PowerScale: OneFS: Autenticazione selettiva: ERROR_AUTHENTICATION_FIREWALL_FAILED
Resumen: L'autenticazione ha esito negativo a causa dell'autenticazione selettiva con l'errore: ERROR_AUTHENTICATION_FIREWALL_FAILED
Síntomas
Quando si tenta di eseguire query sugli oggetti Active Directory da un dominio trusted, un cluster PowerScale in un dominio trusting genera un errore. Ciò potrebbe comportare l'impossibilità di aggiungere object utente ad autorizzazioni di condivisione, ACL e così via.
Nei log lsass vengono visualizzate le seguenti voci:
lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)
Questo errore può essere visualizzato durante l'esecuzione del comando isi auth mapping token per l'oggetto utente nel dominio attendibile:
# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user
Questo errore viene visualizzato nell'esempio di aggiunta di un oggetto utente per condividere le autorizzazioni:
# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'
Le acquisizioni dei pacchetti vengono visualizzate come segue:
347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839
Questo problema si verifica in seguito all'abilitazione dell'autenticazione selettiva sui trust AD. L'autenticazione selettiva è una funzione in base alla quale l'amministratore di dominio può gestire i trust in modo granulare.
I trust possono essere verificati come segue:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN
Mancia: Netdom fornisce l'output migliore per risolvere questo problema.
Causa
L'autenticazione selettiva è abilitata sui trust pertinenti negli oggetti Active Directory Domains e Trusts. La funzionalità è descritta in dettaglio negli articoli seguenti:
Considerazioni sulla sicurezza per i trust:
https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx
Configurazione delle impostazioni di autenticazione selettiva:
https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx
Resolución
Aggiungere l'utente o il gruppo in questione all'autorizzazione Autorizzato ad autenticare per l'oggetto cluster o rimuovere l'autenticazione selettiva in base agli articoli della KB riportati di seguito:
A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)https://support.microsoft.com/en-us/kb/2959395
Concedere l'autorizzazione "Autorizzato all'autenticazione" per i computer nel dominio o nella foresta trusting:
https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx