Data Domain. Пользователи Active Directory не могут администрировать Data Domain через SSH или Enterprise Manager

Пользователи, принадлежащие к тому же основному домену Active Directory, что и Data Domain, или доверенному домену в том же лесу, не могут получить доступ к системе через SSH или через Enterprise Manager, если глобальный каталог для корневого домена леса находится в автономном режиме или недоступен из Data Domain.

 

Первое, что необходимо проверить, — это проверить, предоставлено ли пользователям с учетной записью Active Directory разрешение на доступ к системе Data Domain по протоколу SSH.

Это достигается выполнением команды: # Добавить аутентификацию AdminAccess CIFS

Если после выполнения указанной выше команды пользователи не могут войти в систему, это может быть обусловлено тем, что глобальный каталог для корневого домена леса находится в автономном режиме или недоступен (за межсетевым экраном) из системы Data Domain.

В номенклатуре Active Directory лес — это набор доменов, которые доверяют друг другу. Глобальный каталог — это сервер контроллера домена, который поддерживает частичную, доступную только для чтения копию каждого домена в лесу и используется, среди прочего, для универсального группового хранения и обработки входов в систему. 

С другой стороны, первый домен, который развертывается в лесу Active Directory, называется корневым доменом леса.

Этот домен остается корневым доменом леса в течение жизненного цикла развертывания доменных служб Active Directory. Корневой домен леса содержит группы «Корпоративные администраторы» и «Администраторы схем». 

Причина, по которой Data Domain пытается связаться с глобальным каталогом для корневого домена леса, заключается в том, чтобы включить в маркеры пользователей сведения о членстве в универсальных группах.

 

Если обращение к серверу глобального каталога корневого домена леса из Data Domain является проблемой и не необходимо учитывать членство в универсальных группах, в DD OS 5.7.4 и DD OS 6.0.1 есть параметр, который отменяет требование запрашивать глобальный каталог корневого домена леса.

Доступна следующая возможность:

 # cifs option set global-catalog-query-disable true
 
Затем вы можете убедиться, что параметр задан правильно, с помощью команд:

# cifs option show
 
После добавления параметра необходимо перезапустить cifs с помощью команды #
 
cifs restart force
 

Эта проблема рассматривается в примечаниях к выпуску DD OS 5.7.4.0 здесь 165968

В этом выпуске добавлен параметр, позволяющий избежать запроса глобального каталога во время проверки подлинности пользователей. В противном случае проверка подлинности пользователей Active Directory может завершиться сбоем, если сервер глобального каталога корневого домена леса находится в автономном режиме