PowerScale. После OneFS 9.5 аутентификация NTLM отключена, когда кластер работает в FIPS-совместимом режиме.

Summary: Начиная с OneFS 9.5, проверка подлинности NTLM отключена, когда кластер работает в FIPS-совместимом режиме (усиление защиты).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

В соответствии с более строгими требованиями FIPS включение усиления безопасности в кластере PowerScale с OneFS 9.5 или более поздней версии приведет к отключению аутентификации NTLM. Эту функцию нельзя включить повторно, так как для соблюдения стандарта FIPS в версиях 9.5 и более поздних версиях требуется аутентификация без NTLM. Следовательно, будет доступна только аутентификация Kerberos (KRB). Это изменение в первую очередь касается клиентов SMB, но может затронуть и любые клиенты, использующие аутентификацию NTLM. Если клиенты не настроены для аутентификации по протоколу Kerberos до включения усиления, они будут испытывать недоступность данных (DU), поскольку не смогут аутентифицироваться в кластере с помощью NTLM.

Cause

Начиная с версии 9.5 кластер больше не будет объявлять gss-ntlm в качестве метода аутентификации, если включена защита. Это изменение сделано намеренно и обусловлено ужесточением требований безопасности для FIPS. Кластер будет объявлять толькоgss-krb5 в качестве доступного метода аутентификации.

Resolution

Очень важно убедиться, что все клиенты, особенно клиенты SMB, используют Kerberos в качестве метода аутентификации, прежде чем включать усиление защиты в любом кластере под управлением OneFS 9.5 или более поздней версии.

Для клиентов SMB можно проверить, используют ли какие-либо подключенные в данный момент клиенты NTLM, выполнив следующую команду:
isi_for_array -sX 'isi smb sessions list'

Если какие-либо подключенные в данный момент клиенты будут перечислены в формате domain\username, они используют аутентификацию NTLM.

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

 

Если какие-либо подключенные в данный момент клиенты будут перечислены в формате username@domain.com, они используют аутентификацию Kerberos (KRB).

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

 

Дополнительные сведения об аутентификации Kerberos (KRB) для клиентов SMB см. в этом материале

Affected Products

Isilon, PowerScale
Article Properties
Article Number: 000274777
Article Type: Solution
Last Modified: 14 Feb 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.