PowerScale: NTLM-verificatie is uitgeschakeld wanneer het cluster wordt uitgevoerd in FIPS-compatibele modus, na OneFS 9.5

Summary: Vanaf OneFS 9.5 is NTLM-verificatie uitgeschakeld wanneer het cluster in de FIPS-compatibele modus (Hardening) werkt.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

In overeenstemming met strengere FIPS-vereisten zal het inschakelen van Hardening op een PowerScale cluster met OneFS 9.5 of hoger resulteren in het uitschakelen van NTLM-authenticatie. Deze functie kan niet opnieuw worden ingeschakeld, omdat niet-NTLM-authenticatie een vereiste is voor FIPS-naleving in versie 9.5 en hoger. Bijgevolg is alleen Kerberos (KRB)-authenticatie beschikbaar. Deze wijziging is voornamelijk van invloed op SMB-clients, maar kan van invloed zijn op clients die NTLM-authenticatie gebruiken. Als clients niet zijn geconfigureerd voor Kerberos-verificatie voorafgaand aan het inschakelen van Hardening, zullen ze te maken krijgen met Data Unavailability (DU) omdat ze niet kunnen verifiëren bij het cluster met behulp van NTLM.

Cause

Vanaf versie 9.5 zal het cluster gss-ntlm niet langer adverteren als authenticatiemethode als Hardening is ingeschakeld. Deze wijziging is opzettelijk en is het gevolg van de strengere beveiligingsvereisten voor FIPS. Het cluster maakt alleen reclame voor gss-krb5 als de beschikbare verificatiemethode.

Resolution

Het is van cruciaal belang om ervoor te zorgen dat alle clients, met name SMB-clients, Kerberos als hun verificatiemethode gebruiken voordat u Hardening inschakelt op elk cluster waarop OneFS 9.5 of nieuwer wordt uitgevoerd.

Voor SMB-clients kunt u controleren of er momenteel verbonden clients zijn die NTLM gebruiken door de volgende opdracht uit te voeren:
isi_for_array -sX 'isi smb sessions list'

Als er clients zijn die momenteel zijn verbonden, worden vermeld in de indeling van domain\username, gebruiken ze NTLM-authenticatie.

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

 

Als er clients zijn die momenteel zijn verbonden, worden vermeld in de indeling van username@domain.com, gebruiken ze Kerberos-authenticatie (KRB).

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

 

Raadpleeg deze bron voor meer informatie over Kerberos-verificatie (KRB) voor SMB-clients

Affected Products

Isilon, PowerScale
Article Properties
Article Number: 000274777
Article Type: Solution
Last Modified: 14 Feb 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.