PowerScale : ulkoisten luottamussuhteen käyttäjien todennus klusteriin ei onnistu, kun RFC2307 on käytössä.
概要: Active Directory -todennuksen tarjoaja lisätään klusteriin ja RFC2307 on käytössä. Tämän palveluntarjoajan kautta opittuja ulkoisia luottamushenkilöitä ei voi todentaa klusteriin. Tämän toimialueen käyttäjien luetteloinnin tai tarkastelun yrittäminen epäonnistuu. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
Active Directory -todennuksen tarjoaja lisätään klusteriin ja RFC2307 on käytössä.
Tämän palveluntarjoajan kautta opittuja ulkoisia luottamushenkilöitä ei voi todentaa klusteriin.
Myös tämän toimialueen käyttäjien luetteloinnin tai tarkastelun yrittäminen epäonnistuu.
Voit varmistaa, että ongelma ilmenee, tarkistamalla seuraavat seikat.
1. Active Directory -todennuksen tarjoaja on RFC2307 käytössä:
Kaksisuuntainen ulkoinen:
3. Toimialue, jota ongelma koskee, on merkitty ohitukseksi /var/log/lsassd.log-lokissa virheenkorjauksen monisanaisuuden alapuolella käyttäjän haun yhteydessä:
Tämän palveluntarjoajan kautta opittuja ulkoisia luottamushenkilöitä ei voi todentaa klusteriin.
Myös tämän toimialueen käyttäjien luetteloinnin tai tarkastelun yrittäminen epäonnistuu.
Voit varmistaa, että ongelma ilmenee, tarkistamalla seuraavat seikat.
1. Active Directory -todennuksen tarjoaja on RFC2307 käytössä:
prod-2# isi auth ads list -v
Name: DOMAIN.COM
Machine Account: PROD$
Authentication: Yes
Groupnet: groupnet0
Status: online
Primary Domain: DOMAIN.COM
Forest: domain.com
Site: Default-First-Site-Name
NetBIOS Domain: DOMAIN
Hostname: prod.domain.com
Controller Time: 2023-06-16T10:14:06
Node DC Affinity: -
Node DC Affinity Timeout: -
NSS Enumeration: No
SFU Support: rfc2307
Store SFU Mappings: No
Ignore All Trusts: No
Ignored Trusted Domains: -
Include Trusted Domains: -
Extra Expected SPNs: -
Domain Offline Alerts: No
LDAP Sign And Seal: No
Lookup Users: Yes
Lookup Normalize Users: Yes
Allocate UIDs: Yes
Lookup Normalize Groups: Yes
Allocate GIDs: Yes
Lookup Domains: -
Lookup Groups: Yes
Assume Default Domain: No
Check Online Interval: 5m
Machine Password Changes: Yes
Machine Password Lifespan: 4W2D
Create Home Directory: No
Home Directory Template: /ifs/home/%D/%U
Unfindable Groups: -
Unfindable Users: -
Findable Groups: -
Findable Users: -
Restrict Findable: No
RPC Call Timeout: 1m
Server Retry Limit: 5
Login Shell: /bin/zsh
Creator Zone: System
2. Käyttäjien luottamuksen on oltava klusterin kannalta ulkoinen. Tämä on sekä kaksisuuntaista että kaksisuuntaista.
Yksisuuntainen ulkoinen:
[Domain: DEV] DNS Domain: dev.com Netbios name: dev Forest name: Trustee DNS name: DOMAIN.COM Client site name: Domain SID: S-1-5-21-586728154-3739561872-3933139605 Domain GUID: 00000000-0000-0000-0000-000000000000 Trust Flags: [0x0002] [0x0002 - Outbound] Trust type: Up Level Trust Attributes: [0x0004] [0x0004 - Filter SIDs] Trust Direction: Oneway Trust Trust Mode: External Trust (ET) Domain flags: [0x0000]
Kaksisuuntainen ulkoinen:
[Domain: DEV] DNS Domain: dev.com Netbios name: dev Forest name: Trustee DNS name: DOMAIN.COM Client site name: Domain SID: S-1-5-21-586728154-3739561872-3933139605 Domain GUID: 00000000-0000-0000-0000-000000000000 Trust Flags: [0x0022] [0x0002 - Outbound] [0x0020 - Inbound] Trust type: Up Level Trust Attributes: [0x0004] [0x0004 - Filter SIDs] Trust Direction: Twoway Trust Trust Mode: External Trust (ET) Domain flags: [0x0000]
3. Toimialue, jota ongelma koskee, on merkitty ohitukseksi /var/log/lsassd.log-lokissa virheenkorjauksen monisanaisuuden alapuolella käyttäjän haun yhteydessä:
2023-06-16T10:15:25.878038+00:00 prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:File_FindUserObjectByName():lsass/server/auth-providers/file-provider/fpuser.c:224: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878347+00:00 prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaIsi_FindDomainByName():lsass/server/api/isiutil.c:4816: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878452+00:00 prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:AD_FindObjects():lsass/server/auth-providers/ad-open-provider/provider-main.c:6453: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878521+00:00 prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaSrvIsLocalDomain():lsass/server/api/provider.c:243: Error code: 40017 (symbol: LW_ERROR_NOT_HANDLED)
2023-06-16T10:15:25.878581+00:00 prod-2(id2) lsass[2798]: [lsass] DEBUG:0x803c3f810:LsaAdBatchCreateDomainEntry():lsass/server/auth-providers/ad-open-provider/batch.c:398: Trusted domain dev.com' is marked skip
原因
Kun RFC2307 on käytössä, tarvitaan seuraavat:
Kun luotettujen toimialueiden yleinen luettelo on käytettävissä sillä palveluntarjoajalla, jonka kautta klusteri oppii luottamussuhteet. Siksi se voi etsiä määritteitä, kuten UID tai GID.
Ulkoisessa luottamussuhteessa siihen ei ole lupaa, joten todennus epäonnistuu.
Kun luotettujen toimialueiden yleinen luettelo on käytettävissä sillä palveluntarjoajalla, jonka kautta klusteri oppii luottamussuhteet. Siksi se voi etsiä määritteitä, kuten UID tai GID.
Ulkoisessa luottamussuhteessa siihen ei ole lupaa, joten todennus epäonnistuu.
解決方法
OneFS 8.1.2 :een on lisätty gconfig , jonka avulla käyttäjät voivat tehdä todennuksen klusteriin ulkoisilla luotetuilla toimialueilla, joissa RFC2307 on otettu käyttöön.
Jos kyseessä on kaksisuuntainen ulkoinen luottamus, klustereissa on oltava vähintään OneFS-versio 8.1.2. Lisäksi seuraavat gconfig-asetukset on otettava käyttöön:
registry.Services.lsass.Parameters.AdditionalFlags
Se voidaan tehdä seuraavasti:
isi_gconfig registry.Services.lsass.Parameters.AdditionalFlags=1
Jos kyseessä on yksisuuntainen ulkoinen luottamus, klustereissa on oltava vähintään OneFS 9.5.0.4 ja edellä mainittu gconfig on otettava käyttöön.
対象製品
PowerScale OneFS文書のプロパティ
文書番号: 000215063
文書の種類: Solution
最終更新: 26 11月 2024
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。