Dell Unity: Gli utenti di un dominio affidabile non possono accedere al server NAS Unity (correggibile dall'utente)

spb:/cores/service/user# svc_cifssupport dan -pdcdump

dan : commands processed: 1
command(s) succeeded
output is complete

1660184568: SMB: 6: Dump DC for dom='CATEST' OrdNum=0
1660184568: SMB: 6: Domain=CATEST Next trusted domains update in 642 seconds
1660184568: SMB: 6:  oldestDC:DomCnt=0,2 Time=Thu Aug 11 02:17:18 2022

1660184568: SMB: 6:  Trusted domain info from DC='DC-1' (258 seconds ago)
1660184568: SMB: 6:   Trusted domain:trust.local [TRUST]
   GUID:00000000-0000-0000-0000-000000000000
1660184568: SMB: 6:    Flags=0x22 Ix=0 Type=0x2 Attr=0x8
1660184568: SMB: 6:    SID=S-1-5-15-dda732ea-ea90ce96-61bcbf65
1660184568: SMB: 6:    DC='-'
1660184568: SMB: 6:    Status Flags=0x0 DCStatus=0x547,0
>DC=DC0x0004e9bd18 DC-1[CATEST](10.10.100.100) ref=4 time(dns)=143 ms LastUpdt=Thu Aug 11 02:17:18 2022
    KrbAccount=DAN$@CATEST.LOCAL Status=OK lifetime:34788 seconds credUsage=0x1
     AccCred=0x0010089f08,0x001010c408 Buf=0x00063e3f58 L=2582 Flags=0x7
    Pid=0000 Tid=0001 Uid=500004000071 SMB=0x210
    Cnx=SUCCESS,DC request succeeded
    logon=SecureChannelOK 1 SecureChannel(s):
     [DAN] Fid=0x14000000a4 CallID=0x14 NLFlags=0x4107414d SessionKey:AES authV:[PRIVACY,sign:HMAC_SHA256,seal:AES128] Status=SUCCESS/SecureChannelOK
    Capa=0x0 MxBufSz=0xffff MawRwSz=0xffff Nego=0x0000000000,L=0 Chal=0x0000000000,L=0,W2kFlags=0x3f3fd
    refCount=4 newElectedDC=0x0000000000 forceInvalid=0
    Discovered from: DNS

Command succeeded

2022/08/10-02:34:41.193175    2     7F3E68B41700     sade:SMB: 6:[dan]  authenticate trust\administrator S=22 SamLogonInvalidReply
2022/08/10-02:34:41.193182    2     7F3E68B41700     sade:SMB: 6:[dan]  authLogon=SamLogonInvalidReply Es=0x0
Em=AUTHENTICATION_FIREWALL_FAILED U='administrator' D='trust'
2022/08/10-02:34:41.193194    5     7F3E68B41700     sade:SMB: 6:[dan]  2SMB470 SamLogon[0] DC=DC-1 'DC authn error' NTstatus=AUTHENTICATION_FIREWALL_FAILED LogonSt

/nas/bin/.server_config  -v "logsys set severity SMB=LOG_DBG3"

/nas/bin/.server_config  -v "logsys set severity SMB=LOG_PRINTF"

L'autenticazione selettiva è un'impostazione di sicurezza che può essere impostata sui trust più interconnessi. Fornisce agli amministratori di Active Directory che gestiscono una foresta basata sull'attendibilità un maggiore controllo su quali gruppi di utenti in una foresta affidabile possono accedere alle risorse condivise in una foresta basata sull'attendibilità. Questo maggiore controllo è particolarmente importante quando gli amministratori devono concedere l'accesso alle risorse condivise nella foresta della propria organizzazione a un set limitato di utenti situati nella foresta di un'altra organizzazione, perché la creazione di un trust esterno o di foresta fornisce un percorso per tutte le richieste di autenticazione per spostarsi tra le due aree.

Sebbene questa azione di per sé non causi necessariamente una minaccia a una foresta, poiché tutte le comunicazioni protette si verificano nel percorso, un trust esterno o una foresta espone una superficie più ampia ad attacchi da parte di qualsiasi utente dannoso situato in una foresta affidabile. L'autenticazione selettiva consente di ridurre al minimo questa area esposta, consentendo agli amministratori di Active Directory di concedere una nuova autorizzazione di autenticazione, agli oggetti computer nel dominio delle risorse, per account utente specifici situati nella foresta di un'altra organizzazione.

- Esistono due soluzioni: il cliente può scegliere una di queste due soluzioni in base alle proprie esigenze ambientali. 

1. Disabilitare l'"autenticazione selettiva" nella configurazione dell'attendibilità del dominio. 

Abilitare l'autenticazione selettiva su un trust esterno: Trust di domini e foresta | Microsoft Learn

2. Concedere agli utenti nel dominio attendibile l'autorizzazione "Allowed to Authenticate". 

Concedere l'autorizzazione Consentita per autenticare i computer nel dominio o nella foresta attendibile | Microsoft Learn