PowerScale — użytkownicy z zewnętrznych relacji zaufania nie mogą uwierzytelniać się w klastrze, gdy RFC2307 jest włączona.

Do klastra zostanie dodany dostawca uwierzytelniania usługi Active Directory, a RFC2307 jest włączony.

Użytkownicy z jednokierunkowych zewnętrznych relacji zaufania poznanych za pośrednictwem tego dostawcy nie mogą uwierzytelnić się w klastrze.

Próba wyświetlenia listy lub wyświetlenia użytkowników w tej domenie również kończy się niepowodzeniem.

Aby potwierdzić obecność tego problemu, należy zapoznać się z poniższymi instrukcjami.

1. Dostawca uwierzytelniania usługi Active Directory RFC2307 włączony:
 

prod-2# isi auth ads list -v
                     Name: DOMAIN.COM
          Machine Account: PROD$
           Authentication: Yes
                 Groupnet: groupnet0

                   Status: online
           Primary Domain: DOMAIN.COM
                   Forest: domain.com
                     Site: Default-First-Site-Name
           NetBIOS Domain: DOMAIN
                 Hostname: prod.domain.com
          Controller Time: 2023-06-16T10:14:06
         Node DC Affinity: -
 Node DC Affinity Timeout: -

          NSS Enumeration: No
              SFU Support: rfc2307
       Store SFU Mappings: No

        Ignore All Trusts: No
  Ignored Trusted Domains: -
  Include Trusted Domains: -
      Extra Expected SPNs: -
    Domain Offline Alerts: No
       LDAP Sign And Seal: No

             Lookup Users: Yes
   Lookup Normalize Users: Yes
            Allocate UIDs: Yes
  Lookup Normalize Groups: Yes
            Allocate GIDs: Yes
           Lookup Domains: -
            Lookup Groups: Yes

    Assume Default Domain: No
    Check Online Interval: 5m
 Machine Password Changes: Yes
Machine Password Lifespan: 4W2D
    Create Home Directory: No
  Home Directory Template: /ifs/home/%D/%U
        Unfindable Groups: -
         Unfindable Users: -
          Findable Groups: -
           Findable Users: -
        Restrict Findable: No
         RPC Call Timeout: 1m
       Server Retry Limit: 5
              Login Shell: /bin/zsh
             Creator Zone: System

2. Zaufanie, z którego pochodzą użytkownicy, których dotyczy problem, musi być widoczne jako zewnętrzne z punktu widzenia klastra. Dotyczy to zarówno relacji jednokierunkowych, jak i dwukierunkowych
 

Jeden sposób na zewnątrz:

        [Domain: DEV]

                DNS Domain:       dev.com
                Netbios name:     dev
                Forest name:
                Trustee DNS name: DOMAIN.COM
                Client site name:
                Domain SID:       S-1-5-21-586728154-3739561872-3933139605
                Domain GUID:      00000000-0000-0000-0000-000000000000
                Trust Flags:      [0x0002]
                                  [0x0002 - Outbound]
                Trust type:       Up Level
                Trust Attributes: [0x0004]
                                  [0x0004 - Filter SIDs]
                Trust Direction:  Oneway Trust
                Trust Mode:       External Trust (ET)
                Domain flags:     [0x0000]

Zewnętrzne dwukierunkowe:

        [Domain: DEV]

                DNS Domain:       dev.com
                Netbios name:     dev
                Forest name:
                Trustee DNS name: DOMAIN.COM
                Client site name:
                Domain SID:       S-1-5-21-586728154-3739561872-3933139605
                Domain GUID:      00000000-0000-0000-0000-000000000000
                Trust Flags:      [0x0022]
                                  [0x0002 - Outbound]
                                  [0x0020 - Inbound]
                Trust type:       Up Level
                Trust Attributes: [0x0004]
                                  [0x0004 - Filter SIDs]
                Trust Direction:  Twoway Trust
                Trust Mode:       External Trust (ET)
                Domain flags:     [0x0000]

3. Domena, której dotyczy problem, jest "oznaczona jako pomiń" w pliku /var/log/lsassd.log pod szczegółowością debugowania podczas wyszukiwania użytkownika:
 

2023-06-16T10:15:25.878038+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:File_FindUserObjectByName():lsass/server/auth-providers/file-provider/fpuser.c:224: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878347+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaIsi_FindDomainByName():lsass/server/api/isiutil.c:4816: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878452+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:AD_FindObjects():lsass/server/auth-providers/ad-open-provider/provider-main.c:6453: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878521+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaSrvIsLocalDomain():lsass/server/api/provider.c:243: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878581+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaAdBatchCreateDomainEntry():lsass/server/auth-providers/ad-open-provider/batch.c:398: Trusted domain dev.com' is marked skip

Do OneFS 8.1.2 dodano gconfig , aby umożliwić użytkownikom w zewnętrznych zaufanych domenach, w których RFC2307 jest włączona do uwierzytelniania w klastrze.

W przypadku dwustronnych zewnętrznych relacji zaufania klastry muszą być uruchomione w wersji OneFS 8.1.2 lub nowszej. Ponadto należy włączyć następujące funkcje gconfig :

registry.Services.lsass.Parameters.AdditionalFlags

Ustawienie to można ustawić w następujący sposób:

isi_gconfig registry.Services.lsass.Parameters.AdditionalFlags=1

W przypadku jednokierunkowych zewnętrznych relacji zaufania klastry muszą działać w wersji OneFS 9.5.0.4 lub nowszej, a powyższy gconfig musi być włączony.