Шкала потужності: Аутентифікація NTLM вимкнена, коли кластер працює в FIPS-сумісному режимі, після OneFS 9.5

Summary: Починаючи з OneFS 9.5, аутентифікація NTLM вимкнена, коли кластер працює в режимі FIPS-сумісного (Hardening).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Відповідно до більш жорстких вимог FIPS увімкнення Hardening на кластері PowerScale під керуванням OneFS 9.5 або новішої версії призведе до вимкнення автентифікації NTLM. Цю функцію не можна ввімкнути повторно, оскільки автентифікація без NTLM є обов'язковою умовою для відповідності FIPS у версіях 9.5 і новіших. Отже, буде доступна лише автентифікація Kerberos (KRB). Ця зміна в першу чергу стосується клієнтів малого та середнього бізнесу, але може вплинути на будь-яких клієнтів, які використовують автентифікацію NTLM. Якщо клієнти не налаштовані на автентифікацію Kerberos перед увімкненням Hardening, вони зіткнуться з недоступністю даних (DU), оскільки вони не зможуть автентифікуватися в кластері за допомогою NTLM.

Cause

Починаючи з версії 9.5, кластер більше не рекламуватиме gss-ntlm як метод аутентифікації, якщо увімкнено Hardening. Ця зміна є навмисною та пов'язана з більш суворими вимогами до безпеки FIPS. Кластер рекламуватиме gss-krb5 лише як доступний метод розпізнавання.

Resolution

Важливо переконатися, що всі клієнти, особливо клієнти SMB, використовують Kerberos як метод автентифікації, перш ніж вмикати Hardening на будь-якому кластері під керуванням OneFS 9.5 або новішої версії.

Для клієнтів SMB ви можете перевірити, чи використовують NTLM клієнти, які зараз підключені, виконавши наступну команду:
isi_for_array -sX 'isi smb sessions list'

Якщо будь-які з підключених на даний момент клієнтів перераховані у форматі domain\username, вони використовують аутентифікацію NTLM.

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

 

Якщо будь-які з підключених на даний момент клієнтів перераховані у форматі username@domain.com, вони використовують автентифікацію Kerberos (KRB).

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

 

Щоб отримати додаткові відомості про автентифікацію Kerberos (KRB) для клієнтів SMB, зверніться до цього ресурсу

Affected Products

Isilon, PowerScale
Article Properties
Article Number: 000274777
Article Type: Solution
Last Modified: 14 Feb 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.