PowerScale – Benutzer von externen Vertrauensstellungen können sich nicht beim Cluster authentifizieren, wenn RFC2307 aktiviert ist.

Ein Active Directory-Authentifizierungsanbieter wird zum Cluster hinzugefügt und RFC2307 ist aktiviert.

Benutzer aus einseitigen externen Vertrauensstellungen, die über diesen Anbieter ermittelt wurden, können sich nicht beim Cluster authentifizieren.

Der Versuch, Benutzer in dieser Domain aufzulisten oder anzuzeigen, schlägt ebenfalls fehl.

Um zu bestätigen, dass dieses Problem auftritt, überprüfen Sie Folgendes.

1. Active Directory-Authentifizierungsanbieter hat RFC2307 aktiviert:
 

prod-2# isi auth ads list -v
                     Name: DOMAIN.COM
          Machine Account: PROD$
           Authentication: Yes
                 Groupnet: groupnet0

                   Status: online
           Primary Domain: DOMAIN.COM
                   Forest: domain.com
                     Site: Default-First-Site-Name
           NetBIOS Domain: DOMAIN
                 Hostname: prod.domain.com
          Controller Time: 2023-06-16T10:14:06
         Node DC Affinity: -
 Node DC Affinity Timeout: -

          NSS Enumeration: No
              SFU Support: rfc2307
       Store SFU Mappings: No

        Ignore All Trusts: No
  Ignored Trusted Domains: -
  Include Trusted Domains: -
      Extra Expected SPNs: -
    Domain Offline Alerts: No
       LDAP Sign And Seal: No

             Lookup Users: Yes
   Lookup Normalize Users: Yes
            Allocate UIDs: Yes
  Lookup Normalize Groups: Yes
            Allocate GIDs: Yes
           Lookup Domains: -
            Lookup Groups: Yes

    Assume Default Domain: No
    Check Online Interval: 5m
 Machine Password Changes: Yes
Machine Password Lifespan: 4W2D
    Create Home Directory: No
  Home Directory Template: /ifs/home/%D/%U
        Unfindable Groups: -
         Unfindable Users: -
          Findable Groups: -
           Findable Users: -
        Restrict Findable: No
         RPC Call Timeout: 1m
       Server Retry Limit: 5
              Login Shell: /bin/zsh
             Creator Zone: System

2. Die Vertrauensstellung, von der die betroffenen Benutzer stammen, muss aus Clustersicht als extern betrachtet werden. Dies sowohl für eine einseitige als auch für eine bidirektionale Vertrauensstellung
 

Einseitig extern:

        [Domain: DEV]

                DNS Domain:       dev.com
                Netbios name:     dev
                Forest name:
                Trustee DNS name: DOMAIN.COM
                Client site name:
                Domain SID:       S-1-5-21-586728154-3739561872-3933139605
                Domain GUID:      00000000-0000-0000-0000-000000000000
                Trust Flags:      [0x0002]
                                  [0x0002 - Outbound]
                Trust type:       Up Level
                Trust Attributes: [0x0004]
                                  [0x0004 - Filter SIDs]
                Trust Direction:  Oneway Trust
                Trust Mode:       External Trust (ET)
                Domain flags:     [0x0000]

Bidirektionale externe:

        [Domain: DEV]

                DNS Domain:       dev.com
                Netbios name:     dev
                Forest name:
                Trustee DNS name: DOMAIN.COM
                Client site name:
                Domain SID:       S-1-5-21-586728154-3739561872-3933139605
                Domain GUID:      00000000-0000-0000-0000-000000000000
                Trust Flags:      [0x0022]
                                  [0x0002 - Outbound]
                                  [0x0020 - Inbound]
                Trust type:       Up Level
                Trust Attributes: [0x0004]
                                  [0x0004 - Filter SIDs]
                Trust Direction:  Twoway Trust
                Trust Mode:       External Trust (ET)
                Domain flags:     [0x0000]

3. Die betroffene Domain ist in /var/log/lsassd.log unter der Debug-Ausführlichkeit "markiert als skip", wenn eine Benutzersuche durchgeführt wird:
 

2023-06-16T10:15:25.878038+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:File_FindUserObjectByName():lsass/server/auth-providers/file-provider/fpuser.c:224: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878347+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaIsi_FindDomainByName():lsass/server/api/isiutil.c:4816: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878452+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:AD_FindObjects():lsass/server/auth-providers/ad-open-provider/provider-main.c:6453: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878521+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaSrvIsLocalDomain():lsass/server/api/provider.c:243: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878581+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaAdBatchCreateDomainEntry():lsass/server/auth-providers/ad-open-provider/batch.c:398: Trusted domain dev.com' is marked skip

Eine gconfig wurde zu OneFS 8.1.2 hinzugefügt, damit Benutzer in externen vertrauenswürdigen Domains, in denen RFC2307 aktiviert ist, sich beim Cluster authentifizieren können.

Für bidirektionale externe Vertrauensstellungen muss auf Clustern OneFS-Version 8.1.2 oder höher ausgeführt werden. Außerdem muss die folgende gconfig aktiviert sein:

registry.Services.lsass.Parameters.AdditionalFlags

Dies kann wie folgt festgelegt werden:

isi_gconfig registry.Services.lsass.Parameters.AdditionalFlags=1

Für einseitige externe Vertrauensstellungen müssen Cluster OneFS 9.5.0.4 oder höher ausführen und die obige gconfig muss aktiviert sein.