dell EMC Unity
Article Properties
Article Number: 000202350
Article Type: Solution
Last Modified: 14 Mar 2023
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.