PowerScale:在 OneFS 9.5 之後,當叢集以 FIPS 相容模式執行時,NTLM 驗證會停用
Summary: 從 OneFS 9.5 版起,當叢集以 FIPS 相容 (強化) 模式運作時,NTLM 驗證便會停用。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
根據更嚴格的 FIPS 要求,在執行 OneFS 9.5 或更新版本的 PowerScale 叢集上啟用強化將會停用 NTLM 驗證。無法重新啟用此功能,因為在版本 9.5 及更高版本中,FIPS 合規性需要非 NTLM 身份驗證。因此,將只有 Kerberos (KRB) 身份驗證可用。此更改主要影響SMB用戶端,但可能會影響使用NTLM身份驗證的任何用戶端。如果用戶端在啟用強化之前未針對 Kerberos 身份驗證進行配置,它們將遇到數據不可用 (DU),因為它們將無法使用 NTLM 向群集進行身份驗證。
Cause
從版本 9.5 開始,如果啟用了強化,群集將不再通告 gss-ntlm 作為身份驗證方法。此更改是有意為之,並且由於對 FIPS 的安全要求更加嚴格。集群只會 通告 gss-krb5 作為可用的身份驗證方法。
Resolution
在執行 OneFS 9.5 或更新版本的任何叢集上啟用強化之前,請務必確定所有用戶端 (尤其是 SMB 用戶端) 都使用 Kerberos 作為其驗證方法。
對於 SMB 用戶端,可以通過執行以下命令來檢查是否有任何當前連接的用戶端正在使用 NTLM:isi_for_array -sX 'isi smb sessions list'
如果目前已連線的任何用戶端會以下列格式列出: domain\username,他們使用NTLM身份驗證。
MyCluster-6: Lnn Computer User
MyCluster-6: --------------------------------------
MyCluster-6: 6 10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1
如果目前已連線的任何用戶端會以下列格式列出: username@domain.com,他們使用的是 Kerberos (KRB) 身份驗證。
MyCluster-6: Lnn Computer User
MyCluster-6: ------------------------------------------
MyCluster-6: 6 10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1
如需有關 SMB 用戶端 Kerberos (KRB) 驗證的詳細資訊,請參閱此資源
Affected Products
Isilon, PowerScaleArticle Properties
Article Number: 000274777
Article Type: Solution
Last Modified: 14 Feb 2025
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.