PowerScale: OneFS 9.5'ten sonra küme FIPS uyumlu modda çalışırken NTLM kimlik doğrulaması devre dışı bırakılır

Summary: OneFS 9.5'ten itibaren, küme FIPS uyumlu (Sağlamlaştırma) modda çalışırken NTLM kimlik doğrulaması devre dışı bırakılır.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Daha katı FIPS gereksinimleriyle uyumlu olarak, OneFS 9.5 veya sonraki bir sürümü çalıştıran bir PowerScale kümesinde Sağlamlaştırmanın etkinleştirilmesi, NTLM kimlik doğrulamasının devre dışı bırakılmasıyla sonuçlanır. 9.5 ve sonraki sürümlerde FIPS uyumluluğu için NTLM dışı kimlik doğrulama bir gereklilik olduğundan bu özellik yeniden etkinleştirilemez. Sonuç olarak, yalnızca Kerberos (KRB) kimlik doğrulaması kullanılabilir. Bu değişiklik öncelikle SMB istemcilerini etkiler, ancak NTLM kimlik doğrulaması kullanan tüm istemcileri etkileyebilir. İstemciler Sağlamlaştırmayı etkinleştirmeden önce Kerberos kimlik doğrulaması için yapılandırılmamışsa NTLM kullanarak kümede kimlik doğrulaması yapamayacakları için Veri Noksanlığı (DU) ile karşılaşırlar.

Cause

9.5 ve sonraki sürümlerde, Sağlamlaştırma etkinse küme artık gss-ntlm'yi bir kimlik doğrulama yöntemi olarak tanıtmaz. Bu değişiklik kasıtlıdır ve FIPS için daha sıkı güvenlik gereksinimleri nedeniyle yapılır. Küme, kullanılabilir kimlik doğrulama yöntemi olarak yalnızcagss-krb5'i tanıtır.

Resolution

OneFS 9.5 veya üzeri sürümleri çalıştıran herhangi bir kümede Sağlamlaştırmayı etkinleştirmeden önce tüm istemcilerin, özellikle de SMB istemcilerinin kimlik doğrulama yöntemi olarak Kerberos'u kullandığından emin olmak çok önemlidir.

SMB istemcileri için aşağıdaki komutu çalıştırarak şu anda bağlı olan istemcilerin NTLM kullanıp kullanmadığını kontrol edin:
isi_for_array -sX 'isi smb sessions list'

Şu anda bağlı olan istemciler şu biçimde listeleniyorsa: domain\username, NTLM kimlik doğrulaması kullanıyorlar.

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

 

Şu anda bağlı olan istemciler şu biçimde listeleniyorsa: username@domain.comKerberos (KRB) kimlik doğrulaması kullanıyorlar.

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

 

SMB istemcileri için Kerberos (KRB) kimlik doğrulaması hakkında daha fazla bilgi için lütfen bu kaynağa bakın

Affected Products

Isilon, PowerScale
Article Properties
Article Number: 000274777
Article Type: Solution
Last Modified: 14 Feb 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.