PowerScale - RFC2307 활성화된 경우 외부 트러스트의 사용자가 클러스터에 인증할 수 없습니다.

Summary: Active Directory 인증 공급자가 클러스터에 추가되고 RFC2307 활성화됩니다. 이 공급자를 통해 학습된 단방향 외부 트러스트의 사용자는 클러스터에 인증할 수 없습니다. 이 도메인에서 사용자를 나열하거나 보려면 실패합니다.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Active Directory 인증 공급자가 클러스터에 추가되고 RFC2307 활성화됩니다.

이 공급자를 통해 학습된 단방향 외부 트러스트의 사용자는 클러스터에 인증할 수 없습니다.

이 도메인에서 사용자를 나열하거나 보려고 하면 실패합니다.

이 문제가 있는지 확인하려면 다음을 확인하십시오.

1. Active Directory 인증 공급자가 RFC2307 활성화되어 있습니다.
  
prod-2# isi auth ads list -v
                     Name: DOMAIN.COM
          Machine Account: PROD$
           Authentication: Yes
                 Groupnet: groupnet0

                   Status: online
           Primary Domain: DOMAIN.COM
                   Forest: domain.com
                     Site: Default-First-Site-Name
           NetBIOS Domain: DOMAIN
                 Hostname: prod.domain.com
          Controller Time: 2023-06-16T10:14:06
         Node DC Affinity: -
 Node DC Affinity Timeout: -

          NSS Enumeration: No
              SFU Support: rfc2307
       Store SFU Mappings: No

        Ignore All Trusts: No
  Ignored Trusted Domains: -
  Include Trusted Domains: -
      Extra Expected SPNs: -
    Domain Offline Alerts: No
       LDAP Sign And Seal: No

             Lookup Users: Yes
   Lookup Normalize Users: Yes
            Allocate UIDs: Yes
  Lookup Normalize Groups: Yes
            Allocate GIDs: Yes
           Lookup Domains: -
            Lookup Groups: Yes

    Assume Default Domain: No
    Check Online Interval: 5m
 Machine Password Changes: Yes
Machine Password Lifespan: 4W2D
    Create Home Directory: No
  Home Directory Template: /ifs/home/%D/%U
        Unfindable Groups: -
         Unfindable Users: -
          Findable Groups: -
           Findable Users: -
        Restrict Findable: No
         RPC Call Timeout: 1m
       Server Retry Limit: 5
              Login Shell: /bin/zsh
             Creator Zone: System


2. 영향을 받는 사용자의 신뢰는 클러스터 관점에서 외부에 있어야 합니다. 이는 단방향 및 양방향 신뢰 모두에 적합합니다.
 

단방향 외부:

        [Domain: DEV]

                DNS Domain:       dev.com
                Netbios name:     dev
                Forest name:
                Trustee DNS name: DOMAIN.COM
                Client site name:
                Domain SID:       S-1-5-21-586728154-3739561872-3933139605
                Domain GUID:      00000000-0000-0000-0000-000000000000
                Trust Flags:      [0x0002]
                                  [0x0002 - Outbound]
                Trust type:       Up Level
                Trust Attributes: [0x0004]
                                  [0x0004 - Filter SIDs]
                Trust Direction:  Oneway Trust
                Trust Mode:       External Trust (ET)
                Domain flags:     [0x0000]

양방향 외부: 
        [Domain: DEV]

                DNS Domain:       dev.com
                Netbios name:     dev
                Forest name:
                Trustee DNS name: DOMAIN.COM
                Client site name:
                Domain SID:       S-1-5-21-586728154-3739561872-3933139605
                Domain GUID:      00000000-0000-0000-0000-000000000000
                Trust Flags:      [0x0022]
                                  [0x0002 - Outbound]
                                  [0x0020 - Inbound]
                Trust type:       Up Level
                Trust Attributes: [0x0004]
                                  [0x0004 - Filter SIDs]
                Trust Direction:  Twoway Trust
                Trust Mode:       External Trust (ET)
                Domain flags:     [0x0000]

3. 사용자 조회를 수행할 때 영향을 받는 도메인은 /var/log/lsassd.log 에서 디버그 세부 정보 아래에 "건너뛰기로 표시"됩니다.
  
2023-06-16T10:15:25.878038+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:File_FindUserObjectByName():lsass/server/auth-providers/file-provider/fpuser.c:224: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878347+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaIsi_FindDomainByName():lsass/server/api/isiutil.c:4816: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878452+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:AD_FindObjects():lsass/server/auth-providers/ad-open-provider/provider-main.c:6453: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878521+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaSrvIsLocalDomain():lsass/server/api/provider.c:243: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878581+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaAdBatchCreateDomainEntry():lsass/server/auth-providers/ad-open-provider/batch.c:398: Trusted domain dev.com' is marked skip

Cause

RFC2307 활성화된 경우 다음이 필요합니다.

클러스터가 트러스트를 학습하는 공급업체에서는 신뢰할 수 있는 도메인의 글로벌 카탈로그에 액세스할 수 있어야 합니다. 이렇게 하면 UID 또는 GID와 같은 속성을 찾을 수 있습니다.

외부 신뢰 유형 관계에는 이 작업을 수행할 수 있는 권한이 없으므로 인증이 실패합니다.

Resolution

RFC2307 활성화된 외부 신뢰할 수 있는 도메인의 사용자가 클러스터에 인증할 수 있도록 OneFS 8.1.2에 gconfig 가 추가되었습니다.

양방향 외부 트러스트의 경우 클러스터가 OneFS 버전 8.1.2 이상 버전을 실행해야 합니다. 또한 다음 gconfig 를 활성화해야 합니다.

registry.Services.lsass.Parameters.AdditionalFlags

이 설정은 다음과 같이 설정할 수 있습니다.

isi_gconfig registry.Services.lsass.Parameters.AdditionalFlags=1

단방향 외부 트러스트의 경우 클러스터가 OneFS 9.5.0.4 이상에서 실행되어야 하며 위의 gconfig 를 활성화해야 합니다.

 

Affected Products

PowerScale OneFS
Article Properties
Article Number: 000215063
Article Type: Solution
Last Modified: 26 Nov 2024
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.