PowerScale – Brukere fra eksterne klareringer kan ikke godkjenne til klynge når RFC2307 er aktivert.
Summary: En active directory-godkjenningsleverandør legges til i klyngen, og RFC2307 er aktivert. Brukere fra enveis eksterne klareringer som er lært gjennom denne leverandøren, kan ikke godkjenne til klyngen. Forsøk på å vise brukere i dette domenet mislykkes. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
En active directory-godkjenningsleverandør legges til i klyngen, og RFC2307 er aktivert.
Brukere fra enveis eksterne klareringer som er lært gjennom denne leverandøren, kan ikke godkjenne til klyngen.
Forsøk på å vise brukere i dette domenet mislykkes også.
Kontroller følgende for å bekrefte at dette problemet er til stede.
1. Active Directory-godkjenningsleverandøren har RFC2307 aktivert:
Toveis ekstern:
3. Det berørte domenet er merket som skip i /var/log/lsassd.log under høyt detaljnivå for feilsøking når du utfører et brukeroppslag:
Brukere fra enveis eksterne klareringer som er lært gjennom denne leverandøren, kan ikke godkjenne til klyngen.
Forsøk på å vise brukere i dette domenet mislykkes også.
Kontroller følgende for å bekrefte at dette problemet er til stede.
1. Active Directory-godkjenningsleverandøren har RFC2307 aktivert:
prod-2# isi auth ads list -v
Name: DOMAIN.COM
Machine Account: PROD$
Authentication: Yes
Groupnet: groupnet0
Status: online
Primary Domain: DOMAIN.COM
Forest: domain.com
Site: Default-First-Site-Name
NetBIOS Domain: DOMAIN
Hostname: prod.domain.com
Controller Time: 2023-06-16T10:14:06
Node DC Affinity: -
Node DC Affinity Timeout: -
NSS Enumeration: No
SFU Support: rfc2307
Store SFU Mappings: No
Ignore All Trusts: No
Ignored Trusted Domains: -
Include Trusted Domains: -
Extra Expected SPNs: -
Domain Offline Alerts: No
LDAP Sign And Seal: No
Lookup Users: Yes
Lookup Normalize Users: Yes
Allocate UIDs: Yes
Lookup Normalize Groups: Yes
Allocate GIDs: Yes
Lookup Domains: -
Lookup Groups: Yes
Assume Default Domain: No
Check Online Interval: 5m
Machine Password Changes: Yes
Machine Password Lifespan: 4W2D
Create Home Directory: No
Home Directory Template: /ifs/home/%D/%U
Unfindable Groups: -
Unfindable Users: -
Findable Groups: -
Findable Users: -
Restrict Findable: No
RPC Call Timeout: 1m
Server Retry Limit: 5
Login Shell: /bin/zsh
Creator Zone: System
2. Klareringen som de berørte brukerne kommer fra, må ses å være ekstern fra klyngens perspektiv. Dette for både enveis og en toveis tillit
Ekstern énveis:
[Domain: DEV] DNS Domain: dev.com Netbios name: dev Forest name: Trustee DNS name: DOMAIN.COM Client site name: Domain SID: S-1-5-21-586728154-3739561872-3933139605 Domain GUID: 00000000-0000-0000-0000-000000000000 Trust Flags: [0x0002] [0x0002 - Outbound] Trust type: Up Level Trust Attributes: [0x0004] [0x0004 - Filter SIDs] Trust Direction: Oneway Trust Trust Mode: External Trust (ET) Domain flags: [0x0000]
Toveis ekstern:
[Domain: DEV] DNS Domain: dev.com Netbios name: dev Forest name: Trustee DNS name: DOMAIN.COM Client site name: Domain SID: S-1-5-21-586728154-3739561872-3933139605 Domain GUID: 00000000-0000-0000-0000-000000000000 Trust Flags: [0x0022] [0x0002 - Outbound] [0x0020 - Inbound] Trust type: Up Level Trust Attributes: [0x0004] [0x0004 - Filter SIDs] Trust Direction: Twoway Trust Trust Mode: External Trust (ET) Domain flags: [0x0000]
3. Det berørte domenet er merket som skip i /var/log/lsassd.log under høyt detaljnivå for feilsøking når du utfører et brukeroppslag:
2023-06-16T10:15:25.878038+00:00 prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:File_FindUserObjectByName():lsass/server/auth-providers/file-provider/fpuser.c:224: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878347+00:00 prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaIsi_FindDomainByName():lsass/server/api/isiutil.c:4816: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878452+00:00 prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:AD_FindObjects():lsass/server/auth-providers/ad-open-provider/provider-main.c:6453: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878521+00:00 prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaSrvIsLocalDomain():lsass/server/api/provider.c:243: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878581+00:00 prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaAdBatchCreateDomainEntry():lsass/server/auth-providers/ad-open-provider/batch.c:398: Trusted domain dev.com' is marked skip
Cause
Når RFC2307 er aktivert, er følgende nødvendig.
På leverandøren som klyngen lærer klareringene gjennom, må den ha tilgang til den globale katalogen på klarerte domener. Dette er slik at det kan se etter attributter som UID eller GID så videre.
I et eksternt klareringstypeforhold mangler vi tillatelse til å gjøre dette, derfor mislykkes godkjenningen.
På leverandøren som klyngen lærer klareringene gjennom, må den ha tilgang til den globale katalogen på klarerte domener. Dette er slik at det kan se etter attributter som UID eller GID så videre.
I et eksternt klareringstypeforhold mangler vi tillatelse til å gjøre dette, derfor mislykkes godkjenningen.
Resolution
En gconfig ble lagt til OneFS 8.1.2 for å tillate brukere i eksterne klarerte domener der RFC2307 er aktivert for å godkjenne til klyngen.
For toveis eksterne klareringer må klynger kjøre OneFS versjon 8.1.2 eller nyere. Følgende gconfig må også være aktivert:
registry.Services.lsass.Parameters.AdditionalFlags
Dette kan angis på følgende måte:
isi_gconfig registry.Services.lsass.Parameters.AdditionalFlags=1
For enveis eksterne klareringer må klynger kjøre OneFS 9.5.0.4 eller nyere, og gconfig ovenfor må være aktivert.
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000215063
Article Type: Solution
Last Modified: 26 Nov 2024
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.