PowerScale: A autenticação NTLM é desativada quando o cluster está em execução no modo compatível com FIPS após o OneFS 9.5

Summary: Do OneFS 9.5 em diante, a autenticação NTLM é desativada quando o cluster está operando no modo compatível com FIPS (fortalecimento).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Em conformidade com requisitos FIPS mais rigorosos, habilitar o fortalecimento em um cluster do PowerScale que executa o OneFS 9.5 ou posterior resultará na desativação da autenticação NTLM. Esse recurso não pode ser reativado, pois a autenticação não NTLM é um requisito para conformidade com FIPS nas versões 9.5 e posteriores. Consequentemente, somente a autenticação Kerberos (KRB) estará disponível. Essa alteração afeta principalmente clients SMB, mas pode afetar todos os clients que usam a autenticação NTLM. Se os clientes não estiverem configurados para autenticação Kerberos antes de habilitar o Hardening, eles enfrentarão indisponibilidade de dados (DU), pois não poderão se autenticar no cluster usando NTLM.

Cause

A partir da versão 9.5, o cluster não anunciará mais o gss-ntlm como um método de autenticação se o Hardening estiver ativado. Essa alteração é intencional e se deve aos requisitos de segurança mais rígidos do FIPS. O cluster anunciará apenasgss-krb5 como o método de autenticação disponível.

Resolution

É crucial garantir que todos os clients, especialmente os clients SMB, estejam usando o Kerberos como método de autenticação antes de habilitar o Hardening em qualquer cluster que esteja executando o OneFS 9.5 ou mais recente.

Para clients SMB, você pode verificar se algum client conectado no momento está usando NTLM executando o seguinte comando:
isi_for_array -sX 'isi smb sessions list'

Se algum client conectado atualmente estiver listado no formato de domain\username, eles estão usando a autenticação NTLM.

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

 

Se algum client conectado atualmente estiver listado no formato de username@domain.com, eles estão usando a autenticação Kerberos (KRB).

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

 

Para obter mais informações sobre a autenticação Kerberos (KRB) para clients SMB, consulte este recurso

Affected Products

Isilon, PowerScale
Article Properties
Article Number: 000274777
Article Type: Solution
Last Modified: 14 Feb 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.