PowerScale：OneFS 9.5以降、クラスターがFIPS準拠モードで実行されている場合、NTLM認証は無効になります

より厳格なFIPS要件に準拠して、OneFS 9.5以降を実行しているPowerScaleクラスターで強化を有効にすると、NTLM認証が無効になります。非NTLM認証はバージョン9.5以降のFIPSコンプライアンスの要件であるため、この機能を再度有効にすることはできません。その結果、Kerberos (KRB) 認証のみが使用可能になります。この変更は主にSMBクライアントに影響しますが、NTLM認証を使用しているすべてのクライアントに影響を与える可能性があります。強化を有効にする前にクライアントがKerberos認証用に構成されていない場合、NTLMを使用してクラスターに対して認証できないため、データ欠損(DU)が発生します。

バージョン 9.5 以降では、強化が有効になっている場合、クラスターは認証方法として gss-ntlm をアドバタイズしなくなりました。この変更は意図的なものであり、FIPSのセキュリティ要件が厳しくなったためです。クラスタは、使用可能な認証方法として gss-krb5のみをアドバタイズします。

OneFS 9.5以降を実行しているクラスターで強化を有効にする前に、すべてのクライアント(特にSMBクライアント)が認証方法としてKerberosを使用していることを確認することが重要です。

SMBクライアントの場合は、次のコマンドを実行して、現在接続されているクライアントがNTLMを使用しているかどうかを確認できます。
isi_for_array -sX 'isi smb sessions list'

現在接続されているクライアントが domain\usernameの場合は、NTLM 認証を使用しています。

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

現在接続されているクライアントが username@domain.comの場合、Kerberos (KRB) 認証を使用しています。

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

SMBクライアントのKerberos(KRB)認証の詳細については、こちらのリソースを参照してください