Isilon: Como usar o comando isi_auth_expert do PowerScale OneFS para gerenciar problemas de autenticação
Summary: Este artigo explica como usar o comando isi_auth_expert do Isilon OneFS para gerenciar a autenticação.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Não obrigatório
Cause
Não obrigatório
Resolution
Introdução
Os administradores podem executar oisi_auth_expert para examinar o ambiente de autenticação de um cluster do PowerScale OneFS. Isso pode ajudar a garantir que ele esteja configurado corretamente e a identificar condições que podem estar causando latência de acesso aos dados como resultado de problemas de autenticação.
O
isi_auth_expert O comando executa uma série de testes, inclusive conectividade de rede e porta, latência, vinculação e distorção do relógio. Esses resultados podem ser usados para isolar uma configuração ou um caminho de rede problemático que esteja causando problemas de acesso aos dados.
Os indivíduos podem querer executar esta ferramenta:
- Quando usuários novos ou existentes experimentam latência ao se conectar a um compartilhamento ou são solicitados a inserir credenciais de login ao acessar dados
- Quando o cluster está relatando eventos relacionados ao status off-line do Active Directory ou LDAP (Lightweight Directory Access Protocol)
- Depois de modificar a configuração do provedor de autenticação
- Depois que as alterações de configuração afetaram os caminhos de rede entre um cluster e seus provedores de autenticação
Nota: Novas verificações e parâmetros foram adicionados ao
isi_auth_expert no OneFS 7.2.1.5. Consulte a seção Verificações e parâmetros adicionais do OneFS 7.2.1.5 e posteriores deste artigo para obter mais informações.
Instruções
Para executar o isi_auth_expert e faça o seguinte:
isi_auth_expertOs indivíduos também podem executar o comando com uma ou mais das opções listadas na tabela abaixo:
| Opção | Explicação |
-h, --help |
Mostrar a sintaxe desse comando |
-h, --debug |
Exibir mensagens de depuração |
-v, --verbose |
Habilitar saída detalhada (mais robusta) |
--no-color |
Desativar saída colorida |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
Testes implementados
Durante a execução isi_auth_expert , as seguintes verificações são realizadas:
Verificações do processo
Esse teste confirma que os processos relacionados à autenticação (lsass, lwio e netlogon) estão em execução. Se algum dos processos não estiver em execução, um erro será exibido.
Active Directory
A seção a seguir descreve os testes que o isi_auth_expert comando executado para cada provedor do Active Directory (AD).
-
Verificar a conectividade
do controlador de domínio Determine se o cluster tem conectividade de rede básica com pelo menos um controlador de domínio (DC) no domínio do AD.
Verifique as portas
CCVerifique se, para cada DC, o cluster pode se conectar às portas relacionadas ao AD e se as portas estão aceitando conexões.
| Porta | Explicação | Uso do AD | Tipo de tráfego |
|---|---|---|---|
| 88 | A porta 88 é usada para tráfego de autenticação Kerberos. | Autenticação de usuário e computador, relações de confiança em nível de floresta | Kerberos |
| 139 | A porta 139 é usada para tráfego NetBIOS e NetLogon. | Autenticação de usuário e computador, replicação | DFSN, Serviço de sessão NetBIOS, NetLogon |
| 389 | A porta 389 é usada para consultas LDAP. | Diretório, replicação, autenticação de usuário e computador, política de grupo, relações de confiança | LDAP |
| 445 | A porta 445 é usada para replicação. | Replicação, Autenticação de Usuário e Computador, Diretiva de Grupo, Relações de Confiança. | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| 3268 | A porta 3268 é usada para consultas LDAP de catálogo global. (usado se o catálogo global no provedor do AD estiver habilitado) | Diretório, replicação, autenticação de usuário e computador, política de grupo, relações de confiança | LDAP GC |
LDAP
A seção a seguir descreve os testes que o isi_auth_expert O comando é executado para cada provedor de LDAP.
Conectividade LDAP
- Verifique a conectividade do servidor LDAP fazendo uma associação LDAP anônima e verificando os resultados.
Suporte a objetos enumerados LDAP
- Confirme se cada servidor LDAP oferece suporte a objetos enumerados verificando os controles compatíveis dos servidores LDAP. O OneFS exige os controles de resultados paginados ou a exibição em lista virtual e os controles de classificação no servidor.
