PowerScale - Gebruikers van externe vertrouwensrelaties kunnen niet worden geverifieerd bij cluster wanneer RFC2307 is ingeschakeld.
Summary: Er wordt een Active Directory-authenticatieprovider aan het cluster toegevoegd en RFC2307 is ingeschakeld. Gebruikers van externe vertrouwensrelaties die via deze provider zijn geleerd, kunnen niet worden geverifieerd bij het cluster. Het weergeven van gebruikers in dit domein mislukt. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Er wordt een active directory-authenticatieprovider aan het cluster toegevoegd en RFC2307 is ingeschakeld.
Gebruikers van externe vertrouwensrelaties die via deze provider zijn geleerd, kunnen niet worden geverifieerd bij het cluster.
Het weergeven van gebruikers in dit domein mislukt ook.
Controleer het volgende om te bevestigen dat dit probleem zich voordoet.
1. Active Directory-authenticatieprovider heeft RFC2307 ingeschakeld:
Tweerichtings extern:
3. Het betroffen domein is 'gemarkeerd als overslaan' in /var/log/lsassd.log onder de uitgebreidheid van de foutopsporing bij het opzoeken van een gebruiker:
Gebruikers van externe vertrouwensrelaties die via deze provider zijn geleerd, kunnen niet worden geverifieerd bij het cluster.
Het weergeven van gebruikers in dit domein mislukt ook.
Controleer het volgende om te bevestigen dat dit probleem zich voordoet.
1. Active Directory-authenticatieprovider heeft RFC2307 ingeschakeld:
prod-2# isi auth ads list -v
Name: DOMAIN.COM
Machine Account: PROD$
Authentication: Yes
Groupnet: groupnet0
Status: online
Primary Domain: DOMAIN.COM
Forest: domain.com
Site: Default-First-Site-Name
NetBIOS Domain: DOMAIN
Hostname: prod.domain.com
Controller Time: 2023-06-16T10:14:06
Node DC Affinity: -
Node DC Affinity Timeout: -
NSS Enumeration: No
SFU Support: rfc2307
Store SFU Mappings: No
Ignore All Trusts: No
Ignored Trusted Domains: -
Include Trusted Domains: -
Extra Expected SPNs: -
Domain Offline Alerts: No
LDAP Sign And Seal: No
Lookup Users: Yes
Lookup Normalize Users: Yes
Allocate UIDs: Yes
Lookup Normalize Groups: Yes
Allocate GIDs: Yes
Lookup Domains: -
Lookup Groups: Yes
Assume Default Domain: No
Check Online Interval: 5m
Machine Password Changes: Yes
Machine Password Lifespan: 4W2D
Create Home Directory: No
Home Directory Template: /ifs/home/%D/%U
Unfindable Groups: -
Unfindable Users: -
Findable Groups: -
Findable Users: -
Restrict Findable: No
RPC Call Timeout: 1m
Server Retry Limit: 5
Login Shell: /bin/zsh
Creator Zone: System
2. De vertrouwensrelatie waaruit de getroffen gebruikers afkomstig zijn, moet vanuit het clusterperspectief worden gezien als extern. Dit voor zowel een enkele als een tweerichtings vertrouwen
Eenrichtings extern:
[Domain: DEV] DNS Domain: dev.com Netbios name: dev Forest name: Trustee DNS name: DOMAIN.COM Client site name: Domain SID: S-1-5-21-586728154-3739561872-3933139605 Domain GUID: 00000000-0000-0000-0000-000000000000 Trust Flags: [0x0002] [0x0002 - Outbound] Trust type: Up Level Trust Attributes: [0x0004] [0x0004 - Filter SIDs] Trust Direction: Oneway Trust Trust Mode: External Trust (ET) Domain flags: [0x0000]
Tweerichtings extern:
[Domain: DEV] DNS Domain: dev.com Netbios name: dev Forest name: Trustee DNS name: DOMAIN.COM Client site name: Domain SID: S-1-5-21-586728154-3739561872-3933139605 Domain GUID: 00000000-0000-0000-0000-000000000000 Trust Flags: [0x0022] [0x0002 - Outbound] [0x0020 - Inbound] Trust type: Up Level Trust Attributes: [0x0004] [0x0004 - Filter SIDs] Trust Direction: Twoway Trust Trust Mode: External Trust (ET) Domain flags: [0x0000]
3. Het betroffen domein is 'gemarkeerd als overslaan' in /var/log/lsassd.log onder de uitgebreidheid van de foutopsporing bij het opzoeken van een gebruiker:
2023-06-16T10:15:25.878038+00:00 prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:File_FindUserObjectByName():lsass/server/auth-providers/file-provider/fpuser.c:224: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878347+00:00 prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaIsi_FindDomainByName():lsass/server/api/isiutil.c:4816: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878452+00:00 prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:AD_FindObjects():lsass/server/auth-providers/ad-open-provider/provider-main.c:6453: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878521+00:00 prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaSrvIsLocalDomain():lsass/server/api/provider.c:243: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878581+00:00 prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaAdBatchCreateDomainEntry():lsass/server/auth-providers/ad-open-provider/batch.c:398: Trusted domain dev.com' is marked skip
Cause
Wanneer RFC2307 is ingeschakeld, is het volgende nodig.
Op de provider waarmee het cluster de vertrouwensrelaties leert kennen, heeft het toegang nodig tot de wereldwijde catalogus op de vertrouwde domeinen. Dit is zodat het kan zoeken naar de kenmerken zoals UID of GID, enzovoort.
Bij een externe vertrouwensrelatie hebben we geen toestemming om dit te doen, waardoor de verificatie mislukt.
Op de provider waarmee het cluster de vertrouwensrelaties leert kennen, heeft het toegang nodig tot de wereldwijde catalogus op de vertrouwde domeinen. Dit is zodat het kan zoeken naar de kenmerken zoals UID of GID, enzovoort.
Bij een externe vertrouwensrelatie hebben we geen toestemming om dit te doen, waardoor de verificatie mislukt.
Resolution
Er is een gconfig toegevoegd aan OneFS 8.1.2 om gebruikers in externe vertrouwde domeinen toe te staan waar RFC2307 is ingeschakeld om te verifiëren aan het cluster.
Voor externe vertrouwensrelaties in twee richtingen moeten clusters OneFS versie 8.1.2 of nieuwere uitvoeren. Ook moet de volgende gconfig zijn ingeschakeld:
registry.Services.lsass.Parameters.AdditionalFlags
Dit kan als volgt worden ingesteld:
isi_gconfig registry.Services.lsass.Parameters.AdditionalFlags=1
Voor externe vertrouwensrelaties moeten clusters OneFS 9.5.0.4 of nieuwere uitvoeren en moet de bovenstaande gconfig zijn ingeschakeld.
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000215063
Article Type: Solution
Last Modified: 26 Nov 2024
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.