PowerScale: OneFS: Використання команди PowerScale OneFS isi_auth_expert для управління питаннями автентифікації

Не обов'язково

Не обов'язково

Вступ

Адміністратори можуть запускати isi_auth_expert команду для перевірки середовища автентифікації кластера PowerScale OneFS. Це допомагає забезпечити правильну конфігурацію та виявити умови, які можуть спричиняти затримку доступу до даних через проблеми з автентифікацією даних.

The isi_auth_expert Command виконує низку тестів, включно з мережевою та портовою з'єднанням, затримкою, зв'язуванням і тактовим зсувом. Ці результати можна використати для ізоляції проблемної конфігурації або мережевого шляху, що спричиняє проблеми з доступом до даних.

Окремі особи можуть захотіти застосувати цей інструмент:

• Коли існуючі або нові користувачі відчувають затримку під час підключення до спільного ресурсу або їх просять ввести облікові дані для входу при доступі до даних
• Коли кластер повідомляє про події, пов'язані зі статусом офлайн-режиму Active Directory або Lightweight Directory Access Protocol (LDAP)
• Після зміни налаштування провайдера автентифікації
• Після змін конфігурації мережеві шляхи між кластером і його провайдерами автентифікації впливають

Інструкції

Щоб керувати isi_auth_expert Командуйте, зробіть наступне:

isi_auth_expert

Окремі особи також можуть виконати команду з однією або кількома опціями, наведеними в таблиці нижче:
 

Опція	Пояснення
-h, --help	Покажіть синтаксис цієї команди
-h, --debug	Відображення налагоджувальних повідомлень
-v, --verbose	Увімкніть багатослівний (більш надійний) вихід
--no-color	Вимкніть кольоровий вихід

Приклад результату:

wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.

Реалізовані тести

Під час бігу isi_auth_expert Виконуються такі перевірки:

Перевірки процесу

Цей тест підтверджує, що процеси, пов'язані з автентифікацією (lsass, lwio та netlogon), працюють. Якщо будь-який із процесів не виконується, повертається помилка.

Active Directory

Наступний розділ описує тести, які isi_auth_expert команда виконується для кожного провайдера Active Directory (AD).

• Перевірте підключення
  контролера домену Визначте, чи має кластер базове мережеве підключення принаймні до одного контролера домену (DC) у домені AD.

Перевірте
порти постійного струмуПереконайтеся, що для кожного DC кластер може підключатися до портів, пов'язаних з AD, і чи приймають ці порти.
 

Порт	Пояснення	Використання AD	Тип трафіку
88	Порт 88 використовується для трафіку автентифікації Kerberos.	Автентифікація користувачів і комп'ютерів, довіри на рівні лісу	Керберос
139	Порт 139 використовується для трафіку NetBIOS та NetLogon.	Аутентифікація користувача та комп'ютера, реплікація	DFSN, NetBIOS Session Service, NetLogon
389	Порт 389 використовується для LDAP-запитів.	Каталог, реплікація, автентифікація користувачів і комп'ютерів, групова політика, довірчі права	LDAP
445	Порт 445 використовується для реплікації.	Реплікація, автентифікація користувача та комп'ютера, групова політика, довіри.	SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268	Порт 3268 використовується для глобальних запитів каталогу LDAP. (використовується, якщо глобальний каталог у провайдері AD увімкнений)	Каталог, реплікація, автентифікація користувачів і комп'ютерів, групова політика, довірчі права	LDAP GC

LDAP

Наступний розділ описує тести, які isi_auth_expert виконує команду для кожного провайдера LDAP.

Підключення LDAP

• Перевірте підключення до LDAP-сервера, зробивши анонімне LDAP-bind і перевіривши результати.

Підтримка перелічених об'єктів LDAP

• Переконайтеся, що кожен LDAP-сервер підтримує перелічені об'єкти, перевіривши підтримувані елементи керування на серверах LDAP. OneFS вимагає або сторінкових елементів контролю результатів, або як віртуального перегляду списку, так і серверного сортування.

