PowerScale - RFC2307 활성화된 경우 외부 트러스트의 사용자가 클러스터에 인증할 수 없습니다.

概要: Active Directory 인증 공급자가 클러스터에 추가되고 RFC2307 활성화됩니다. 이 공급자를 통해 학습된 단방향 외부 트러스트의 사용자는 클러스터에 인증할 수 없습니다. 이 도메인에서 사용자를 나열하거나 보려면 실패합니다.

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

Active Directory 인증 공급자가 클러스터에 추가되고 RFC2307 활성화됩니다.

이 공급자를 통해 학습된 단방향 외부 트러스트의 사용자는 클러스터에 인증할 수 없습니다.

이 도메인에서 사용자를 나열하거나 보려고 하면 실패합니다.

이 문제가 있는지 확인하려면 다음을 확인하십시오.

1. Active Directory 인증 공급자가 RFC2307 활성화되어 있습니다.
  
prod-2# isi auth ads list -v
                     Name: DOMAIN.COM
          Machine Account: PROD$
           Authentication: Yes
                 Groupnet: groupnet0

                   Status: online
           Primary Domain: DOMAIN.COM
                   Forest: domain.com
                     Site: Default-First-Site-Name
           NetBIOS Domain: DOMAIN
                 Hostname: prod.domain.com
          Controller Time: 2023-06-16T10:14:06
         Node DC Affinity: -
 Node DC Affinity Timeout: -

          NSS Enumeration: No
              SFU Support: rfc2307
       Store SFU Mappings: No

        Ignore All Trusts: No
  Ignored Trusted Domains: -
  Include Trusted Domains: -
      Extra Expected SPNs: -
    Domain Offline Alerts: No
       LDAP Sign And Seal: No

             Lookup Users: Yes
   Lookup Normalize Users: Yes
            Allocate UIDs: Yes
  Lookup Normalize Groups: Yes
            Allocate GIDs: Yes
           Lookup Domains: -
            Lookup Groups: Yes

    Assume Default Domain: No
    Check Online Interval: 5m
 Machine Password Changes: Yes
Machine Password Lifespan: 4W2D
    Create Home Directory: No
  Home Directory Template: /ifs/home/%D/%U
        Unfindable Groups: -
         Unfindable Users: -
          Findable Groups: -
           Findable Users: -
        Restrict Findable: No
         RPC Call Timeout: 1m
       Server Retry Limit: 5
              Login Shell: /bin/zsh
             Creator Zone: System


2. 영향을 받는 사용자의 신뢰는 클러스터 관점에서 외부에 있어야 합니다. 이는 단방향 및 양방향 신뢰 모두에 적합합니다.
 

단방향 외부:

        [Domain: DEV]

                DNS Domain:       dev.com
                Netbios name:     dev
                Forest name:
                Trustee DNS name: DOMAIN.COM
                Client site name:
                Domain SID:       S-1-5-21-586728154-3739561872-3933139605
                Domain GUID:      00000000-0000-0000-0000-000000000000
                Trust Flags:      [0x0002]
                                  [0x0002 - Outbound]
                Trust type:       Up Level
                Trust Attributes: [0x0004]
                                  [0x0004 - Filter SIDs]
                Trust Direction:  Oneway Trust
                Trust Mode:       External Trust (ET)
                Domain flags:     [0x0000]

양방향 외부: 
        [Domain: DEV]

                DNS Domain:       dev.com
                Netbios name:     dev
                Forest name:
                Trustee DNS name: DOMAIN.COM
                Client site name:
                Domain SID:       S-1-5-21-586728154-3739561872-3933139605
                Domain GUID:      00000000-0000-0000-0000-000000000000
                Trust Flags:      [0x0022]
                                  [0x0002 - Outbound]
                                  [0x0020 - Inbound]
                Trust type:       Up Level
                Trust Attributes: [0x0004]
                                  [0x0004 - Filter SIDs]
                Trust Direction:  Twoway Trust
                Trust Mode:       External Trust (ET)
                Domain flags:     [0x0000]

3. 사용자 조회를 수행할 때 영향을 받는 도메인은 /var/log/lsassd.log 에서 디버그 세부 정보 아래에 "건너뛰기로 표시"됩니다.
  
2023-06-16T10:15:25.878038+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:File_FindUserObjectByName():lsass/server/auth-providers/file-provider/fpuser.c:224: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878347+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaIsi_FindDomainByName():lsass/server/api/isiutil.c:4816: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878452+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:AD_FindObjects():lsass/server/auth-providers/ad-open-provider/provider-main.c:6453: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878521+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaSrvIsLocalDomain():lsass/server/api/provider.c:243: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878581+00:00  prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaAdBatchCreateDomainEntry():lsass/server/auth-providers/ad-open-provider/batch.c:398: Trusted domain dev.com' is marked skip

原因

RFC2307 활성화된 경우 다음이 필요합니다.

클러스터가 트러스트를 학습하는 공급업체에서는 신뢰할 수 있는 도메인의 글로벌 카탈로그에 액세스할 수 있어야 합니다. 이렇게 하면 UID 또는 GID와 같은 속성을 찾을 수 있습니다.

외부 신뢰 유형 관계에는 이 작업을 수행할 수 있는 권한이 없으므로 인증이 실패합니다.

解決方法

RFC2307 활성화된 외부 신뢰할 수 있는 도메인의 사용자가 클러스터에 인증할 수 있도록 OneFS 8.1.2에 gconfig 가 추가되었습니다.

양방향 외부 트러스트의 경우 클러스터가 OneFS 버전 8.1.2 이상 버전을 실행해야 합니다. 또한 다음 gconfig 를 활성화해야 합니다.

registry.Services.lsass.Parameters.AdditionalFlags

이 설정은 다음과 같이 설정할 수 있습니다.

isi_gconfig registry.Services.lsass.Parameters.AdditionalFlags=1

단방향 외부 트러스트의 경우 클러스터가 OneFS 9.5.0.4 이상에서 실행되어야 하며 위의 gconfig 를 활성화해야 합니다.

 

対象製品

PowerScale OneFS
文書のプロパティ
文書番号: 000215063
文書の種類: Solution
最終更新: 26 11月 2024
バージョン:  5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。