PowerScale: Uwierzytelnianie NTLM jest wyłączone, gdy klaster jest uruchomiony w trybie zgodnym ze standardem FIPS po wersji OneFS 9.5

Summary: Począwszy od OneFS 9.5, uwierzytelnianie NTLM jest wyłączone, gdy klaster działa w trybie zgodnym ze standardem FIPS (wzmacnianie).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Zgodnie z bardziej rygorystycznymi wymaganiami FIPS włączenie wzmacniania zabezpieczeń w klastrze PowerScale z systemem OneFS 9.5 lub nowszym spowoduje wyłączenie uwierzytelniania NTLM. Tej funkcji nie można ponownie włączyć, ponieważ uwierzytelnianie inne niż NTLM jest wymagane do zapewnienia zgodności ze standardem FIPS w wersjach 9.5 i nowszych. W związku z tym dostępne będzie tylko uwierzytelnianie Kerberos (KRB). Ta zmiana dotyczy przede wszystkim klientów SMB, ale może mieć wpływ na wszystkich klientów korzystających z uwierzytelniania NTLM. Jeśli klienci nie zostaną skonfigurowani do uwierzytelniania Kerberos przed włączeniem wzmacniania, wystąpi u nich niedostępność danych (DU), ponieważ nie będą mogli uwierzytelnić się w klastrze przy użyciu protokołu NTLM.

Cause

Począwszy od wersji 9.5 klaster nie będzie już anonsować GSS-ntlm jako metody uwierzytelniania, jeśli włączono wzmacnianie zabezpieczeń. Ta zmiana jest zamierzona i wynika z bardziej rygorystycznych wymagań dotyczących zabezpieczeń dla standardu FIPS. Klaster będzie anonsować tylkogss-krb5 jako dostępną metodę uwierzytelniania.

Resolution

Bardzo ważne jest, aby upewnić się, że wszyscy klienci, zwłaszcza klienci SMB, używają protokołu Kerberos jako metody uwierzytelniania przed włączeniem wzmacniania zabezpieczeń w dowolnym klastrze z systemem OneFS 9.5 lub nowszym.

W przypadku klientów SMB można sprawdzić, czy którykolwiek z aktualnie połączonych klientów korzysta z protokołu NTLM, uruchamiając następujące polecenie:
isi_for_array -sX 'isi smb sessions list'

Jeśli którykolwiek z aktualnie podłączonych klientów jest wymieniony w formacie domain\username, używają uwierzytelniania NTLM.

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

 

Jeśli którykolwiek z aktualnie podłączonych klientów jest wymieniony w formacie username@domain.com, używają uwierzytelniania Kerberos (KRB).

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

 

Aby uzyskać więcej informacji na temat uwierzytelniania Kerberos (KRB) dla klientów SMB, zapoznaj się z tym zasobem

Affected Products

Isilon, PowerScale
Article Properties
Article Number: 000274777
Article Type: Solution
Last Modified: 14 Feb 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.