PowerScale : L’authentification NTLM est désactivée lorsque le cluster s’exécute en mode conforme FIPS, après OneFS 9.5

Summary: À partir de OneFS 9.5, l’authentification NTLM est désactivée lorsque le cluster fonctionne en mode conforme à la norme FIPS (renforcement de la sécurité).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

En conformité avec les exigences FIPS plus strictes, l’activation du renforcement de la sécurité sur un cluster PowerScale exécutant OneFS 9.5 ou une version ultérieure entraîne la désactivation de l’authentification NTLM. Cette fonctionnalité ne peut pas être réactivée, car l’authentification non-NTLM est une exigence de conformité FIPS dans les versions 9.5 et ultérieures. Par conséquent, seule l’authentification Kerberos (KRB) est disponible. Cette modification affecte principalement les clients SMB, mais peut avoir un impact sur tous les clients utilisant l’authentification NTLM. Si les clients ne sont pas configurés pour l’authentification Kerberos avant d’activer le renforcement, ils rencontreront un problème d’indisponibilité des données (DU), car ils ne pourront pas s’authentifier auprès du cluster à l’aide de NTLM.

Cause

À partir de la version 9.5, le cluster n’annoncera plus gss-ntlm comme méthode d’authentification si le renforcement de la sécurité est activé. Cette modification est intentionnelle et est due aux exigences de sécurité plus strictes pour FIPS. Le cluster annonce uniquementgss-krb5 comme méthode d’authentification disponible.

Resolution

Il est essentiel de s’assurer que tous les clients, en particulier les clients SMB, utilisent Kerberos comme méthode d’authentification avant d’activer le renforcement de la sécurité sur un cluster exécutant OneFS 9.5 ou une version plus récente.

Pour les clients SMB, vous pouvez vérifier si les clients actuellement connectés utilisent NTLM en exécutant la commande suivante :
isi_for_array -sX 'isi smb sessions list'

Si des clients actuellement connectés sont répertoriés au format domain\username, ils utilisent l’authentification NTLM.

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

 

Si des clients actuellement connectés sont répertoriés au format username@domain.com, ils utilisent l’authentification Kerberos (KRB).

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

 

Pour plus d’informations sur l’authentification Kerberos (KRB) pour les clients SMB, reportez-vous à cette ressource

Affected Products

Isilon, PowerScale
Article Properties
Article Number: 000274777
Article Type: Solution
Last Modified: 14 Feb 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.