PowerScale: L'autenticazione NTLM viene disabilitata quando il cluster è in esecuzione in modalità conforme a FIPS, dopo OneFS 9.5

Summary: Da OneFS 9.5 in poi, l'autenticazione NTLM è disabilitata quando il cluster funziona in modalità conforme a FIPS (protezione avanzata).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

In conformità ai requisiti FIPS più rigorosi, l'abilitazione della protezione avanzata in un cluster PowerScale che esegue OneFS 9.5 o versioni successive comporterà la disabilitazione dell'autenticazione NTLM. Questa funzione non può essere riabilitata, in quanto l'autenticazione non NTLM è un requisito per la conformità FIPS nelle versioni 9.5 e successive. Di conseguenza, sarà disponibile solo l'autenticazione Kerberos (KRB). Questa modifica interessa principalmente i client SMB, ma può influire su tutti i client che utilizzano l'autenticazione NTLM. Se i client non sono configurati per l'autenticazione Kerberos prima di abilitare la protezione avanzata, si verificherà una non disponibilità dei dati (Data Unavailability, DU) in quanto non saranno in grado di eseguire l'autenticazione al cluster utilizzando NTLM.

Cause

Dalla versione 9.5 in poi, il cluster non annuncia più gss-ntlm come metodo di autenticazione se la protezione avanzata è abilitata. Questa modifica è intenzionale ed è dovuta ai requisiti di sicurezza più rigorosi per FIPS. Il cluster annuncia sologss-krb5 come metodo di autenticazione disponibile.

Resolution

È fondamentale assicurarsi che tutti i client, in particolare i client SMB, utilizzino Kerberos come metodo di autenticazione prima di abilitare la protezione avanzata in qualsiasi cluster che esegue OneFS 9.5 o versione successiva.

Per i client SMB, è possibile verificare se eventuali client attualmente connessi utilizzano NTLM eseguendo il seguente comando:
isi_for_array -sX 'isi smb sessions list'

Se uno dei client attualmente connessi è elencato nel formato domain\username, utilizzano l'autenticazione NTLM.

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

 

Se uno dei client attualmente connessi è elencato nel formato username@domain.com, utilizzano l'autenticazione Kerberos (KRB).

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

 

Per ulteriori informazioni sull'autenticazione Kerberos (KRB) per i client SMB, fare riferimento a questa risorsa

Affected Products

Isilon, PowerScale
Article Properties
Article Number: 000274777
Article Type: Solution
Last Modified: 14 Feb 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.