PowerScale - Harici güvenlerden gelen kullanıcılar, sistem etkinleştirildiğinde RFC2307 doğrulayamiyor.

Kümeye bir active directory kimlik doğrulama sağlayıcısı eklenir ve RFC2307 etkinleştirilir.

Bu sağlayıcı aracılığıyla öğrenilen tek yönlü harici güvenlerden gelen kullanıcılar kümede kimlik doğrulaması sağyamıyor.

Bu etki alanındaki kullanıcıları listeye eklemeye veya görüntülemeye çalışma da başarısız oluyor.

Bu sorunun mevcut olduğunu onaylamak için aşağıdakilerin olup olmadığını kontrol edin.

1. Active directory kimlik doğrulama sağlayıcısının RFC2307 var:
 

prod-2# isi auth ads list -v
                     Name: DOMAIN.COM
          Machine Account: PROD$
           Authentication: Yes
                 Groupnet: groupnet0

                   Status: online
           Primary Domain: DOMAIN.COM
                   Forest: domain.com
                     Site: Default-First-Site-Name
           NetBIOS Domain: DOMAIN
                 Hostname: prod.domain.com
          Controller Time: 2023-06-16T10:14:06
         Node DC Affinity: -
 Node DC Affinity Timeout: -

          NSS Enumeration: No
              SFU Support: rfc2307
       Store SFU Mappings: No

        Ignore All Trusts: No
  Ignored Trusted Domains: -
  Include Trusted Domains: -
      Extra Expected SPNs: -
    Domain Offline Alerts: No
       LDAP Sign And Seal: No

             Lookup Users: Yes
   Lookup Normalize Users: Yes
            Allocate UIDs: Yes
  Lookup Normalize Groups: Yes
            Allocate GIDs: Yes
           Lookup Domains: -
            Lookup Groups: Yes

    Assume Default Domain: No
    Check Online Interval: 5m
 Machine Password Changes: Yes
Machine Password Lifespan: 4W2D
    Create Home Directory: No
  Home Directory Template: /ifs/home/%D/%U
        Unfindable Groups: -
         Unfindable Users: -
          Findable Groups: -
           Findable Users: -
        Restrict Findable: No
         RPC Call Timeout: 1m
       Server Retry Limit: 5
              Login Shell: /bin/zsh
             Creator Zone: System

2. Etkilenen kullanıcıların gelen güvenin küme açısından harici olduğu görülmeli. Bu, hem tek yönlü hem de iki yönlü bir güven için
 

Tek Yönlü harici:

        [Domain: DEV]

                DNS Domain:       dev.com
                Netbios name:     dev
                Forest name:
                Trustee DNS name: DOMAIN.COM
                Client site name:
                Domain SID:       S-1-5-21-586728154-3739561872-3933139605
                Domain GUID:      00000000-0000-0000-0000-000000000000
                Trust Flags:      [0x0002]
                                  [0x0002 - Outbound]
                Trust type:       Up Level
                Trust Attributes: [0x0004]
                                  [0x0004 - Filter SIDs]
                Trust Direction:  Oneway Trust
                Trust Mode:       External Trust (ET)
                Domain flags:     [0x0000]

İki yönlü harici:

        [Domain: DEV]

                DNS Domain:       dev.com
                Netbios name:     dev
                Forest name:
                Trustee DNS name: DOMAIN.COM
                Client site name:
                Domain SID:       S-1-5-21-586728154-3739561872-3933139605
                Domain GUID:      00000000-0000-0000-0000-000000000000
                Trust Flags:      [0x0022]
                                  [0x0002 - Outbound]
                                  [0x0020 - Inbound]
                Trust type:       Up Level
                Trust Attributes: [0x0004]
                                  [0x0004 - Filter SIDs]
                Trust Direction:  Twoway Trust
                Trust Mode:       External Trust (ET)
                Domain flags:     [0x0000]

3. Kullanıcı araması yaparken hata ayıklama ayrıntısı altındaki /var/log/lsassd.log dosyasında etkilenen etki alanı "atla" olarak işaretlenir:
 

2023-06-16T10:15:25.878038+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:File_FindUserObjectByName():lsass/server/auth-providers/file-provider/fpuser.c:224: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878347+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaIsi_FindDomainByName():lsass/server/api/isiutil.c:4816: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878452+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:AD_FindObjects():lsass/server/auth-providers/ad-open-provider/provider-main.c:6453: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878521+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaSrvIsLocalDomain():lsass/server/api/provider.c:243: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878581+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaAdBatchCreateDomainEntry():lsass/server/auth-providers/ad-open-provider/batch.c:398: Trusted domain dev.com' is marked skip

OneFS 8.1.2'ye, kullanıcıların kümede kimlik doğrulaması için etkinleştirildiği harici güvenilir etki alanlarında RFC2307 bir gconfig eklenmiştir.

İki yönlü harici güvenler için kümeler OneFS sürüm 8.1.2 veya daha yenisini çalıştırmış olmalıdır. Ayrıca aşağıdaki gconfig etkinleştirilmelidir :

registry.Services.lsass.Parameters.AdditionalFlags

Bu, aşağıdaki gibi ayarlanabilir:

isi_gconfig registry.Services.lsass.Parameters.AdditionalFlags=1

Tek yönlü harici güvenler için kümeler OneFS 9.5.0.4 veya daha yeni sürümünü çalıştırmalıdır ve yukarıdaki gconfig etkinleştirilmelidir.