PowerScale: NTLM-autentisering inaktiveras när klustret körs i FIPS-kompatibelt läge efter OneFS 9.5

Summary: Från OneFS 9.5 och framåt inaktiveras NTLM-autentisering när klustret körs i FIPS-kompatibelt läge (härdning).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

I enlighet med strängare FIPS-krav kommer aktivering av härdning på ett PowerScale-kluster som kör OneFS 9.5 eller senare att resultera i inaktivering av NTLM-autentisering. Den här funktionen kan inte återaktiveras eftersom icke-NTLM-autentisering är ett krav för FIPS-efterlevnad i version 9.5 och senare. Därför kommer endast Kerberos-autentisering (KRB) att vara tillgänglig. Den här ändringen påverkar främst SMB-klienter, men kan påverka alla klienter som använder NTLM-autentisering. Om klienter inte har konfigurerats för Kerberos-autentisering innan härdning aktiveras kommer de att uppleva dataotillgänglighet (DU) eftersom de inte kan autentisera till klustret med NTLM.

Cause

Från och med version 9.5 annonserar klustret inte längre gss-ntlm som autentiseringsmetod om härdning är aktiverat. Den här ändringen är avsiktlig och beror på de strängare säkerhetskraven för FIPS. Klustret annonserar endastgss-krb5 som den tillgängliga autentiseringsmetoden.

Resolution

Det är viktigt att se till att alla klienter, särskilt SMB-klienter, använder Kerberos som autentiseringsmetod innan du aktiverar härdning på kluster som kör OneFS 9.5 eller senare.

För SMB-klienter kan du kontrollera om några anslutna klienter använder NTLM genom att köra följande kommando:
isi_for_array -sX 'isi smb sessions list'

Om några anslutna klienter visas i formatet domain\usernameanvänder de NTLM-autentisering.

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

 

Om några anslutna klienter visas i formatet username@domain.comanvänder de Kerberos-autentisering (KRB).

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

 

Mer information om Kerberos-autentisering (KRB) för SMB-klienter finns i den här resursen

Affected Products

Isilon, PowerScale
Article Properties
Article Number: 000274777
Article Type: Solution
Last Modified: 14 Feb 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.