Dell Unity : Les utilisateurs du domaine de confiance ne peuvent pas accéder au serveur NAS Unity (corrigible par l’utilisateur)
Résumé: Les utilisateurs du domaine de confiance ne peuvent pas accéder au serveur NAS Unity avec l’authentification sélective activée dans la configuration de confiance du domaine. Lorsque l’authentification sélective est activée, les utilisateurs d’un domaine de confiance ne peuvent accéder au serveur NAS que s’ils disposent d’une autorisation spéciale. ...
Symptômes
- Les informations sur le domaine de confiance sont disponibles dans le vidage pdc du serveur CIFS.
spb:/cores/service/user# svc_cifssupport dan -pdcdump
dan : commands processed: 1
command(s) succeeded
output is complete
1660184568: SMB: 6: Dump DC for dom='CATEST' OrdNum=0
1660184568: SMB: 6: Domain=CATEST Next trusted domains update in 642 seconds
1660184568: SMB: 6: oldestDC:DomCnt=0,2 Time=Thu Aug 11 02:17:18 2022
1660184568: SMB: 6: Trusted domain info from DC='DC-1' (258 seconds ago)
1660184568: SMB: 6: Trusted domain:trust.local [TRUST]
GUID:00000000-0000-0000-0000-000000000000
1660184568: SMB: 6: Flags=0x22 Ix=0 Type=0x2 Attr=0x8
1660184568: SMB: 6: SID=S-1-5-15-dda732ea-ea90ce96-61bcbf65
1660184568: SMB: 6: DC='-'
1660184568: SMB: 6: Status Flags=0x0 DCStatus=0x547,0
>DC=DC0x0004e9bd18 DC-1[CATEST](10.10.100.100) ref=4 time(dns)=143 ms LastUpdt=Thu Aug 11 02:17:18 2022
KrbAccount=DAN$@CATEST.LOCAL Status=OK lifetime:34788 seconds credUsage=0x1
AccCred=0x0010089f08,0x001010c408 Buf=0x00063e3f58 L=2582 Flags=0x7
Pid=0000 Tid=0001 Uid=500004000071 SMB=0x210
Cnx=SUCCESS,DC request succeeded
logon=SecureChannelOK 1 SecureChannel(s):
[DAN] Fid=0x14000000a4 CallID=0x14 NLFlags=0x4107414d SessionKey:AES authV:[PRIVACY,sign:HMAC_SHA256,seal:AES128] Status=SUCCESS/SecureChannelOK
Capa=0x0 MxBufSz=0xffff MawRwSz=0xffff Nego=0x0000000000,L=0 Chal=0x0000000000,L=0,W2kFlags=0x3f3fd
refCount=4 newElectedDC=0x0000000000 forceInvalid=0
Discovered from: DNS
Command succeeded
À partir de /EMC/C4Core/log/c4_safe_ktrace.log, la demande SamLogon échouait avec l’erreur « AUTHENTICATION_FIREWALL_FAILED ».
2022/08/10-02:34:41.193175 2 7F3E68B41700 sade:SMB: 6:[dan] authenticate trust\administrator S=22 SamLogonInvalidReply 2022/08/10-02:34:41.193182 2 7F3E68B41700 sade:SMB: 6:[dan] authLogon=SamLogonInvalidReply Es=0x0 Em=AUTHENTICATION_FIREWALL_FAILED U='administrator' D='trust' 2022/08/10-02:34:41.193194 5 7F3E68B41700 sade:SMB: 6:[dan] 2SMB470 SamLogon[0] DC=DC-1 'DC authn error' NTstatus=AUTHENTICATION_FIREWALL_FAILED LogonSt
- Veuillez noter que l’erreur SamLogon ne sera visible dans ktrace que lorsque le journal de débogage est activé.
Commande pour activer le journal de débogage :
/nas/bin/.server_config <nas server> -v "logsys set severity SMB=LOG_DBG3"
Commande pour désactiver le journal de débogage :
/nas/bin/.server_config <nas server> -v "logsys set severity SMB=LOG_PRINTF"
Cause
- Pour plus d’informations, consultez les articles Microsoft :
Considérations relatives à la sécurité pour les fiducies : Fiducies de domaines et de forêts | Microsoft Learn
L’authentification sélective est un paramètre de sécurité qui peut être défini sur les approbations interforestiers. Elle offre aux administrateurs Active Directory qui gèrent une forêt de confiance plus de contrôle sur les groupes d’utilisateurs d’une forêt de confiance qui peuvent accéder aux ressources partagées d’une forêt de confiance. Ce contrôle accru est particulièrement important lorsque les administrateurs doivent accorder l’accès aux ressources partagées dans la forêt de leur organisation à un ensemble limité d’utilisateurs situés dans la forêt d’une autre organisation, car la création d’une approbation de forêt ou externe fournit un chemin pour toutes les demandes d’authentification entre les forêts.
Bien que cette action en elle-même ne constitue pas nécessairement une menace pour l’une ou l’autre forêt, car toutes les communications sécurisées se produisent sur le chemin, une approbation externe ou forestière expose une plus grande surface aux attaques de tout utilisateur malveillant situé dans une forêt de confiance. L’authentification sélective permet de minimiser cette zone d’exposition en permettant aux administrateurs Active Directory d’accorder une nouvelle autorisation d’authentification aux objets d’ordinateur du domaine de ressources pour des comptes d’utilisateur spécifiques situés dans la forêt d’une autre organisation.
Résolution
- Il existe deux solutions, le client peut choisir l’une d’entre elles en fonction de ses besoins en matière d’environnement.
1. Désactivez « l’authentification sélective » dans la configuration de confiance de domaine.
Activez l’authentification sélective sur une confiance externe : Fiducies de domaines et de forêts | Microsoft Learn
2. Accordez aux utilisateurs d’un domaine de confiance l’autorisation « Autorisé à s’authentifier ».
Accorder l’autorisation Autorisé à s’authentifier sur les ordinateurs du domaine ou de la forêt d’approbation | Microsoft Learn