PowerScale : OneFS : Authentification sélective : ERROR_AUTHENTICATION_FIREWALL_FAILED

Lorsque vous tentez d’interroger des objets Active Directory à partir d’un domaine de confiance, un cluster PowerScale dans un domaine de confiance génère une erreur. Cela peut entraîner l’impossibilité d’ajouter des objets utilisateur aux autorisations de partage, aux ACL, etc.

Les entrées suivantes apparaissent dans les logs lsass :

lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)

Cette erreur peut s’afficher lors de l’exécution de la commande, isi auth mapping token pour l’objet utilisateur dans le domaine de confiance :

# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user

Cette erreur s’affiche dans l’exemple d’ajout d’un objet utilisateur pour partager des autorisations :
 

# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'

Les captures de paquets se présentent comme suit :
 

347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839

Ce problème se produit lorsque l’authentification sélective est activée sur les approbations AD. L’authentification sélective est une fonctionnalité qui permet à l’administrateur de domaine de gérer les approbations de manière granulaire.

Les fiducies peuvent être vérifiées comme suit :

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11) ?redirected from=MSDN

Pointe: Netdom fournit la meilleure sortie pour résoudre ce problème.

L’authentification sélective est activée sur les approbations pertinentes dans les objets Domaines et approbations Active Directory. Cette fonctionnalité est décrite en détail dans les articles ci-dessous :

Considérations relatives à la sécurité pour les fiducies :

https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx

Configuration des paramètres d’authentification sélective :

https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx

Ajoutez l’utilisateur ou le groupe en question à Autorisé à authentifier l’autorisation pour l’objet de cluster, ou supprimez l’authentification sélective par Ko ci-dessous :

A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)

https://support.microsoft.com/en-us/kb/2959395

Accordez l’autorisation « Autorisé à s’authentifier » sur les ordinateurs du domaine ou de la forêt d’approbation :

https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx