PowerScale: OneFS: Autenticação seletiva: ERROR_AUTHENTICATION_FIREWALL_FAILED
Resumen: A autenticação falha devido à autenticação seletiva com o erro: ERROR_AUTHENTICATION_FIREWALL_FAILED
Síntomas
Ao tentar consultar objetos do Active Directory a partir de um domínio confiável, um cluster do PowerScale em um domínio confiável produz um erro. Isso pode resultar na impossibilidade de adicionar objetos de usuário a permissões de compartilhamento, ACLs etc.
As seguintes entradas são exibidas nos logs do lsass:
lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)
Esse erro pode aparecer durante a execução do comando, token de mapeamento isi auth para o objeto de usuário no domínio confiável:
# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user
Esse erro é exibido no exemplo de adição de um objeto de usuário às permissões de compartilhamento:
# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'
As capturas de pacotes mostram o seguinte:
347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839
Esse problema ocorre como resultado da habilitação da autenticação seletiva nas relações de confiança do AD. A autenticação seletiva é um recurso pelo qual o administrador do domínio pode gerenciar relações de confiança de forma granular.
As relações de confiança podem ser verificadas da seguinte maneira:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN
Ponta: O Netdom fornece a melhor saída para solucionar esse problema.
Causa
A autenticação seletiva é habilitada nas relações de confiança relevantes nos objetos de Domínios e Relações de Confiança do Active Directory. O recurso é descrito em detalhes nos artigos abaixo:
Considerações de segurança para relações de confiança:
https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx
Definindo configurações de autenticação seletiva:
https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx
Resolución
Adicione o usuário ou grupo em questão à permissão Allowed to Authenticate para o objeto de cluster ou remova a autenticação seletiva por kb abaixo:
A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)https://support.microsoft.com/en-us/kb/2959395
Conceda a permissão "Permitir autenticação" em computadores no domínio confiável ou na floresta:
https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx