PowerScale: OneFS: 선택적 인증: ERROR_AUTHENTICATION_FIREWALL_FAILED

신뢰할 수 있는 도메인에서 Active Directory 개체를 쿼리하려고 하면 신뢰할 수 있는 도메인의 PowerScale Cluster에서 오류가 발생합니다. 이로 인해 공유 권한, ACL 등에 사용자 개체를 추가하지 못할 수 있습니다.

lsass 로그에 다음 항목이 나타납니다.

lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)

이 오류는 신뢰할 수 있는 도메인의 사용자 오브젝트에 대해 isi auth mapping token 명령을 실행하는 동안 나타날 수 있습니다.

# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user

이 오류는 사용 권한을 공유하기 위해 사용자 개체를 추가하는 예제에 나타납니다.
 

# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'

패킷 캡처는 다음과 같이 표시됩니다.
 

347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839

이 문제는 AD 트러스트에서 선택적 인증을 사용하도록 설정한 결과로 발생합니다. 선택적 인증은 도메인 관리자가 세분화된 방식으로 트러스트를 관리할 수 있는 기능입니다.

신탁은 다음과 같이 확인할 수 있습니다.

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN

팁: Netdom은 이 문제를 해결하기 위한 최상의 출력을 제공합니다.

선택적 인증은 Active Directory 도메인 및 트러스트 개체의 관련 트러스트에서 사용하도록 설정됩니다. 이 기능은 아래 문서에 자세히 설명되어 있습니다.

트러스트에 대한 보안 고려 사항:

https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx

선택적 인증 설정 구성:

https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx

클러스터 개체에 대한 인증 권한 허용에 해당 사용자 또는 그룹을 추가하거나 아래 KB당 선택적 인증을 제거합니다.

A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)

https://support.microsoft.com/en-us/kb/2959395

트러스팅 도메인 또는 포리스트의 컴퓨터에 "인증 허용" 권한을 부여합니다.

https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx