Isilon: Kimlik doğrulama sorunlarını yönetmek için PowerScale OneFS isi_auth_expert komutunu kullanma

Gerekli değil

Gerekli değil

Giriş

Yöneticiler isi_auth_expert PowerScale OneFS kümesinin kimlik doğrulama ortamını inceleme komutu. Bu, doğru şekilde yapılandırıldığından emin olunmasına ve kimlik doğrulama sorunlarının bir sonucu olarak veri erişim gecikmesine neden olabilecek koşulların belirlenmesine yardımcı olabilir.

bu isi_auth_expert komutu; ağ ve bağlantı noktası bağlantısı ve gecikme süresi, bağlama ve saat çarpıklığı dahil olmak üzere bir dizi test çalıştırır. Bu sonuçlar, veri erişim sorunlarına neden olan sorunlu bir yapılandırmayı veya ağ yolunu izole etmek için kullanılabilir.

Kişiler bu aracı çalıştırmak isteyebilir:

• Mevcut veya yeni kullanıcılar bir paylaşıma bağlanırken gecikme yaşadığında veya verilere erişirken oturum açma kimlik bilgilerini girmeleri istendiğinde
• Küme, Active Directory veya Basit Dizin Erişim Protokolü (LDAP) çevrimdışı durumuyla ilgili olayları bildirirken
• Kimlik doğrulama sağlayıcısı kurulumunu değiştirdikten sonra
• Yapılandırma değişiklikleri bir küme ile kimlik doğrulama sağlayıcıları arasındaki ağ yollarını etkiledikten sonra

Talimatlar

Çalıştırmak için isi_auth_expert komutunu kullanıyorsanız aşağıdakileri yapın:

isi_auth_expert

Kişiler komutu aşağıdaki tabloda listelenen seçeneklerden bir veya daha fazlasıyla da çalıştırabilir:
 

Seçenek	Açıklama
-h, --help	Bu komutun söz dizimini göster
-h, --debug	Hata ayıklama mesajlarını görüntüleme
-v, --verbose	Ayrıntılı (daha sağlam) çıktıyı etkinleştir
--no-color	Renkli çıktıyı devre dışı bırak

Örnek çıktı:

wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.

Uygulanan testler

Koşarken isi_auth_expert komutunu kullanıyorsanız aşağıdaki kontroller gerçekleştirilir:

Süreç kontrolleri

Bu test, kimlik doğrulamayla ilgili işlemlerin (lsass, lwio ve netlogon) çalıştığını onaylar. İşlemlerden herhangi biri çalışmıyorsa, bir hata döndürülür.

Active Directory

Aşağıdaki bölümde, isi_auth_expert komutu her Active Directory (AD) sağlayıcısı için gerçekleştirilir.

• Etki Alanı Denetleyicisi bağlantısını
  kontrol etme Kümenin AD etki alanındaki en az bir etki alanı denetleyicisine (DC) temel ağ bağlantısı olup olmadığını belirleyin.

DC bağlantı noktalarını
kontrol edinHer DC için kümenin AD ile ilgili bağlantı noktalarına bağlanabildiğini ve bağlantı noktalarının bağlantı kabul ettiğini doğrulayın.
 

Port (Bağlantı Noktası)	Açıklama	AD Kullanımı	Trafik Tipi
88	88 numaralı bağlantı noktası, Kerberos kimlik doğrulama trafiği için kullanılır.	Kullanıcı ve Bilgisayar Kimlik Doğrulaması, Orman Düzeyinde Güvenler	Kerberos
139	139 numaralı bağlantı noktası, NetBIOS ve NetLogon trafiği için kullanılır.	Kullanıcı ve Bilgisayar Kimlik Doğrulaması, Çoğaltma	DFSN, NetBIOS Oturum Hizmeti, NetLogon
389	389 numaralı bağlantı noktası, LDAP sorguları için kullanılır.	Dizin, Çoğaltma, Kullanıcı ve Bilgisayar Kimlik Doğrulaması, Grup İlkesi, Güvenler	LDAP
445	Çoğaltma için bağlantı noktası 445 kullanılır.	Çoğaltma, Kullanıcı ve Bilgisayar Kimlik Doğrulaması, Grup İlkesi, Güvenler.	SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268	3268 numaralı bağlantı noktası, genel katalog LDAP sorguları için kullanılır. (AD sağlayıcısındaki genel katalog etkinse kullanılır)	Dizin, Çoğaltma, Kullanıcı ve Bilgisayar Kimlik Doğrulaması, Grup İlkesi, Güvenler	LDAP GC

LDAP

Aşağıdaki bölümde, isi_auth_expert komutu her LDAP sağlayıcısı için gerçekleştirir.

LDAP bağlantısı

• Anonim bir LDAP bağlaması yaparak ve sonuçları kontrol ederek LDAP sunucusu bağlantısını kontrol edin.

LDAP numaralandırılmış nesne desteği

• LDAP sunucularının desteklediği denetimleri denetleyerek her LDAP sunucusunun numaralandırılmış nesneleri desteklediğini doğrulayın. OneFS, sayfalanmış sonuç denetimlerini veya hem sanal liste görünümünü hem de sunucu tarafı sıralama denetimlerini gerektirir.