Validar o DN de base configurado
- Execute uma consulta de teste no DN base configurado para garantir a compatibilidade de configuração com o servidor LDAP.
Validar user-base-dn configurado
- Execute uma consulta de teste no user-base-dn configurado para garantir a compatibilidade de configuração com o servidor LDAP.
Validar group-base-dn configurado
- Execute uma consulta de teste no group-base-dn configurado para garantir a compatibilidade de configuração com o servidor LDAP.
Outras verificações e parâmetros no OneFS 7.2.1.5 e versões posteriores
As verificações a seguir foram adicionadas ao OneFS 7.2.1.5.
-
Active Directory
- Verificação de latência do controlador de domínio
- Verificação de latência e distorção do relógio
- Serviço de catálogo global para verificação de usuário (SFU)
- LDAP - Verificação de usuário
- Kerberos — o SPN (Service Principal Name, nome da entidade de serviço) verifica zonas e aliases do SmartConnect
isi_auth_expert O comando pode calcular dois tipos de latências: Latência de ping e latência de LDAP para todos os controladores de domínio. Se a distorção do relógio for inferior a cinco minutos, o comando retornará: "Há pouca ou nenhuma distorção entre o provedor de AD e sua máquina."
Os seguintes parâmetros também foram adicionados.
| Opção | Explicação |
|---|---|
--ldap-user |
Verifica se há um usuário especificado no provedor LDAP |
--sfu-user |
Verifica se há um usuário especificado no catálogo global do Active Directory |
--admin-creds |
Forneça as credenciais necessárias ao verificar o catálogo global do Active Directory. |
Verificação de atributos de usuário LDAP
Para executar a verificação de atributo de usuário LDAP, você deve executar o isi_auth_expert com o comando --ldap-user=<user> parâmetro em que <user> é o usuário que você deseja verificar. O nome de usuário tem que ser da forma "nome simples" para que a pesquisa funcione. A verificação de atributos de usuário LDAP se conecta a um servidor LDAP e o consulta para o usuário especificado. Em seguida, podemos verificar os resultados da consulta para garantir que o usuário tenha todos os atributos necessários para a autenticação em qualquer domínio.
Verificação de SFU do catálogo global do Active Directory
Um servidor de catálogo global é um controlador de domínio que tem informações sobre o domínio ao qual está associado e todos os outros domínios na floresta. Como um servidor LDAP, o catálogo global tem uma lista de dados associados ao domínio que controla, além de uma cópia parcial dos dados que obtém de outros controladores de domínio. Se ele não tiver todos os dados que os controladores de domínio estão compartilhando, pode haver problemas de autenticação.
Para executar a verificação SFU do catálogo global do Active Directory, você deve executar o
isi_auth_expert com o comando --sfu-user=<user> e --admin-creds="[('<Domain>', '<User>', '<password>')]" parâmetros em que <o usuário> é o usuário SFU que você deseja verificar e "[('<Domínio', '<Usuário>>', '<senha>')]" são as credenciais do isi_auth_expert deve fornecer para executar a pesquisa de catálogo global no controlador de domínio. Temos a seguinte limitação ao verificar o catálogo global: Você deve fornecer credenciais de administrador.
Verificação do nome principal do servidor (SPN)
Os SPNs poderão causar falhas de autenticação se eles não estiverem presentes quando você ingressa em um provedor Kerberos ou se alterar o nome de uma zona do SmartConnect. A pasta isi_auth_expert determina se os SPNs estão ausentes, obsoletos ou incorretos. Esse recurso é executado automaticamente sempre que o isi_auth_expert O comando é executado.
Esse recurso é usado para verificar SPNs ausentes nos provedores Kerberos e também nas zonas do SmartConnect. O comando coleta todos os SPNs associados aos provedores e às zonas do SmartConnect e garante que os SPNs necessários estejam presentes.
Se você estiver usando aliases do SmartConnect, ele também fará a verificação desses aliases. Você pode usar o
isi auth ads spn ou isi auth krb5 spn comandos para listar, verificar ou corrigir SPNs ausentes relatados.Affected Products
Isilon, PowerScale OneFSArticle Properties
Article Number: 000126268
Article Type: Solution
Last Modified: 29 Apr 2024
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.