PowerScale: Fejl i ikke-defineret attributgodkendelse efter opgradering til OneFS 9.5 eller nyere for Active Directory-brugere

Hvis en klynge opgraderes til OneFS 9.5, og værdien for attributten maskinkonto msDS-SupportedEncryptionTypes ikke er indstillet, kan godkendelse mislykkes. Active Directory-udbyderen kan se ud til at være i en ikke-formateret tilstand eller kan mangle i isi auth Status output.

Denne værdi er som standard indstillet til 31 (eller 0xF1 i hexadecimal), når klyngen forbindes til Active Directory første gang. I henhold til OneFS 9.5-sikkerhedskonfigurationsvejledningen, som findes på Dell Support PowerScale OneFS-produktsiden, har vi mange understøttede krypteringstyper til SMB og Kerberos.
 

Figur 1: Værdien for msDS-SupportedEncryptionTypes attributten vises som <ikke-indstillet>.

Eksempel fra Powershell:

DistinguishedName : CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
DNSHostName       : ninefiveoh.testdomain.local
Enabled           : True
Name              : NINEFIVEOH
ObjectClass       : computer
ObjectGUID        : 8dbed342-6a12-41ff-889f-8249cc39b673
SamAccountName    : NINEFIVEOH$
SID               : S-1-5-21-3532647020-1821455699-3245163308-1110
UserPrincipalName :

Ovenstående output indeholder ikke et felt til attributten msDS-SupportedEncryptionTypes, som normalt rapporterer en heltalsværdi.

Nedenfor er et eksempel fra en anden klynge, hvor vi ser, at den angivne værdi udfyldes for attributten:

DistinguishedName             : CN=COREBUDDY,CN=Computers,DC=testdomain,DC=local
DNSHostName                   : corebuddy.testdomain.local
Enabled                       : True
msDS-SupportedEncryptionTypes : 31   <<<<<<<<<<<<<<<<
Name                          : COREBUDDY
ObjectClass                   : computer
ObjectGUID                    : e29236a7-cc36-4686-bca9-010ba4143ca3
SamAccountName                : COREBUDDY$
SID                           : S-1-5-21-3532647020-1821455699-3245163308-1104
UserPrincipalName             :

Et andet symptom er, at der er specifikke meddelelser, der udfyldes /var/log/lsass.d.log fil som vist nedenfor:

2023-04-14T02:40:07.877593+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
2023-04-14T02:40:07.877656+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.
2023-04-14T02:40:23.903189+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
2023-04-14T02:40:23.903268+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.

For at bekræfte, at dette er problemet, skal administratoren kontrollere computerkontoobjektet for klyngen i Active Directory. Dette kan gøres på en af to måder:

• Åbn Active Directories Users and Computers (ADUC) på en DC.
  1. På det øverste bånd i vinduet skal du vælge Vis og klikke på Avancerede funktioner.
  2. Højreklik på objektet , og gå til fanen Attributeditor , og rul for at finde msDS-SupportedEncryptionTypes attribut.
  3. Dobbeltklik på feltet Attribut , og undersøg det decimaltal, der rapporteres i det nye vindue.
• Brug følgende PowerShell-kommando på en DC med det korrekte maskinkontonavn.

  Get-ADComputer -Identity <machine account name> -Properties msDS-SupportedEncryptionTypes

I forbindelse med ovenstående skal administratorer bruge en konto i Active Directory med rettigheder på domæneniveau for at løse problemet.

Manuel sletning af msDS-SupportedEncryptionTypes -attributten på klyngens computerkontoobjekt resulterer i, at Active Directory rapporterer en NULL-værdi. Dette mislykkes kontrollerne i den nyere kode som en del af en række forbedringer for bedre sikkerhedsunderstøttelse.

Ældre klynger, der har tilsluttet sig Active Directory uden at angive denne værdi, kan også være modtagelige for dette problem. Dette skyldes, at der ikke angives nogen værdi, medmindre der er udført en gentilslutning til Active Directory.

Løsning:
Skift attributten til en anden værdi end en tom værdi. En sikker mulighed er at vælge standardværdien 31 eller 24, afhængigt af sikkerhedskravene. Dette gøres via brugergrænsefladen eller af Powershell. 

Du kan finde en liste over værdier, og hvilke krypteringstyper de understøtter, på bloggen Microsofts websted.  

Følgende kommando (med det korrekte maskinkontonavn og heltal indsat) kan bruges af en Active Directory-administrator på en DC i stedet for brugergrænsefladen til at tildele attributten en værdi.

Set-ADComputer -Identity COMPUTERNAME$ -Add @{'msDS-SupportedEncryptionTypes'="<INTEGER>"}

Eksemplet nedenfor angiver msDS-SupportedEncryptionTypes Attribut til standardværdien 31 for klyngemaskinkontoen NINEFIVEOH$:

Set-ADComputer -Identity NINEFIVEOH$ -Add @{'msDS-SupportedEncryptionTypes'="31"}

Når ændringerne er anvendt, skal de replikeres til alle domænecontrollere i Active Directory-miljøet. Det kan være nødvendigt med en godkendelsesopdatering eller målrettet LSASS-genstart på klyngen for at rydde betingelsen efterfølgende. 

Dell Engineering har udgivet kodeforbedringer i OneFS 9.5.0.3, der løser dette problem. Administratorer kan stadig opleve, at prækontroller af IOCA-opgradering mislykkes, hvis de ikke har en værdi, der er indstillet før opgraderingen. Hvis en administrator har begrænset klyngerettighederne i AD til at ændre attributter, SKAL administratoren manuelt opdatere attributten, før der udføres opgraderingsaktivitet. Manglende opdatering af attributten før opgradering, når klyngen ikke har tilstrækkelige rettigheder til at gøre det, resulterer i, at data ikke er tilgængelige.

Her er nogle anbefalede ressourcer relateret til dette emne, som kan være af interesse:

• PowerScale: Sådan køres IOCA-klyngeanalyseværktøjet 
• Aktuelle PowerScale OneFS-patches