PowerScale : les utilisateurs de confiance externes ne peuvent pas s’authentifier auprès du cluster lorsque RFC2307 est activé.

Summary: Un fournisseur d’authentification Active Directory est ajouté au cluster et RFC2307 est activé. Les utilisateurs des approbations externes unidirectionnelle apprises via ce fournisseur ne peuvent pas s’authentifier auprès du cluster. La tentative de répertorier ou d’afficher les utilisateurs de ce domaine échoue. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Un fournisseur d’authentification Active Directory est ajouté au cluster et RFC2307 est activé.

Les utilisateurs des approbations externes unidirectionnelle apprises via ce fournisseur ne peuvent pas s’authentifier auprès du cluster.

La tentative de répertorier ou d’afficher des utilisateurs dans ce domaine échoue également.

Pour confirmer que ce problème est présent, recherchez les éléments suivants :

1. Le fournisseur d’authentification Active Directory a RFC2307 activé :
  
prod-2# isi auth ads list -v
                     Name: DOMAIN.COM
          Machine Account: PROD$
           Authentication: Yes
                 Groupnet: groupnet0

                   Status: online
           Primary Domain: DOMAIN.COM
                   Forest: domain.com
                     Site: Default-First-Site-Name
           NetBIOS Domain: DOMAIN
                 Hostname: prod.domain.com
          Controller Time: 2023-06-16T10:14:06
         Node DC Affinity: -
 Node DC Affinity Timeout: -

          NSS Enumeration: No
              SFU Support: rfc2307
       Store SFU Mappings: No

        Ignore All Trusts: No
  Ignored Trusted Domains: -
  Include Trusted Domains: -
      Extra Expected SPNs: -
    Domain Offline Alerts: No
       LDAP Sign And Seal: No

             Lookup Users: Yes
   Lookup Normalize Users: Yes
            Allocate UIDs: Yes
  Lookup Normalize Groups: Yes
            Allocate GIDs: Yes
           Lookup Domains: -
            Lookup Groups: Yes

    Assume Default Domain: No
    Check Online Interval: 5m
 Machine Password Changes: Yes
Machine Password Lifespan: 4W2D
    Create Home Directory: No
  Home Directory Template: /ifs/home/%D/%U
        Unfindable Groups: -
         Unfindable Users: -
          Findable Groups: -
           Findable Users: -
        Restrict Findable: No
         RPC Call Timeout: 1m
       Server Retry Limit: 5
              Login Shell: /bin/zsh
             Creator Zone: System


2. La confiance dont proviennent les utilisateurs concernés doit être considérée comme externe du point de vue du cluster. Pour une relation de confiance unidirectionnelle et bidirectionnelle
 

Externe unidirectionnelle :

        [Domain: DEV]

                DNS Domain:       dev.com
                Netbios name:     dev
                Forest name:
                Trustee DNS name: DOMAIN.COM
                Client site name:
                Domain SID:       S-1-5-21-586728154-3739561872-3933139605
                Domain GUID:      00000000-0000-0000-0000-000000000000
                Trust Flags:      [0x0002]
                                  [0x0002 - Outbound]
                Trust type:       Up Level
                Trust Attributes: [0x0004]
                                  [0x0004 - Filter SIDs]
                Trust Direction:  Oneway Trust
                Trust Mode:       External Trust (ET)
                Domain flags:     [0x0000]

Externe bidirectionnelle : 
        [Domain: DEV]

                DNS Domain:       dev.com
                Netbios name:     dev
                Forest name:
                Trustee DNS name: DOMAIN.COM
                Client site name:
                Domain SID:       S-1-5-21-586728154-3739561872-3933139605
                Domain GUID:      00000000-0000-0000-0000-000000000000
                Trust Flags:      [0x0022]
                                  [0x0002 - Outbound]
                                  [0x0020 - Inbound]
                Trust type:       Up Level
                Trust Attributes: [0x0004]
                                  [0x0004 - Filter SIDs]
                Trust Direction:  Twoway Trust
                Trust Mode:       External Trust (ET)
                Domain flags:     [0x0000]

3. Le domaine affecté est marqué comme étant « skip » dans /var/log/lsassd.log sous la verbosity de débogage lors de la recherche d’un utilisateur :
  
2023-06-16T10:15:25.878038+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:File_FindUserObjectByName():lsass/server/auth-providers/file-provider/fpuser.c:224: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878347+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaIsi_FindDomainByName():lsass/server/api/isiutil.c:4816: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878452+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:AD_FindObjects():lsass/server/auth-providers/ad-open-provider/provider-main.c:6453: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878521+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaSrvIsLocalDomain():lsass/server/api/provider.c:243: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878581+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaAdBatchCreateDomainEntry():lsass/server/auth-providers/ad-open-provider/batch.c:398: Trusted domain dev.com' is marked skip

Cause

Lorsque RFC2307 est activé, les éléments suivants sont nécessaires.

Sur le fournisseur par lequel le cluster apprend les approbations, il doit avoir accès au catalogue global sur les domaines de confiance. Cela permet de rechercher des attributs comme UID ou GID, etc.

Dans le cas d’une relation de type confiance externe, nous n’avons pas l’autorisation de le faire. Par conséquent, l’authentification échoue.

Resolution

Un gconfig a été ajouté à OneFS 8.1.2 pour permettre aux utilisateurs de domaines de confiance externes où RFC2307 est autorisé à s’authentifier auprès du cluster.

Pour les approbations externes bidirectionnelle, les clusters doivent exécuter OneFS version 8.1.2 ou ultérieure. En outre, le gconfig suivant doit être activé :

registry.Services.lsass.Parameters.AdditionalFlags

Cette option peut être définie comme suit :

isi_gconfig registry.Services.lsass.Parameters.AdditionalFlags=1

Pour les approbations externes unidirectionnelle, les clusters doivent exécuter OneFS 9.5.0.4 ou une version ultérieure et le gconfig ci-dessus doit être activé.

 

Affected Products

PowerScale OneFS
Article Properties
Article Number: 000215063
Article Type: Solution
Last Modified: 26 Nov 2024
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.