PowerScale OneFS: Po pokusu o připojení ke stejné doméně se ztratí poskytovatel služby Active Directory

Po provedení připojení ke službě AD se stejným názvem poskytovatele služby AD, ke kterému je cluster již připojen, může dojít ke ztrátě zprostředkovatele. Správcům se může zobrazit chyba související s pokusem o připojení, i když tato chyba se může lišit v závislosti na příčině.

V níže uvedeném příkladu reprodukujeme problém s poskytovatelem TESTDOMAIN.LOCAL použitím nesprávného účtu k usnadnění připojení.

Výstupy z isi auth status a isi auth ads list -v Před spuštěním příkazu ukažte, že je zprostředkovatel přítomen:

corebuddy-1# isi auth status
ID                                            Active Server                Status
----------------------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.LOCAL winserv2019.testdomain.local online
lsa-activedirectory-provider:DOMAIN2.LOCAL    domain2DC1.domain2.local     online
lsa-local-provider:System                     -                            active
lsa-local-provider:test                       -                            active
lsa-local-provider:domain2                    -                            active
lsa-file-provider:System                      -                            active
----------------------------------------------------------------------------------
Total: 6

corebuddy-1# isi auth ads list -v | grep -i testdomain
                     Name: TESTDOMAIN.LOCAL
           Primary Domain: TESTDOMAIN.LOCAL
                   Forest: testdomain.local
           NetBIOS Domain: TESTDOMAIN
                 Hostname: corebuddy.testdomain.local

Níže spustíme příkaz. Všimněte si, že je uvedeno nesprávné uživatelské jméno (v našem příkladu jsme místo účtu správce použili název skupiny "Administrators"):

corebuddy-1# isi auth ads create --name=TESTDOMAIN.LOCAL --user=administrators
password:
Failed to join domain 'TESTDOMAIN.LOCAL' account 'corebuddy' user 'administrators@TESTDOMAIN.LOCAL': (LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN) Client not found in Kerberos database

Nyní chybí poskytovatel. Ve webovém uživatelském rozhraní se to může zobrazit jako bez stylu, ale v rozhraní příkazového řádku to není ve výstupu pro isi auth status.

orebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Vzhledem k tomu, že stav ověřování isi může ukazovat, že zprostředkovatel chybí z jiných důvodů, musíme to dále ověřit. Příkaz isi auth ads list -v nezobrazí žádný výstup, který by odpovídal zprostředkovateli TESTDOMAIN.LOCAL uvedené níže. To znamená, že konfigurace neobsahuje žádné položky, které by odpovídaly chybějící doméně.

corebuddy-1# isi auth ads list -v |grep -i test
corebuddy-1#

V protokolech služby LSASS se při spuštění počátečního příkazu zobrazují podobné chyby:

2024-06-11T21:25:21.298318+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328378 (Message: Client 'administrators@TESTDOMAIN.LOCAL' not found in Kerberos database)
2024-06-11T21:25:21.299207+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [lsass] Error occurred while joining domain: Error code: 41737 (symbol: LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)

Výše uvedený scénář není omezen na použití nesprávných přihlašovacích údajů. Pokud existuje nějaká podmínka, která by způsobila selhání připojení k poskytovateli služby AD, pak selhání způsobí odstranění zprostředkovatele. Pokud se například stejný název účtu počítače používá jinde v rámci doménové struktury nebo v důvěryhodné doméně, způsobí to selhání. Jediným rozdílem může být poskytnutá chyba.

Při provádění připojení služby AD k již připojené doméně má přítomnost podmínek, které by způsobily selhání, za následek odstranění poskytovatele služby AD. Jedná se o záměrné chování, jelikož systém OneFS to považuje za pokus o opětovné připojení. Když dojde k selhání, odstraní se všechny související konfigurace s tímto zadaným zprostředkovatelem ověřování.

corebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Názvy zprostředkovatelů ověřování jsou globální, takže mít dva zprostředkovatele se stejným názvem se nepodporuje. Pokud nejsou k dispozici žádné další nevyřešené podmínky, které by bránily operaci připojení, problém vyřeší opětovné připojení k doméně.

Pokud existuje požadavek na připojení stejného poskytovatele domény AD se samostatnými účty počítačů, měla by se použít funkce vytváření více instancí. To je podrobně popsáno v části "Zone-specific authentication providers" v příručkách pro správu systému OneFS. Nezapomeňte, že znovu připojený zprostředkovatel služby AD musí být přidán zpět do všech přístupových zón, které ho dříve měly, aby bylo možné obnovit přístup.

Dokumentaci k vaší verzi systému OneFS naleznete v článku Informační centra k systému PowerScale OneFS .