PowerScale：在 OneFS 9.5 之后，当群集在符合 FIPS 的模式下运行时，NTLM 身份验证处于禁用状态

根据更严格的 FIPS 要求，在运行 OneFS 9.5 或更高版本的 PowerScale 群集上启用强化将导致禁用 NTLM 身份验证。无法重新启用此功能，因为在版本 9.5 及更高版本中，非 NTLM 身份验证是 FIPS 合规性的要求。因此，只有 Kerberos （KRB） 身份验证可用。此更改主要影响 SMB 客户端，但也可能影响任何使用 NTLM 身份验证的客户端。如果在启用强化之前未将客户端配置为进行 Kerberos 身份验证，它们将遇到数据不可用 （DU），因为它们无法使用 NTLM 向群集进行身份验证。

从版本 9.5 开始，如果启用了强化，群集将不再将 gss-ntlm 通告为身份验证方法。此更改是故意的，是由于 FIPS 的安全要求更加严格。群集将仅 通告 gss-krb5 作为可用的身份验证方法。

在任何运行 OneFS 9.5 或更高版本的群集上启用强化之前，务必确保所有客户端（尤其是 SMB 客户端）都使用 Kerberos 作为其身份验证方法。

对于 SMB 客户端，您可以通过运行以下命令检查是否有任何当前连接的客户端正在使用 NTLM：
isi_for_array -sX 'isi smb sessions list'

如果任何当前连接的客户端以 domain\username，则它们使用的是 NTLM 身份验证。

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

如果任何当前连接的客户端以 username@domain.com，则它们使用的是 Kerberos （KRB） 身份验证。

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

有关 SMB 客户端的 Kerberos （KRB） 身份验证的详细信息，请参阅此资源