PowerScale: NTLM-todennus on poistettu käytöstä, kun klusteri on käynnissä FIPS-yhteensopivassa tilassa OneFS 9.5:n jälkeen

Summary: OneFS 9.5 -versiosta alkaen NTLM-todennus on poissa käytöstä, kun klusteri on FIPS-yhteensopivassa (kovettuvassa) tilassa.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Tiukentuneiden FIPS-vaatimusten mukaisesti vahvistamisen käyttöönotto PowerScale-klusterissa, jossa on OneFS 9.5 tai uudempi, johtaa NTLM-todennuksen poistamiseen käytöstä. Tätä ominaisuutta ei voi ottaa uudelleen käyttöön, koska muu kuin NTLM-todennus on edellytys FIPS-yhteensopivuudelle versioissa 9.5 ja uudemmissa. Näin ollen vain Kerberos (KRB) -todennus on käytettävissä. Tämä muutos vaikuttaa ensisijaisesti SMB-asiakkaisiin, mutta se voi vaikuttaa kaikkiin NTLM-todennusta käyttäviin asiakkaisiin. Jos asiakkaita ei ole määritetty käyttämään Kerberos-todennusta ennen koventamisen käyttöönottoa, ne havaitsevat tietojen käytettävyysominaisuuden (DU), koska ne eivät voi todentaa klusteriin NTLM:n kautta.

Cause

Versiosta 9.5 alkaen klusteri ei enää mainosta arvoa gss-ntlm todennusmenetelmänä, jos koventaminen on käytössä. Tämä muutos on tarkoituksellinen ja johtuu FIPS: n tiukemmista turvallisuusvaatimuksista. Klusteri mainostaa vainosoitetta gss-krb5 käytettävissä olevana todennusmenetelmänä.

Resolution

On tärkeää varmistaa, että kaikki työasemat, erityisesti PK-asiakkaat, käyttävät Kerberosta todennusmenetelmänään, ennen kuin otat käyttöön Hardeningin klusterissa, jossa on OneFS 9.5 tai uudempi.

Jos kyseessä on SMB-työasema, voit tarkistaa seuraavalla komennolla, käyttävätkö tällä hetkellä yhdistetyt asiakkaat NTLM:ää:
isi_for_array -sX 'isi smb sessions list'

Jos tällä hetkellä yhdistettyjä asiakkaita on lueteltu muodossa domain\username, he käyttävät NTLM-todennusta.

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

 

Jos tällä hetkellä yhdistettyjä asiakkaita on lueteltu muodossa username@domain.com, he käyttävät Kerberos (KRB) -todennusta.

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

 

Lisätietoja Kerberos (KRB) -todennuksesta SMB-asiakkaille on tässä resurssissa

Affected Products

Isilon, PowerScale
Article Properties
Article Number: 000274777
Article Type: Solution
Last Modified: 14 Feb 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.