Пользователь root не может войти в WebUI/CLI в версии 8.x, если установлен домен по умолчанию
Résumé: Дублирование пользователя root в домене вызывает проблемы со входом в кластер через веб-интерфейс пользователя и интерфейс командной строки.
Symptômes
При входе в кластер с помощью веб-интерфейса пользователя или интерфейса командной строки происходит сбой с ошибкой пароля.
Это относится к OneFS 8.x, если в домене имеется дублирующийся пользователь (например, root).
Вы по-прежнему можете войти в систему, используя домен unix_users:
UNIX_USERS\root
Убедитесь, что в рассматриваемом домене установлен домен по умолчанию:
#isi auth ads view --provider-name=<domain> --verbose | grep "Assume Default Domain"
Assume Default Domain: Yes
Cause
Если задан домен по умолчанию, OneFS сначала обратится к домену, чтобы аутентифицировать локального пользователя. В данном случае мы используем root. Если пользователь существует в домене, OneFS попытается аутентифицировать пользователя через домен.
Если учетная запись отключена, то при попытке входа вы увидите ошибку.
Résolution
В версии 8.x можно добавить необнаруживаемых пользователей на любой контроллер домена с помощью следующей команды:
# isi auth ads modify --provider-name=<domain> --add-unfindable-users=<list of users we don't want found(to include domain name and FQDN) --restrict-findable=yes
Чтобы убедиться, что настройки выполнены, снова запустите представление auth:
# isi auth ads view --provider-name=<domain> --verbose
--you are looking for this output:
Unfindable Users: <FQDN>\root, <Domain>\root, 0, root
Findable Groups: -
Findable Users: -
Restrict Findable: Yes
Для того, чтобы кластер гарантированно отфильтровывал необнаруживаемых пользователей, необходимо включить ограничение обнаружимого доступа.