PowerScale: NTLM-Authentifizierung ist deaktiviert, wenn das Cluster nach OneFS 9.5 im FIPS-konformen Modus ausgeführt wird.

Summary: Ab OneFS 9.5 ist die NTLM-Authentifizierung deaktiviert, wenn der Cluster im FIPS-konformen Modus (Härtung) betrieben wird.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

In Übereinstimmung mit strengeren FIPS-Anforderungen führt die Aktivierung der Härtung auf einem PowerScale-Cluster mit OneFS 9.5 oder höher zur Deaktivierung der NTLM-Authentifizierung. Diese Funktion kann nicht erneut aktiviert werden, da eine Nicht-NTLM-Authentifizierung eine Voraussetzung für die FIPS-Compliance in Version 9.5 und höher ist. Daher ist nur die Kerberos-Authentifizierung (KRB) verfügbar. Diese Änderung wirkt sich in erster Linie auf SMB-Clients aus, kann sich jedoch auch auf alle Clients auswirken, die die NTLM-Authentifizierung verwenden. Wenn Clients vor dem Aktivieren der Härtung nicht für die Kerberos-Authentifizierung konfiguriert werden, kommt es zu einer Nichtverfügbarkeit von Daten (DU), da sie sich nicht über NTLM beim Cluster authentifizieren können.

Cause

Ab Version 9.5 kündigt der Cluster gss-ntlm nicht mehr als Authentifizierungsmethode an, wenn die Härtung aktiviert ist. Diese Änderung ist beabsichtigt und auf die strengeren Sicherheitsanforderungen für FIPS zurückzuführen. Das Cluster kündigt nurgss-krb5 als verfügbare Authentifizierungsmethode an.

Resolution

Es muss unbedingt sichergestellt werden, dass alle Clients, insbesondere SMB-Clients, Kerberos als Authentifizierungsmethode verwenden, bevor Sie die Härtung in einem Cluster aktivieren, auf dem OneFS 9.5 oder höher ausgeführt wird.

Bei SMB-Clients können Sie überprüfen, ob derzeit verbundene Clients NTLM verwenden, indem Sie den folgenden Befehl ausführen:
isi_for_array -sX 'isi smb sessions list'

Wenn derzeit verbundene Clients im Format domain\usernameverwenden, verwenden sie die NTLM-Authentifizierung.

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

 

Wenn derzeit verbundene Clients im Format username@domain.comverwenden, verwenden sie die Kerberos-Authentifizierung (KRB).

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

 

Weitere Informationen zur Kerberos-Authentifizierung (KRB) für SMB-Clients finden Sie in dieser Ressource

Affected Products

Isilon, PowerScale
Article Properties
Article Number: 000274777
Article Type: Solution
Last Modified: 14 Feb 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.