Highlighted
m.w
3 Silver

Isilon SPN自動登録無効化

解決策を見る

お世話になります。

IsilonがADに参加する際に、SmartConnectZone名が設定されているとその名前のSPNが自動的に
ADに登録されるかと思いますが、この自動登録を無効にする事は可能でしょうか?

というのも、Isilonをマルチドメイン環境で利用する場合に後から参加するドメインに意図しない不要な
SPNが登録されるためです。

AD側から手動で削除する事も可能ではありますが、可能であれば最初から登録されないようにする
方法は無いかと思い質問させて頂きました。

ラベル(3)
0 件の賞賛
1 件の受理された解決策

受理された解決策
モデレーター
モデレーター

Re: Isilon SPN自動登録無効化

解決策を見る

m.wさん

残念ながらSPN登録のADへの自動登録を無効にすることは出来ないようです。

どこにもそのような方法は記載がありませんでしたし、KB336420 - OneFS: Service Principal Names for Kerberos Authenticationにも登録されるSPNの重複が発生してしまう問題が以下のように書かれているのですが、それをIsilonから解決するワークアラウンド(例えば今回探しているSPNの自動登録を行わない等)の方法が書かれていないということはやはり出来ないのでしょう。。

When joining multiple AD domains on a single cluster, existing SmartConnect zones at the time of joining will be added for EACH AD provider, and may result in duplicate SPNs registered between the two domains.

0 件の賞賛
2件の返信2
モデレーター
モデレーター

Re: Isilon SPN自動登録無効化

解決策を見る

m.wさん

残念ながらSPN登録のADへの自動登録を無効にすることは出来ないようです。

どこにもそのような方法は記載がありませんでしたし、KB336420 - OneFS: Service Principal Names for Kerberos Authenticationにも登録されるSPNの重複が発生してしまう問題が以下のように書かれているのですが、それをIsilonから解決するワークアラウンド(例えば今回探しているSPNの自動登録を行わない等)の方法が書かれていないということはやはり出来ないのでしょう。。

When joining multiple AD domains on a single cluster, existing SmartConnect zones at the time of joining will be added for EACH AD provider, and may result in duplicate SPNs registered between the two domains.

0 件の賞賛
m.w
3 Silver

Re: Isilon SPN自動登録無効化

解決策を見る

Uehara Y.さん

 

ご回答有難うございます。
やはりSPNの自動登録無効化は出来なそうなのですね。

色々と実際に検証しており、仕様通りなのかどうかが不明ですが、どうやら自動登録されるのはデフォルトで存在しているgroupnet0に所属する形で設定されたSC Zone名だけで、追加で作成したgroupnet配下に設定した名前はドメイン参加時に自動で登録されない動きをしています。
ただ、isi auth ads spn checkコマンドでSPNの不足をチェックする事も出来なそうに見えています。
ちなみにOneFSのバージョンはv8.0.0.5で確認しています。

マルチドメイン環境での利用が想定される場合は初めからgroupnet0以外を利用するのが良さそうですね。

0 件の賞賛