PowerScale: OneFS 9.5 이후 클러스터가 FIPS 호환 모드로 실행 중이면 NTLM 인증이 비활성화됨

더 엄격한 FIPS 요구 사항을 준수하기 위해 OneFS 9.5 이상을 실행하는 PowerScale 클러스터에서 강화를 활성화하면 NTLM 인증이 비활성화됩니다. NTLM이 아닌 인증은 버전 9.5 이상에서 FIPS 규정 준수를 위한 요구 사항이므로 이 기능을 다시 사용하도록 설정할 수 없습니다. 따라서 KRB(Kerberos) 인증만 사용할 수 있습니다. 이 변경 사항은 주로 SMB 클라이언트에 영향을 주지만 NTLM 인증을 사용하는 모든 클라이언트에 영향을 줄 수 있습니다. 강화를 활성화하기 전에 클라이언트에 Kerberos 인증이 구성되어 있지 않으면 NTLM을 사용하여 클러스터에 인증할 수 없으므로 DU(Data Unavailability)가 발생합니다.

버전 9.5 이후부터 강화가 활성화된 경우 클러스터는 더 이상 gss-ntlm 을 인증 방법으로 보급하지 않습니다. 이는 의도적인 변경이며 FIPS에 대한 더 엄격한 보안 요구 사항 때문입니다. 클러스터는 gss-krb5만 사용 가능한 인증 방법으로 보급합니다.

OneFS 9.5 이상을 실행하는 클러스터에서 강화를 활성화하기 전에 모든 클라이언트, 특히 SMB 클라이언트가 Kerberos를 인증 방법으로 사용하고 있는지 확인하는 것이 중요합니다.

SMB 클라이언트의 경우 다음 명령을 실행하여 현재 연결된 클라이언트가 NTLM을 사용하고 있는지 확인할 수 있습니다.
isi_for_array -sX 'isi smb sessions list'

현재 연결된 클라이언트가 domain\usernameNTLM 인증을 사용하고 있습니다.

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

현재 연결된 클라이언트가 username@domain.comKrb(Kerberos) 인증을 사용하고 있습니다.

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

SMB 클라이언트에 대한 KRB(Kerberos) 인증에 대한 자세한 내용은 이 리소스를 참조하십시오.