Validate configured base-dn

• Виконайте тестовий запит до налаштованого base-dn, щоб забезпечити сумісність конфігурації з LDAP-сервером.

Validate configured user-base-dn

• Виконайте тестовий запит до налаштованого user-base-dn, щоб забезпечити сумісність конфігурації з LDAP-сервером.

Validate configured group-base-dn

• Виконайте тестовий запит до налаштованого group-base-dn, щоб забезпечити сумісність конфігурації з LDAP-сервером.

Інші перевірки та параметри в OneFS 7.2.1.5 та пізніших версіях

Наступні перевірки були додані в OneFS 7.2.1.5.

• Active Directory

  • Перевірка затримки контролера домену
  • Тактовий зсув і перевірка затримки
  • Перевірка глобального каталогу для користувачів (SFU)
• LDAP - Перевірка користувачів
• Kerberos — Ім'я принципалу сервісу (SPN) перевіряє зони та псевдоніми SmartConnect

The isi_auth_expert Команда може обчислювати два типи затримок: Затримка пінгу та LDAP для всіх контролерів домену. Якщо зсув на годиннику менше п'яти хвилин, команда повертається: "Між провайдером AD і твоєю машиною мінімальний або взагалі немає розриву."

Також були додані такі параметри.
 

Опція	Пояснення
--ldap-user	Перевіряє провайдера LDAP для конкретного користувача
--sfu-user	Перевіряє Глобальний каталог Active Directory для вказаного користувача
--admin-creds	Надайте необхідні облікові дані для перевірки Глобального каталогу Active Directory.

Перевірка атрибутів користувача LDAP

Щоб запустити перевірку атрибутів користувача LDAP, потрібно виконати isi_auth_expert командування з --ldap-user=<user> параметр, де <користувач> — це користувач, який ви хочете перевірити. Ім'я користувача має бути у формі «просте ім'я», щоб пошук працював. Перевірка атрибутів користувача LDAP підключається до сервера LDAP і звертається до нього для вказаного користувача. Потім ми можемо перевірити результати запиту, щоб переконатися, що користувач має всі необхідні атрибути для автентифікації в будь-якому домені.

Перевірка SFU Глобального каталогу Active Directory

Глобальний каталожний сервер — це контролер домену, який містить інформацію про пов'язаний домен та всі інші домени в лісі. Як і LDAP-сервер, глобальний каталог містить список даних, пов'язаних із доменом, який він контролює, а також часткову копію даних, отриманих від інших контролерів домену. Якщо він не містить усіх даних, які доменні контролери діляться, можуть виникнути проблеми з автентифікацією.

Щоб запустити перевірку Active Directory Global Catalog SFU, потрібно виконати isi_auth_expert командування з --sfu-user=<user> та --admin-creds="[('<Domain>', '<User>', '<password>')]" параметри, де <користувач> — це користувач SFU, якого потрібно перевірити, а "[('<Domain>', '<User>', '<password>')]" — це облікові дані isi_auth_expert команда повинна забезпечити виконання пошуку в Глобальному каталозі в контролері домену. Маємо таке обмеження при перевірці глобального каталогу: Ви повинні надати адміністративні документи.

Перевірка імені головного сервера (SPN)

SPN можуть спричинити помилки автентифікації, якщо їх немає при приєднанні до провайдера Kerberos або якщо ви зміните назву зони SmartConnect. The isi_auth_expert команда визначає, чи відсутні SPN, застарілі або неправильні. Ця функція працює автоматично щоразу, коли isi_auth_expert Командування виконано.

Ця функція використовується для перевірки відсутніх SPN як у провайдерів Kerberos, так і в зонах SmartConnect. Команда збирає всі SPN, пов'язані з провайдерами та зонами SmartConnect, і забезпечує наявність необхідних SPN.

Якщо ви використовуєте псевдоніми SmartConnect, він також перевіряє ці псевдоніми. Ви можете скористатися isi auth ads spn або isi auth krb5 spn команди для списку, перевірки або виправлення зафіксованих відсутніх SPN.