PowerScale: La autenticación NTLM se deshabilita cuando el clúster se ejecuta en modo compatible con FIPS, después de OneFS 9.5

Summary: Desde OneFS 9.5 en adelante, la autenticación NTLM se deshabilita cuando el clúster funciona en modo compatible con FIPS (reforzamiento).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

En cumplimiento de los requisitos de FIPS más estrictos, habilitar el reforzamiento en un clúster de PowerScale que ejecuta OneFS 9.5 o posterior dará como resultado la deshabilitación de la autenticación NTLM. Esta función no se puede volver a habilitar, ya que la autenticación no NTLM es un requisito para el cumplimiento de FIPS en las versiones 9.5 y posteriores. En consecuencia, solo estará disponible la autenticación Kerberos (KRB). Este cambio afecta principalmente a los clientes SMB, pero puede afectar a cualquier cliente que utilice la autenticación NTLM. Si los clientes no están configurados para la autenticación Kerberos antes de habilitar el endurecimiento, experimentarán una falta de disponibilidad de datos (DU), ya que no podrán autenticarse en el clúster mediante NTLM.

Cause

A partir de la versión 9.5, el clúster ya no anunciará gss-ntlm como método de autenticación si el refuerzo está habilitado. Este cambio es intencional y se debe a los requisitos de seguridad más estrictos para FIPS. El clúster solo anunciará gss-krb5 como el método de autenticación disponible.

Resolution

Es fundamental asegurarse de que todos los clientes, especialmente los clientes SMB, utilicen Kerberos como su método de autenticación antes de habilitar el reforzamiento en cualquier clúster que ejecute OneFS 9.5 o una versión más reciente.

Para los clientes SMB, puede comprobar si algún cliente conectado actualmente utiliza NTLM mediante la ejecución del siguiente comando:
isi_for_array -sX 'isi smb sessions list'

Si alguno de los clientes conectados actualmente se enumera en el formato de domain\username, utilizan la autenticación NTLM.

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

 

Si alguno de los clientes conectados actualmente se enumera en el formato de username@domain.com, utilizan la autenticación Kerberos (KRB).

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

 

Para obtener más información sobre la autenticación Kerberos (KRB) para clientes SMB, consulte este recurso

Affected Products

Isilon, PowerScale
Article Properties
Article Number: 000274777
Article Type: Solution
Last Modified: 14 Feb 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.