PowerScale - RFC2307が有効になっている場合、外部信頼のユーザーはクラスターに対して認証できません。

Summary: Active Directory認証プロバイダーがクラスターに追加され、RFC2307が有効になります。このプロバイダーを通じて学習した一方向の外部信頼のユーザーは、クラスターに対して認証できません。このドメイン内のユーザーを一覧表示または表示しようとすると失敗します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Active Directory認証プロバイダーがクラスターに追加され、RFC2307が有効になります。

このプロバイダーを通じて学習した一方向の外部信頼のユーザーは、クラスターに対して認証できません。

このドメイン内のユーザーの一覧表示または表示も失敗します。

この問題が発生していることを確認するには、次の項目を確認します。

1.Active Directory認証プロバイダーが有効RFC2307。
  
prod-2# isi auth ads list -v
                     Name: DOMAIN.COM
          Machine Account: PROD$
           Authentication: Yes
                 Groupnet: groupnet0

                   Status: online
           Primary Domain: DOMAIN.COM
                   Forest: domain.com
                     Site: Default-First-Site-Name
           NetBIOS Domain: DOMAIN
                 Hostname: prod.domain.com
          Controller Time: 2023-06-16T10:14:06
         Node DC Affinity: -
 Node DC Affinity Timeout: -

          NSS Enumeration: No
              SFU Support: rfc2307
       Store SFU Mappings: No

        Ignore All Trusts: No
  Ignored Trusted Domains: -
  Include Trusted Domains: -
      Extra Expected SPNs: -
    Domain Offline Alerts: No
       LDAP Sign And Seal: No

             Lookup Users: Yes
   Lookup Normalize Users: Yes
            Allocate UIDs: Yes
  Lookup Normalize Groups: Yes
            Allocate GIDs: Yes
           Lookup Domains: -
            Lookup Groups: Yes

    Assume Default Domain: No
    Check Online Interval: 5m
 Machine Password Changes: Yes
Machine Password Lifespan: 4W2D
    Create Home Directory: No
  Home Directory Template: /ifs/home/%D/%U
        Unfindable Groups: -
         Unfindable Users: -
          Findable Groups: -
           Findable Users: -
        Restrict Findable: No
         RPC Call Timeout: 1m
       Server Retry Limit: 5
              Login Shell: /bin/zsh
             Creator Zone: System


2.影響を受けるユーザーの信頼は、クラスターの観点から外部と見なされる必要があります。これは、一方向の信頼と双方向の信頼の両方に対して行います。
 

一方向の外部:

        [Domain: DEV]

                DNS Domain:       dev.com
                Netbios name:     dev
                Forest name:
                Trustee DNS name: DOMAIN.COM
                Client site name:
                Domain SID:       S-1-5-21-586728154-3739561872-3933139605
                Domain GUID:      00000000-0000-0000-0000-000000000000
                Trust Flags:      [0x0002]
                                  [0x0002 - Outbound]
                Trust type:       Up Level
                Trust Attributes: [0x0004]
                                  [0x0004 - Filter SIDs]
                Trust Direction:  Oneway Trust
                Trust Mode:       External Trust (ET)
                Domain flags:     [0x0000]

双方向外部: 
        [Domain: DEV]

                DNS Domain:       dev.com
                Netbios name:     dev
                Forest name:
                Trustee DNS name: DOMAIN.COM
                Client site name:
                Domain SID:       S-1-5-21-586728154-3739561872-3933139605
                Domain GUID:      00000000-0000-0000-0000-000000000000
                Trust Flags:      [0x0022]
                                  [0x0002 - Outbound]
                                  [0x0020 - Inbound]
                Trust type:       Up Level
                Trust Attributes: [0x0004]
                                  [0x0004 - Filter SIDs]
                Trust Direction:  Twoway Trust
                Trust Mode:       External Trust (ET)
                Domain flags:     [0x0000]

3.影響を受けるドメインは、ユーザー 検索を実行するときにデバッグ冗長性の下にある /var/log/lsassd.log で「スキップとしてマーク」されます。
  
2023-06-16T10:15:25.878038+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:File_FindUserObjectByName():lsass/server/auth-providers/file-provider/fpuser.c:224: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878347+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaIsi_FindDomainByName():lsass/server/api/isiutil.c:4816: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878452+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:AD_FindObjects():lsass/server/auth-providers/ad-open-provider/provider-main.c:6453: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878521+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaSrvIsLocalDomain():lsass/server/api/provider.c:243: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878581+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaAdBatchCreateDomainEntry():lsass/server/auth-providers/ad-open-provider/batch.c:398: Trusted domain dev.com' is marked skip

Cause

RFC2307が有効になっている場合は、次の手順を実行する必要があります。

クラスターが信頼を学習するプロバイダーでは、信頼できるドメイン上のグローバル カタログにアクセスできる必要があります。そのため、UIDやGIDなどの属性を検索できます。

外部の信頼関係では、これを行う権限がないため、認証は失敗します。

Resolution

OneFS 8.1.2に gconfig が追加され、RFC2307がクラスターへの認証が有効になっている外部トラステッド ドメインのユーザーが許可されました。

双方向の外部信頼の場合、クラスターはOneFSバージョン8.1.2以降を実行している必要があります。また、次の gconfig を有効にする必要があります。

registry.Services.lsass.Parameters.AdditionalFlags

これは次のように設定できます。

isi_gconfig registry.Services.lsass.Parameters.AdditionalFlags=1

一方向の外部信頼の場合、クラスターはOneFS 9.5.0.4以降を実行しており、上記の gconfig を有効にする必要があります。

 

Affected Products

PowerScale OneFS
Article Properties
Article Number: 000215063
Article Type: Solution
Last Modified: 26 Nov 2024
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.