Yapılandırılmış base-dn'yi doğrulama

• LDAP sunucusuyla yapılandırma uyumluluğu olduğundan emin olmak için yapılandırılmış base-dn'de bir test sorgusu gerçekleştirin.

Yapılandırılmış user-base-dn'yi doğrulayın

• LDAP sunucusuyla yapılandırma uyumluluğundan emin olmak için yapılandırılmış user-base-dn'ye karşı bir test sorgusu gerçekleştirin.

Yapılandırılmış group-base-dn yi doğrulayın.

• LDAP sunucusuyla yapılandırma uyumluluğu sağlamak için yapılandırılmış group-base-dn'de bir test sorgusu gerçekleştirin.

OneFS 7.2.1.5 ve sonraki sürümlerdeki diğer kontroller ve parametreler

OneFS 7.2.1.5'e aşağıdaki kontroller eklenmiştir.

• Active Directory

  • Etki alanı denetleyicisi gecikme denetimi
  • Saat Sapması ve gecikme kontrolü
  • Kullanıcı (SFU) denetimi için Genel Katalog hizmeti
• LDAP - Kullanıcı denetimi
• Kerberos - SmartConnect bölgeleri ve diğer adları için Hizmet Ana Adı (SPN) denetimleri

cd-key isi_auth_expert Komutu iki tür gecikmeyi hesaplayabilir: Tüm etki alanı denetleyicileri için ping gecikme süresi ve LDAP gecikme süresi. Saat sapması beş dakikadan azsa komut şunu döndürür: AD sağlayıcısı ile makineniz arasında çok az fark var veya hiç fark yok."

Aşağıdaki parametreler de eklendi.
 

Seçenek	Açıklama
--ldap-user	Belirli bir kullanıcı için LDAP sağlayıcısını kontrol eder
--sfu-user	Belirtilen kullanıcı için Active Directory Genel Kataloğunu kontrol eder
--admin-creds	Active Directory Genel Kataloğunu kontrol ederken gereken kimlik bilgilerini girin.

LDAP kullanıcı özniteliği denetimi

LDAP kullanıcı özniteliği denetimini çalıştırmak için isi_auth_expert komutu ile --ldap-user=<user> parametresini kullanın, burada <kullanıcı> kontrol etmek istediğiniz kullanıcıdır. Aramanın çalışması için kullanıcı adının "düz ad" biçiminde olması gerekir. LDAP kullanıcı özniteliği denetimi, bir LDAP sunucusuna bağlanır ve belirtilen kullanıcı için bu sunucuyu sorgular. Ardından, kullanıcının herhangi bir etki alanında kimlik doğrulaması için gerekli tüm gerekli özniteliklere sahip olduğundan emin olmak için sorgunun sonuçlarını kontrol edebiliriz.

Active Directory Genel Katalog SFU denetimi

Genel katalog sunucusu, ilişkili olduğu etki alanı ve ormandaki diğer tüm etki alanları hakkında bilgi içeren bir etki alanı denetleyicisidir. LDAP sunucusu gibi, genel katalog da diğer etki alanı denetleyicilerinden aldığı verilerin kısmi bir kopyasına ek olarak, denetlediği etki alanıyla ilişkili verilerin bir listesine sahiptir. Etki alanı denetleyicilerinin paylaştığı tüm veriler içermiyorsa kimlik doğrulama sorunları olabilir.

Active Directory Genel Katalog SFU denetimini çalıştırmak için isi_auth_expert komutu ile --sfu-user=<user> ve --admin-creds="[('<Domain>', '<User>', '<password>')]" parametreler, burada <kullanıcı> kontrol etmek istediğiniz SFU kullanıcısıdır ve "[('<Etki Alanı>', 'Kullanıcı>', '<<parola>')]" kimlik bilgileridir. isi_auth_expert komutu, etki alanı denetleyicisinde Genel Katalog araması gerçekleştirmek için sağlanmalıdır. Genel kataloğu kontrol ederken aşağıdaki sınırlamayla karşılaşırız: Yönetici kimlik bilgilerini sağlamanız gerekir.

Sunucu asıl adı (SPN) denetimi

SPN'ler, bir Kerberos sağlayıcısına katıldığınızda veya bir SmartConnect bölgesinin adını değiştirdiğinizde mevcut değilse kimlik doğrulama hatalarına neden olabilir. cd-key isi_auth_expert komutu, SPN'lerin eksik, eski veya yanlış olup olmadığını belirler. Bu özellik, her zaman otomatik olarak çalışır. isi_auth_expert komutu çalıştırılır.

Bu özellik, hem Kerberos sağlayıcılarında hem de SmartConnect bölgelerinde eksik SPN'leri kontrol etmek için kullanılır. Komut, sağlayıcılar ve SmartConnect bölgeleriyle ilişkili tüm SPN'leri toplar ve gerekli SPN'lerin mevcut olduğundan emin olur.

SmartConnect diğer adlarını kullanıyorsanız bu diğer adları da kontrol eder. Kullanabilirsiniz isi auth ads spn veya isi auth krb5 spn Bildirilen eksik SPN'leri listeleme, kontrol etme veya düzeltme komutları.